Mitre ATT&CK viết tắt của Adversarial Tactics (các chiến thuật phá hoại), Techniques (các kỹ thuật phá hoại) và Common Knowledge (các hiểu biết thông thường), là một nền tảng kiến thức có thể truy cập toàn cầu về các chiến thuật và kỹ thuật của đối thủ dựa trên những quan sát trong thời điểm thực hiện. Cơ sở kiến thức ATT&CK được sử dụng làm nền tảng cho việc phát triển các mô hình và phương pháp luận về các mối đe dọa cụ thể trong khu vực tư nhân, trong chính phủ và trong cộng đồng sản phẩm và dịch vụ an ninh mạng.
Năm 2010, MITRE đã triển khai một nghiên cứu về nguồn dữ liệu và quy trình phân tích để phát hiện nhanh hơn các cuộc tấn công APT bằng việc “dự kiến” các vi
phạm thông qua dữ liệu điểm cuối được cung cấp từ xa. Cụ thể, công việc của MITRE tập trung vào phát hiện hậu xâm nhập, tức các hành vi của tin tặc sau khi họ có quyền truy cập vào hệ thống trên mạng. Một trong những yếu tố thúc đẩy phương pháp MITRE là thông tin công khai về các vụ tấn công mạng, cho thấy đối thủ có xu hướng thể hiện các hành vi nhất quán khi tương tác với các hệ thống cuối hoặc hệ thống của nạn nhân.
❖ Phương pháp phát hiện xâm nhập mạng bằng cách phân tích hành vi của MITRE bao gồm 5 nguyên tắc:
- Nguyên tắc 1: Phát hiện hậu xâm nhập (Include Post-Compromise Detection) -
Theo thời gian, công cụ bảo mật truyền thống không thể đáp ứng trước các mối đe dọa mạng hiện nay. Chính vì vậy, khi các mối đe dọa có thể vượt qua tính năng bảo mật của mạng hoặc sử dụng cách thức mới để xâm nhập mạng thì khả năng phát hiện hậu xâm nhập là rất cần thiết.
- Nguyên tắc 2: Tập trung vào hành vi (Focus on Behavior) - các dấu hiệu và thông
số là các thông tin có giá trị để xác định công cụ của kẻ tấn công. Các công cụ bảo mật dựa vào dấu hiệu đã biết có thể trở nên không đáng tin do dấu hiệu bị lỗi thời hoặc do các mối đe dọa ngày càng phát triển. Vì vậy, một chính sách bảo mật tinh vi cũng nên bao gồm phát hiện và nghiên cứu hành vi độc hại hậu xâm nhập.
Hình 2.2 Năm nguyên tắc bảo mật dựa trên mối đe dọa của MITRE
- Nguyên tắc 3: Sử dụng mô hình dựa trên mối đe dọa (Use a Threat-based Model),
một mô hình mối đe dọa chính xác và đầy đủ là cần thiết để đảm bảo rằng các hoạt động phát hiện có hiệu quả trong việc chống lại các hành vi độc hại thực tế.
- Nguyên tắc 4: Lặp lại theo thiết kế (Iterate by Design) - Công cụ và kỹ thuật không
ngừng phát triển vì vậy các hành vi độc hại đối với mạng cũng không ngừng thay đổi. Do đó phương pháp bảo mật cũng phải liên tục và không ngừng phát triển, hoàn thiện trước sự thay đổi của các hành vi độc hại, trước tấn công APT.
- Nguyên tắc 5: Phát triển thử nghiệm trong môi trường thực (Develop and Test in a
Realistic Environment) - Để đo độ nhiễu cảm biến dự kiến tạo trong quá trình sử dụng mạng tiêu chuẩn, thì các hành vi của người dùng mạng phải được mô phỏng một cách chân thực nhất. Các khả năng phát hiện hành vi độc hại cần được kiểm tra bằng cách mô phỏng lại trong môi trường này.
ATT&CK là một khung (framework) về kỹ thuật-chiến thuật-chiến lược (Tactics, Techniques and Procedures (TTPs)) tấn công của kẻ tấn công (adversary) dựa vào những tình huống thực tế. ATT&CK đưa ra cách nhìn tổng quan về các hành vi cụ thể của kẻ tấn công sau khi xâm nhập vào mạng. Mô hình ATT&CK cung cấp thông tin chi tiết về hành vi tấn công trên cơ sở quan sát hành vi của tin tặc. Phương pháp ATT&CK chủ yếu hướng đến các hệ thống sử dụng hệ điều hành Windows dành cho doanh nghiệp. Do số lượng lớn các báo cáo xâm nhập có sẵn công khai chứa các thông tin chi tiết và công cụ cảnh báo hoạt động chống lại Windows. ATT&CK được chia thành các loại chiến thuật cấp cao và các phương pháp riêng lẻ mà kẻ tấn công có thể áp dụng trong mỗi loại chiến thuật riêng biệt.
Các loại chiến thuật được đề cập bao gồm:
• Duy trì truy cập (Persistence): Bất kỳ quyền truy cập, hành động hoặc cấu hình
nào thay đổi đối với một hệ thống đều mang lại cho đối thủ sự hiện diện lâu dài trên hệ thống đó.
• Nâng cao đặc quyền (Privilege Escalation): Kết quả của các kỹ thuật mà từ đó
kẻ tấn công được cấp quyền cao hơn trên hệ thống hoặc mạng.
• Lảng tránh hệ thống bảo vệ (Defense Evasion): Kỹ thuật tin tặc có thể sử dụng cho mục đích lẩn tránh phát hiện hoặc tránh các biện pháp phòng vệ khác. • Truy cập thông tin xác thực (Credential Access): Kỹ thuật dẫn đến việc truy
cập hoặc kiểm soát thông tin đăng nhập hệ thống, tên miền hoặc dịch vụ được sử dụng trong môi trường mạng.
• Phát hiện (Discovery): Kỹ thuật cho phép tin tặc có kiến thức về hệ thống và
mạng nội bộ.
• Mở rộng khai thác (Lateral Movement): Kỹ thuật cho phép tin tặc truy cập và
kiểm soát các hệ thống từ xa trên mạng.
• Thực thi (Execution): Kỹ thuật dẫn đến việc thực thi mã do tin tặc kiểm soát
trên hệ thống cục bộ hoặc từ xa.
• Sưu tập (Collection): Kỹ thuật được sử dụng để xác định và thu thập thông tin,
chẳng hạn như các tệp nhạy cảm từ mạng đích trước khi lọc.
• Trích xuất dữ liệu (Exfiltration): Kỹ thuật cho phép trích xuất file hoặc thông
• Điều khiển và kiểm soát (Command and Control): Kỹ thuật và thuộc tính về
cách thức giao tiếp của tin tặc với hệ thống dưới sự kiểm soát của họ trong mạng đích. Ví dụ bao gồm sử dụng các giao thức hợp pháp như HTTP để mang thông tin C&C.