Empresa de cibersegurança alerta sobre o comportamento e as ferramentas dos cibercriminosos
São Paulo 16/9/2021 –
O cenário de ataques continua crescendo rapidamente e, com esse crescimento, vem o complexo desafio de rastrear as Táticas, Técnicas e Procedimentos (TTPs) usados por diferentes agentes de ameaças. O Centro de Recursos de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia (NIST) descreve o TTPs como o comportamento de um agente de ameaça, portanto, rastrear esse comportamento tornou-se um conceito essencial para Analistas de Inteligência de Ameaças Cibernéticas (CTI).
De acordo com a Radware, fornecedora de segurança cibernética e aplicações, ao traçar o perfil e documentar os TTPs criminosos, os defensores da rede podem entender melhor o comportamento criminoso e como ataques específicos são orquestrados, permitindo que eles se preparem, respondam e atenuem/mitiguem ameaças atuais e futuras.
Para detalhar ainda mais o TTP, as Táticas referem-se às descrições de alto nível do comportamento ou ação que o agente da ameaça está tentando realizar. Por exemplo, o acesso inicial é uma tática que um agente de ameaça usaria para ganhar uma posição em sua rede.
Técnicas são descrições detalhadas do comportamento ou ações que são esperadas de uma tática específica. Por exemplo, uma técnica para obter acesso inicial a uma rede pode incluir um ataque de phishing.
Procedimentos são detalhes técnicos ou instruções sobre como um agente de ameaça utilizará a técnica para atingir seu objetivo. “Os procedimentos para um ataque de phishing podem incluir a ordem de operação ou as fases da campanha. Isso incluiria detalhes sobre a infraestrutura aproveitada para enviar o e-mail malicioso, quem planejam atingir e como planejam comprometer a máquina”, explica Daniel Smith, chefe de pesquisa da Radware.
Rastrear o comportamento dos agentes de ameaças tem sido um desafio complexo para o setor, principalmente porque não existia uma estrutura padronizada única e universalmente adotada para seguir.
Nos últimos anos, o setor começou a adotar amplamente a estrutura ATT&CK Enterprise da MITRE; que visa fornecer uma padronização baseada na comunidade e um catálogo de TTPs usados por agente de ameaças e seus apelidos conhecidos.
Esta estrutura é constantemente atualizada para realizar auditorias e melhor estruturação das políticas defensivas e métodos de detecção. A estrutura MITRE ATT&CK também fornece uma linguagem comum para todos os setores. A incorporação da estrutura e das convenções de nomenclatura usadas na matriz MITRE ATT&CK na política de segurança de uma organização ajudará a habilitar uma linguagem comum em toda a organização e no setor, tornando mais fácil documentar, relatar e falar sobre grupos de ameaças.
“Mas, por que entender o cenário de ameaças é importante? As ameaças de hoje, sem dúvida, exigem soluções de amplo espectro, mas também exigem um conhecimento profundo do cenário de ameaças. Uma das melhores maneiras de ficar por dentro do cenário de ameaças em constante evolução é estudar e contribuir para a padronização da inteligência de ameaças”, completa Smith.
Ao analisar e traçar o perfil dos padrões dos agentes de ameaças e compartilhá-los com a comunidade, é possível entender melhor o comportamento criminoso e como orquestram ataques específicos. Uma compreensão mais profunda dos TTPs dos cibercriminosos ajudará a comunidade e as organizações a compreender como preparar, responder e mitigar a maioria das ameaças.
“Depois de começar a entender os TTPs, as organizações podem mapeá-los em sua pilha de segurança específica. Isso permite que os usuários tenham a capacidade de proteger, detectar, isolar, enganar e expulsar TTPs do agente de ameaça daquele ambiente específico”, finaliza.