Czym jest MITRE ATT&CK

Home / Aktualności / Czym jest MITRE ATT&CK

W 2013 r. organizacja non-profit MITRE przedstawiła światu IT autorski framework zwany ATT&CK – Adversarial Tactics, Techniques & Common Knowledgejako sposób opisywania i kategoryzowania zachowań przeciwnika w cyberprzestrzeni. ATT&CK to uporządkowana lista znanych zachowań napastników, które zostały zestawione w taktyki i techniki i wyrażone w kilku macierzach, a także za pośrednictwem STIX/TAXII (tym w oddzielnym artykule – link). Oparta jest na wyczerpujących obserwacjach i analizie danych dotyczących zachowań, które atakujący stosują podczas włamywania się do sieci i dlatego jest obecnie szeroko stosowana do pomiaru zdolności defensywnych, tworzenia scenariuszy odpowiedzi na incydent (incident response) czy szacowania zwrotu z inwestycji w technologie cyberbezpieczeństwa (Return on Security Investment – ROSI).

MITRE ATT&CK podzielono na kilka różnych macierzy – Enterprise, Mobile oraz PRE-ATT&CK. Każda z tych macierzy zawiera różne taktyki i techniki związane z przedmiotem tej matrycy.


Enterprise Mobile PRE-ATT&CK
Techniki i taktyki, które mają zastosowanie do systemów Windows, Linux i/lub MacOS. Taktyki i techniki, które mają zastosowanie do urządzeń mobilnych. Taktyki i techniki związane z tym, co robią napastnicy, zanim spróbują wykorzystać określoną sieć lub system docelowy.


W każdej z wyżej prezentowanych kategorii wymienione są „taktyki i techniki”. Co one dokładnie oznaczają?
  • Taktyki – czyli co atakujący chce osiągnąć za pomocą danego zachowania.
  • Techniki –czyli jak atakujący chce to osiągnąć, techniki to konkretne metody/zachowania.

Dla przykładu – taktyką jest pozyskanie danych dostępowych do konta, techniką – brute force. Kontynuując nasz przykład agresor może chcieć uzyskać dostęp do sieci i zainstalować oprogramowanie typu spyware na jak największej liczbie komputerów i serwerów w sieci.

Aby osiągnąć sukces musi on pomyślnie wykonać kilka kroków pośrednich:
  1.  Na początku uzyskać dostępu do sieci – czy przez link phishingowy, automatyczny skrypt ukryty na stronie internetowej czy malware przekazany pendrivie.
  2. Następnie uzyskać odpowiedni rodzaj dostępu – może to zrobić poprzez wykorzystanie luk w zabezpieczeniach systemu, czy wykorzystując tożsamość przejętego komputera.
  3. Po uzyskaniu odpowiednich danych atakujący może zainstalować spyware bądź kontynuować eksploatowanie podatności i rozprzestrzenianie wewnętrzne do momentu zainfekowania systemów docelowych.
  4. Niezależnie od skomplikowania stopnia trzeciego – jeżeli organizacja nie posiada odpowiedniego personelu i technologii – atakujący osiągnie swój cel.

Aby dogłębnie zapoznać się z T&T zapraszamy na:

Enterprise Matrix

Jednak zanim nastąpi próba dostępu do sieci, atakujący zbiera informacje na temat celu – tą fazę obejmuje matryca PRE-ATT&CK. Taktyki i techniki opisane we frameworku są luźno powiązane z opracowanym przez Lockheed Martin CyberKill Chain:



Wszelkie działania obronne, które odnoszą się do atakujących i ich zachowań, mogą skorzystać na zastosowaniu taksonomii ATT&CK. Oprócz udostępnienia wspólnego leksykonu dla specjalistów ds. cyberbezpieczeństwa, ATT&CK zapewnia również podstawę do tworzenia scenariuszy pentestów i ćwiczeń z użyciem Red Teamów. Daje to niebieskim i czerwonym wspólny język w odniesieniu do zachowań przeciwnika.

Przykłady, w których zastosowanie taksonomii ATT&CK może być przydatne
  1. Zakup, wdrożenie i konfiguracja technologii cyberbezpieczeństwa: Taktyki i techniki zawarte w ATT&CK to źródło informacji na temat punktów, w które należy monitorować by wykrywać i unieszkodliwiać atakujących.
  2. Proaktywne wykrywanie zagrożeń: Analiza łańcuchów aktywności w ramach ATT&CK pozwala analitykom rozpoznać „martwe punkty” ich obecnej infrastruktury i uwzględnić je by szybciej reagować na incydenty.
  3. Analiza strategiczna cyberbezpieczeństwa: Security Operations Center (SOC) i zespół reagowania na incydenty mogą odnosić się do technik i taktyk opisanych w ATT&CK by zrozumieć:

  • gdzie są mocne i słabe strony obrony,
  • jak dopasować istniejące mechanizmy wykrywania i remediacji,
  • jakie mogą istnieć błędne konfiguracje i inne problemy operacyjne,
  • na czym skupić pentesty lub ćwiczenia – Red Team.


4. Rozpoznanie atakujących: Aktorzy i grupy mogą być kojarzeni z określonymi, zdefiniowanymi zachowaniami „typowymi” dla nich.

5. Integracje narzędzi: Różne narzędzia i usługi mogą ustandaryzować taktykę i techniki ATT&CK, nadając spójność obronie.

6. Przejrzysta komunikacja: Dzieląc się informacjami o ataku, aktorze lub grupie, lub środkach kontroli, obrońcy mogą zapewnić koordynacją stosując wspólny język technik i taktyk ATT&CK


MITRE ATT&CK to pojedynczy punkt wgląd w ewidencję znanych nam szczegółów dotyczących zachowań przestępców w cyberprzestrzeni. Poznanie i zrozumienie frameworku to jedna z głównych broni w arsenale analityka cyberbezpieczeństwa – pozwala szybciej korelować fakty, a nawet przewidywać zachowania agresorów i koordynować sprawne procesy obronne.

Obecnie napastnicy szukają sposobów na social engineeringu i unikaniu wykrycia przez tradycyjne narzędzia bezpieczeństwa – wymaga to zmiany podejścia do wykrywania i obrony. ATT&CK przenosi naszą percepcję ze wskaźników niskiego poziomu, takich jak adresy IP i nazwy domen, i powoduje, że patrzymy na atakujących i naszą obronę przez pryzmat zachowań. To nowe postrzeganie nie oznacza jednak automatycznego sukcesu. Droga do wykrywania zachowań i zapobiegania im jest znacznie trudniejsza niż dawne narzędzia „odpal i zapomnij”. Oprócz ogromnej liczby już znanych zachowań, napastnicy codziennie opracowują nowe. Dlatego rozwój MITRE jest wspólną odpowiedzialnością świata cyberbezpieczeństwa by wciąż stanowić obronę dla przedsiębiorstw.





Powiązane posty

Już jest platforma pozwalająca wykrywać, reagować i naprawiać zagrożenia dla systemów Machine Learning
Bo „sharing is caring” czyli STIX/TAXII – standard komunikacji i sposób jego współdzielenia
Co to jest ISO 27001 i dlaczego jest tak ważne dla organizacji