MITRE ATT&CK okvir je vrlo popularna baza znanja o sigurnosti koju koriste i napadački i obrambeni timovi (red and blue teams). MITRE pomaže organizacijama da utvrde vlastit stupanj sigurnosti, kao i potencijalne ranjivosti koje napadači mogu iskoristiti. A napadačima, pen testerima, hakerima omogućuje da efikasno i strukturirano pripreme svoje napade (testiranja sustava).

MITRE ATT&CK je besplatna baza znanja prvenstveno temeljan na ponašanju napadača koji žele neovlašteno pristupiti informacijskom sustavu. Okvir se fokusira na to kako vanjski napadači prolaze kroz različite faze pripreme i izvršavanja napada, a obrambenim timovima daje smjernice kako uočiti neovlašteni pristup i maliciozno ponašanje unutar računalne mreže. Sam MITRE ATT&CK je u početku bio temeljen na Windows operativnom sustavu, ali je kasnije, kroz razvoj, uključio i ostale enterprise sustave (Linux, macOS, cloud based sustave, mreže, kontejnere), mobilne usstave (Android i iOS), kao i industrijske sustave. Unuta Poznavanje MITRE ATT&CK okvira omogućuje timovima zaduženima za sigurnost informacijskog sustava razumijevanje logike, ciljeva i tehnika koje koriste napadači, tj. stavljanje u „um“ napadača.

MITRE ATT&CK sastoji se od 4 glavne komponente:

• Tactics (taktike) koje opisuju kratkoročne, taktičke ciljeve napadača prilikom napada
• Techniques (tehnike) opisuju način na koji napadači postižu taktičke ciljeve definirane u taktikama. Unutar jedne taktike može postojati više tehnika napada
• Sub-techniques (pod tehnike) detaljnije opisuju načine na koje napadači postižu taktičke ciljeve, ulazeći u veću razinu detalja od tehnika
• Dokumentirano korištenje tehnika, procedura i ostalih podataka raznih napadača

Komponente su prikazane u ATT&CK matrici (Matrix) na slici

Slika prikazuje dio taktika, a ukoliko se uključi prikaz i pod tehnika, onda matrica izgleda:

U nastavku teksta će se opisati sustav MITRE ATT&CK okvira na temelju tehnike napada Brute Force. Svaka taktika ima više ili mane tehnika i pod tehnika koje se mogu istraživati kroz ATT&CK matricu. Primjerice, ukoliko napadača (ili tim zadužen za obranu) zanima napad na Windows sustav, odabrat će Windows matricu. U toj matrici postoji 12 taktika ili ciljeva, od koji je jedan pristup korisničkim podacima za prijavu (credential access). U korisničkim podacima za prijavu, napadač može iskoristiti 16 tehnika za pristup korisničkim podacima za prijavu (Adversary-in-the-Middle, Brute Force, Credentials from Password Stores, Exploitation for Credential Access, Forced Authentication, Forge Web Credentials, Input Capture, Modify Authentication Process, Multi-Factor Authentication Interception itd). Odabirom jedne tehnike (primjerice Brute Force), prikazuju se svi podaci o toj tehnici. Osnovni podaci o tehnici su:

Na gornjoj slici može se uočiti da postoje 4 pod tehnike koje detaljnije objašnjavaju brute force napad, platforme na koje se tehnika odnosi, verzija itd… Dodatno, važne informacije su:

• Primjeri procedura gdje se opisuju na koji način su poznate hakerske grupe izvršile napad
• Mitigacijske tehnike koje se mogu koristiti kako bi se spriječio napad brute force tehnikom
• Detekcijske metode koje opisuju na koji način detektirati brute force napad.

Odabirom jedne od pod tehnika, prikazuju se kako izvršiti bure force napad koristeći pod tehniku primjerice „Password Spraying). Prikazan je opis pod tehnike: Adversaries may use a single or small list of commonly used passwords against many different accounts to attempt to acquire valid account credentials. Password spraying uses one password (e.g. 'Password01'), or a small list of commonly used passwords, that may match the complexity policy of the domain. Logins are attempted with that password against many different accounts on a network to avoid account lockouts that would normally occur when brute forcing a single account with many passwords. Također, slično kao i za tehnike dan je opis procedura gdje se opisuju na koji način su poznate hakerske grupe izvršile napad, načina mitigacije i tehnika detekcije. Za pojedine napade naveden je i softver koji se može koristiti u svrhu napada.

MITRE ATT&CK okvir je izuzetno korisna baza znanja za svakoga tko je bavi sigurnosti informacijskih sustava. Baza znanja je besplatna, stalno se nadopunjuje, i na jednostavan način kategorizira znanje i omogućuje istraživanje informacijske sigurnosti iz bilo kojeg smjera: napadi, mitigacijske tehnike, grupe, softveri na napada i slično. MITRE nije jedini cyber security okvir, primjerice postoje bolji okviri za sigurnost aplikacija, ali prednost MITRE okvira je što se fokusira na napadača i ulazi dublje u tehniku od većine ostalih okvira.

[1] https://attack.mitre.org/