O que é o MITRE ATT&CK?

Publicado em: 23 de dezembro de 2024

➥O MITRE ATT&CK é um framework de conhecimento sobre táticas e técnicas de adversários (ATT&CK significa Adversarial Tactics, Techniques, and Common Knowledge, em português, Táticas, Técnicas e Conhecimento Comum Adversário). Ele é usado principalmente na área de segurança cibernética para entender como os adversários atacam sistemas de computador e redes.
➥O MITRE ATT&CK organiza informações sobre ameaças em várias categorias, incluindo táticas (como persistência, privilégio de escalonamento, exfiltração de dados) e técnicas específicas (como phishing, injeção de código, exploração de software). É uma ferramenta valiosa para profissionais de segurança cibernética entenderem e se defenderem contra ameaças potenciais.
➥O framework é mantido pela MITRE Corporation, uma organização sem fins lucrativos que trabalha em pesquisa e desenvolvimento em várias áreas, incluindo segurança cibernética.

Táticas de Exfiltração

A Exfiltração ocorre quando o criminoso utiliza determinadas técnicas para roubar dados de determinado ambiente. Uma vez os dados coletados, os adversários tentarão evitar serem detectados.
➥ Atualmente, existem 9 técnicas mapeadas e utilizadas por grupos criminosos para realizar a exfiltração de dados, e a partir de algumas destas técnicas aprenderemos como utilizar o DLP para mitigar os riscos de vazamento intencional de dados.

1. Exfiltração via Mídia Física (T1052)

➥Adversários podem tentar realizar a exfiltração de dados por meio de dispositivos removíveis (USB), celular, HDs externos, entre outras mídias físicas.
Recomendação: Implementar políticas para monitorar e restringir o uso de dispositivos de armazenamento removíveis, como USBs e discos externos (Pode ser realizada pelo DLP, AVs, ou GPOs). Além de configurar alertas ou bloqueios apenas quando ocorrer o envio de arquivos com informações pessoais ou sensíveis para esses dispositivos.
Observação: É necessário entender se a solução de DLP consegue identificar e proteger todos os tipos de dispositivos removíveis, além de realizar frequentemente testes para validar se a detecção está funcional.

2. Transferência de dados entre contas na nuvem (T1537)

➥Esta técnica envolve o uso de contas em serviços de nuvem para exfiltrar dados, onde os dados são transferidos diretamente para uma conta controlada pelo adversário.
Recomendação: Utilize soluções de CASB (Cloud Access Security Broker) integradas com DLP para obter visibilidade e controle sobre o uso de aplicações na nuvem, auditando ou impedindo que os usuários corporativos realizem o compartilhamento de arquivos com dados pessoais para domínios restritos (gmail.com, outlook.com,entre outros), ou para qualquer domínio externo.
Observação: As soluções da Microsoft (O365) e Google permitem compartilhar arquivos com links públicos, é recomendado bloquear esta opção, deixando apenas para os colaboradores que realmente necessitar, e utilizar o CASB para uma proteção adicional. Além disso, é possível utilizar o SIEM para receber alertas sempre que ocorrer o compartilhamento de muitos arquivos para uma conta na nuvem em um curto espaço de tempo, detectando possíveis vazamentos.

3. Exfiltração via serviços Web (T1567)

➥A técnica T1567 do MITRE ATT&CK, "Exfiltration Over Web Service" (Exfiltração via Serviço Web), descreve o uso de serviços web legítimos para exfiltrar dados. Isso pode incluir o envio de dados para sites, blogs, plataformas de compartilhamento de arquivos, e serviços de armazenamento na nuvem.
Recomendação: Configure políticas de DLP para monitorar e controlar uploads de arquivos e dados para serviços web. Isto pode incluir serviços de armazenamento na nuvem, sites de compartilhamento de arquivos e outras plataformas online.
Observação: É possível atuar inserindo uma blacklist, ou seja, listando os domínios nas quais serão proibidos o upload de dados pessoais, ou criando uma whitelist, listando os domínios nas quais serão permitidos o upload de dados pessoais. Sendo o primeiro cenário, recomendado para implementações iniciais de soluções de DLP, ou quando não se tem mapeado todos os domínios corporativos.