A ESET incrementa sua proteção com a base de dados da MITRE ATT&CK(TM)

Saiba mais em Gartner US

A ESET se juntou a MITRE’s ATT&CK para, por meio de sua base de dados, mapear táticas e técnicas usadas pelos cibercriminosos. Agora, ao participar da expansão da indústria e também da área de pesquisa, a ESET está um passo mais perto de novas conquistas, além de aumentar nosso conhecimento técnico.

Qual o benefício dessa participação?

Por muitos anos, boas práticas entre fornecedores de segurança – em sua maioria – se relacionavam com o envio de reiterações de produtos a consultores terceirizados e também compartilhar suas detecções no VirusTotal para comparar soluções antivírus, promovendo um ambiente monitorado e seguro. Essa abordagem era essencial para oferecer um sólido conhecimento tanto para usuários como para profissionais, fazendo com que a diversas inovações tecnológicas na área da cibersegurança fossem idealizadas.

Consequentemente, isso também fez com que se criasse um tipo de segurança coletiva que ajudou a construir e transmitir um conhecimento em maior escala sobre as bases de detecções de códigos maliciosos e campanhas de ataque feitas por cibercriminosos. Hoje em dia, no entanto, com riscos tão altos devido a gigantesca dependência em, e na integreção, de sistemas de TI, se viu necessário elevar novamente o nível segurança.

Sendo assim, com diveros ataques direcionados e criados com grandes habilidades por parte dos cibercriminosos, equipes de pesquisa e desenvolvimento em segurança da indústria precisaram adicionar novas etapas para auxiliar a área de segurança em identificar ameaças, e mais importante ainda, ajudar a comunicar o panorama de ameaças a seus líderes C-level. Isso, por sua vez, ajuda organizações a identificar prioridades e onde investir (dinheiro, tempo, recursos) para aprimorar sua defesa.

Com isso em mente, pesquisadores capazes de desmembrar ataques específicos e táticas (disponíveis em MITRE ATT&CK Navigator), expõem sua estrutura e funcionalidade, como por exemplo, técnicas usadas para comprometer a segurança de grandes empresas. Ao contribuir com essa base de dados, a ESET também ajuda a propor boas práticas de segurança e análise de riscos, tudo isso ao alcance da comunidade de segurança e das empresas.

Existindo desde 2015, as recentes descobertas da base de dados da ATT&CK foram mais direcionadas ao auxílio de governos, indústria, organizações e usuários finais, como um benefício da inteligência de ameaças aprimorada. Podemos citar alguns exemplos como o ataque criado pelo grupo de cibercrime FIN7 ao Comitê de Democracia Nacional em 2016, e campanhas atribuídas a Coréia do Norte que incluíram ataques direcionados a Sony Pictures Entertainment. Para detectar ataques similares, a ESET tomou as medidas necessárias para aumentar a visibilidade de ameaças para enterprises por meio de nossa solução de Detecção e Resposta Endpoint ESET Enterprise Inspector assim como capacidades aprimoradas com nossos serviços de segurança endpoint.

Um dos complexos cenários mapeados pela estrutura ATT&CK e que foram recentemente demonstrados pela ESET na RSA 2019, oferece um desmembramento em diversas etapas de um ataque em que se utilizaram técnicas como: spearphishing, uso de mídia removível, PowerShell, controle de conta do usuário, comando e controle de comunicações, modificação de registro, e escaneamento de rede/mapeamento de endpoint. Tudo isso com o objetivo de atingir somente um MacBook em uma rede corporativa por meio de um exploit que iria se tornar uma infecção de ransomware ao final.

Os cenários foram reconstruídos em um formato de apresentação animada (passo a passo) do malware (em questão) em que ele poderia ter agido quando várias camadas do ESET Dynamic Threat Defense (EDTD) foram propositalmente neutralizadas. Na animação essa “diminuição de defesas” acontece enquanto dá visibilidade sobre toda a ação por meio do painel de controle do ESET Security Management Center e mostra as camadas de proteção restantes e que ainda estão ativas para bloquear/proteger contra o APT em questão.

Como a base de conhecimento do MITRE ATT&CK(TM) ajuda fornecedores e enterprises?

Documentos que explicam táticas de ataque e técnicas oferecem um treinamento aprofundado para pesquisadores de malware e equipes de pesquisa e desenvolvimento que estão diariamente ajustando as soluções da ESET. No entanto, desde a criação de estruturas de trabalho como da MITRE’s ATT&CK (existem outras) houve um maior investimento, além de complementarem os tradicionais testes antivírus oferecendo uma linguagem útil que pode ser usada pelas organizações, equipes de segurança interna, pesquisadores, e companhias de segurança para descrever o modo de operação de um atacante e seus passos para, assim, mitigar a ameaça.

Fornecedores que se baseiam na taxonomia ATT&CK não só contribuem para uma base de conhecimento compartilhada que permite que profissionais de segurança da informação descrevam ataques e técnicas usadas na linguagem comum, mas também que a destreza de pesquisadores em mitigar táticas maliciosas sejam rapidamente refletidas na tecnologia de proteção adotada entre aqueles que atuam na cibersegurança. Como já foi mencionado anteriormente, a base de dados também aprimora as comunicações de liderança entre equipes de segurança sobre as ameaças, o modo como buscam mitigar tal incidente e investimentos nas ferramentas necessárias para manter boas práticas de segurança.

Desde março de 2019, artigos de pesquisa da ESET foram publicados no WeLiveSecurity e em eventos em que a ESET esteve presente incluem uma tabela listando as técnicas disponibilizadas pela ATT&CK, junto com sua tática correspondente e descrição de como a técnica é usada. Isso também pode ajudar organizações a se proteger contra ameaças já vistas ao verificar se há uma forma de combater essas técnicas. Isso também ajuda a aumentar a base de conhecimento do ATT&CK ao expor relações entre técnicas e grupos.

Benefício para a ESET?

As pesquisas da ESET são geralmente fontes referenciais, com mais de 76 artigos (a maioria deles publicados no WeLiveSecurity) citados no site da MITRE ATT&CK e com duas pesquisas reconhecidas por suas contribuições, descobrindo novas técnicas. Essas constantes contribuições ajudam a fortalecer o reconhecimento e visibilidade da contínua pesquisa de malware da ESET e oferece mais possibilidades de transmissão de conhecimento para tornar a comunidade mais unida.

Por causa dessa abordagem de mapeamento estruturado da MITRE, colegas de pesquisa conseguem se engajar rapidamente em busca de novas descobertas e ideias para o futuro.

As últimas contribuições aceitas na base de conhecimento da MITRE ATT&CK estão relacionadas em nossa série de trabalhos (em inglês) sobre o OceanLotus (também conhecido como APT32) (pt. 12) e o Ebury, um backdoor SSH direcionado a sistemas operacionais Linux, que encontra-se ativo e em desenvolvimento. Continuamos trabalhando em novas contribuições e estamos em contato com a equipe da MITRE ATT&CK para expandir a base de conhecimento ainda mais.

Internamente, a base de conhecimento da ESET nos ajuda a aprimorar nossa própria capacidade de detecção que são extremamente importantes para o bom funcionamento de soluções EDR.

Dessa maneira, essa abordagem colaborativa certamente cria melhores práticas tecnológicas entre usuários, e simultaneamente constrói uma base mais forte para o futuro coletivo da cibersegurança para grandes empresas na indústria.

Saiba mais sobre nossas contribuições na base de dados da ATT&CK