Spis treści
Czym jest MITRE ATT&CK?
MITRE ATT&CK oznacza Adversarial Tactics, Techniques, and Common Knowledge. Jest to globalnie uznana baza wiedzy o modelach zachowań cyberprzestępców, taktykach i technikach. Zachowania te są uporządkowane w formie macierzy, która dostarcza dogłębnych informacji o tym, jak działają przeciwnicy – przed, w trakcie i po ataku.
Dlaczego MITRE ATT&CK ma znaczenie?
Głównym celem ramy MITRE ATT&CK jest poprawa wykrywania zagrożeń i identyfikacja luk w mechanizmach obronnych. Oryginalnie opracowana w celu przyspieszenia wykrywania zaawansowanych trwałych zagrożeń (APT), rama ta pomaga zespołom bezpieczeństwa zrozumieć:
Jak napastnicy wnikają do systemów
Jakich metod używają
Gdzie mechanizmy obronne organizacji mogą być słabe
Średni czas wykrycia ataku ukierunkowanego to około pięć miesięcy. To wystarczająco dużo czasu, aby napastnicy poznali twoje środowisko i wykradli wrażliwe dane.
Sycope + MITRE ATT&CK = Kompleksowa obrona sieci
Dostosowanie się do standardowych ram branżowych, takich jak MITRE ATT&CK, jest kluczowym punktem odniesienia do oceny skuteczności narzędzi bezpieczeństwa. Moduł bezpieczeństwa Sycope wykorzystuje ponad 60 reguł detekcji mapowanych bezpośrednio do ramy MITRE ATT&CK. Reguły te wykrywają szeroki zakres taktyk i technik, w tym między innymi:
Obsługiwane taktyki:
Initial Access
Execution
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Collection
Command and Control
Exfiltration
Impact
Przykładowe techniki wykrywane przez Sycope
Poniżej znajdują się kluczowe techniki objęte zestawem reguł Sycope, zmapowane do odpowiednich taktyk ATT&CK:
Application Layer Protocol (T1071) – C2 przy użyciu legalnych protokołów
Non-Standard Port (T1571) – Nietypowe zachowanie sieciowe
Proxy Usage (T1090) – Przekierowywanie ruchu w celu ukrycia
Brute Force (T1110) – Powtarzające się próby dostępu
Adversary-in-the-Middle (T1557) – Przechwytywanie komunikacji
Network Service Scanning (T1046) – Wykrywanie otwartych usług
System Network Configuration Discovery (T1016) – Mapowanie sieci
Data Transfer Size Limits (T1030) – Duże lub nietypowe przesyły danych
Endpoint Denial of Service (T1499) – Pogorszenie dostępności sieci
Phishing (T1566) – Nietypowy ruch związany z infrastrukturą phishingową
Resource Hijacking (T1496) – Wskaźniki kopania kryptowalut
Drive-by Compromise (T1189) – Pośrednie metody infekcji
Exploitation of Remote Services (T1210) – Nietypowe zachowania zdalnego dostępu
Dodatkowe typy alertów (wskazujące na techniki):
Sycope wykrywa również zagrożenia przy użyciu sygnatur behawioralnych, takich jak:
Botnet przez DNS
Ataki DDoS (wzmacnianie DNS, zalew protokołowy)
Duży ruch wysyłany (np. do Google Drive)
Podejrzane adresy IP (TOR, Malware, Cryptomining, Phishing)
Nieautoryzowany dostęp (LDAP, RDP, DNS, LLMNR/NetBIOS)
Nietypowe wzorce ruchu (PPS, BPS, liczba pakietów)
SYN Flood, przydzielanie adresów APIPA
Niespodziewane retransmisje
Niezabezpieczona ekspozycja demona Dockera
Dlaczego to jest tak ważne?
Poprzez integrację mapowania MITRE ATT&CK bezpośrednio z regułami detekcji i pulpitami nawigacyjnymi, Sycope pozwala zespołom bezpieczeństwa na:
Wsparcie audytów zgodności i ryzyka
Mniej martwych punktów w możliwościach wykrywania
Szybsze reagowanie na incydenty dzięki gotowym, wykonalnym alertom
Ulepszone polowanie na zagrożenia dzięki mapowanym regułom i pulpitom
Zwiększoną widoczność ruchu lateralnego, C2 i eksfiltracji
Wsparcie audytów zgodności i ryzyka
Dzięki 95% pokrycia ramy MITRE ATT&CK dla bezpieczeństwa sieci, Sycope zapewnia centrom operacji bezpieczeństwa (SOC) solidny i wstępnie skonfigurowany system do wykrywania, analizy i reagowania na szerokie spektrum zagrożeń cybernetycznych – od ruchu lateralnego po działania command and control.
