M

ITRE jest organizacją typu non-profit założoną w 1958 roku, której misją jest “rozwiązywanie problemów by uczynić świat bezpieczniejszym”. Cel ten ostatnio jest osiągany poprzez nową, wyselekcjonowaną bazę wiedzy znaną jako MITRE ATT&CK (ang. Adversarial Tactics, Techniques and Common Knowledge). Baza ta jest platformą, która zawiera zbiór taktyk, technik oraz procedur stosowanych przez różnego rodzaju podmioty atakujące w świecie cyfrowym. Wykorzystanie zawartej w niej wiedzy może pomóc organizacjom w określaniu luk, czy modelowaniu zagrożeń w ich cyberobronie.

Wszystkie gromadzone informacje o atakach są prezentowane w różnych matrycach, takich jak: przedsiębiorczość, mobilność oraz działania przed atakiem. Każda kategoria jest podzielona na określone podkategorie (lub techniki) odpowiadające każdemu rodzajowi ataku. Uwzględniono również szczegóły dotyczące technik, przykładów, referencji (pokazujących, które platformy mogą zostać zaatakowane [nas najbardziej oczywiście będzie interesować Linux], daty wykrycia incydentów itd.) oraz sugestii dotyczących ograniczeń i wykrywania zagrożeń. Można powiedzieć, że platforma zapewnia szereg informacji przydatnych do analizy całego cyklu życia cyberataku, w tym: rozpoznania celu, wektorów ataku, faktycznego włamania i działań po dokonania naruszenia zabezpieczeń.

Tego typu baza informacji jest niezwykle przydatna dla specjalistów ds. bezpieczeństwa. Pomaga im w byciu na bieżąco z nowymi technikami ataków i przede wszystkim pozwala na prowadzenie działań zapobiegawczych, ale także mogą sami zgłaszać wyniki swoich badań. Firmy i instytucje, w których pracują mogą wykorzystać framework do stworzenia map swoich systemów obronnych. Oprócz tego możemy zobaczyć szczegółowe informacje na temat dużej liczby grup odpowiedzialnych za ataki APT (ang. Advanced Persistent Threats), w tym technik i narzędzi, z których są znane. Opisanie ich wrogiego zachowania w znormalizowany sposób umożliwia wykorzystania tych danych wywiadowczych w celu przeciwdziałania konkretnym zagrożeniom.

Do dyspozycji mamy również Navigator, w którym możemy oznaczać określone działania adwersarzy i przeprowadzać wizualizację mocnych i słabych stron naszej obrony. Można go również wykorzystać do kategoryzacji testów penetracyjnych (do których możemy wykorzystać np. system CALDERA – zautomatyzowany system emulacji przeciwnika zbudowany na podstawie MITRE ATT&CK) przeprowadzonych na naszych systemach, wraz z nich wynikami. Navigatora można używać w trybie online lub pobrać w celu bardziej stabilnego i długotrwałego użytkowania.

Więcej informacji: MITRE ATT&CK Framework