MITRE ATT&CK Framework

MITRE ATT&CK Framework

Al 2500 jaar geleden schreef Sun Tzu over de kunst van het oorlogvoeren: ‘Wie de vijand kent en zichzelf zal in honderd veldslagen niet in gevaar zijn.’ Dit is zonder meer van toepassing op cybersecurity. Kennis over hoe hackers en andere cybercriminelen te werk gaan, geeft een voorsprong in jouw informatiebeveiliging. Je leert daardoor ook beter jezelf kennen.

MITRE ATT&CK is een uitgebreide kennisbank van tactieken, technieken en procedures (TTP’s) die cybercriminelen hanteren in hun aanvallen. Al deze kennis dient als basis voor de ontwikkeling van specifieke dreigingsmodellen en -methodologieën in vrijwel alle sectoren van onze samenleving. Volgens MITRE is de aanval de beste vorm van verdediging. Een sterk rood team maakt het blauwe team beter in het detecteren en stoppen van inbraken en aanvallen.

In 2013 startte MITRE met de documentatie om aanvallen op Windows bedrijfsnetwerken beter te kunnen afweren. Inmiddels is de documentatie uitgebreid met macOS-, iOS-, Android- en Linux-gedragingen. De focus van de kennisbank ligt niet op de tools en malware die kwaadwillenden gebruiken, maar op hoe ze omgaan met systemen tijdens een operatie. De informatie is relevant voor zowel het rode als het blauwe team van een organisatie.

De matrix

De ATT&CK-matrix is waarschijnlijk het bekendste onderdeel van ATT&CK. Het wordt vaak gebruikt om zaken als defensieve dekking van een omgeving, detectiemogelijkheden in beveiligingsproducten en resultaten van een incident of betrokkenheid van een rood team weer te geven. De matrix visualiseert de relatie tussen tactiek en techniek en neemt je als het ware mee op de ‘reis van de hacker’. Dat begint bij bijvoorbeeld de verkenning en gaat van initiële toegang naar de uitvoering, de persistentie tot aan het collecteren van informatie, exfiltratie en de impact. Bij iedere stap vermeldt de matrix de gehanteerde technieken. MITRE heeft een kleine twintig matrices tot in detail uitgewerkt, voor de diverse besturingssystemen, maar ook de cloud, specifiek voor Office 365 en voor mobiel.

Cyber Threat Intelligence

Een ander belangrijk onderdeel van ATT&CK is de Cyber Threat Intelligence (CTI).  ATT&CK documenteert gedragsprofielen van vijandige groepen, op basis van openbaar beschikbare rapportage. Hieruit valt te achterhalen welke groepen welke technieken gebruiken en welke vormen van verdediging het meest effectief zijn. Juist door alle incidenten en alle aanvalscollectieven te documenteren en zich op de techniek zelf te concentreren, kan ATT&CK dit overzicht creëren.

MITRE ATT&CK is gratis beschikbaar voor elke persoon of organisatie. Het wordt vandaag de dag gebruikt door onder meer overheidsorganisaties, de financiële sector, de gezondheidszorg, de detailhandel en de technologiesector. Met dit framework kun je een aanval in een vroeg stadium een halt toeroepen. Het sluit ook goed aan bij het cybersecurity framework van NIST. Beide frameworks accentueren het belang van een actief rood team. Want… iedere organisatie met een rood team, heeft een alert blauw team. Een blauw team zonder een rood team tast eigenlijk in het duister.