Mitre Att&ck

Czym jest MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) to ogólnodostępna baza wiedzy o taktykach i technikach stosowanych przez cyberprzestępców.

Główne komponenty

Matryca ATT&CK

1. Tactics:
   • Cel przeciwnika (np. dostęp początkowy, eskalacja uprawnień)
   • 14 głównych kategorii
2. Techniques:
   • Konkretne metody realizacji taktyk
   • Ponad 200 technik dla Windows/Linux/macOS
3. Procedures:
   • Przykłady implementacji technik
   • Case studies z rzeczywistych ataków

Praktyczne zastosowania

Dla Blue Team:

• Detekcja zagrożeń: Mapowanie sygnatur na techniki ATT&CK

• Testy skuteczności: Ocena pokrycia detekcji

• Analiza incydentów: Klasyfikacja zaobserwowanych zachowań

Dla Red Team:

• Planowanie testów: Realistyczne symulacje ataków

• Gap analysis: Identyfikacja słabych punktów obrony

Najczęstsze techniki (Top 5 2024)

• T1059 - Command-Line Interface

• T1078 - Valid Accounts

• T1053 - Scheduled Task

• T1027 - Obfuscated Files

• T1033 - System Owner Discovery

Jak korzystać z MITRE ATT&CK?

Narzędzia oficjalne:

• ATT&CK Navigator
• CAR Analytics

Integracje:

• Splunk ES
• Elastic Security
• Microsoft Sentinel