Como usar a estrutura Mitre ATT&CK para segurança na nuvem

Como usar a estrutura Mitre ATT&CK para segurança na nuvem. Aprenda a usar a estrutura de segurança Mitre ATT&CK para manter seu ambiente de nuvem empresarial – seja AWS, GCP, Azure, Azure AD ou Microsoft 365 – seguro.

Existem muitas estratégias e modelos de ataque bem estabelecidos em segurança cibernética, incluindo o NIST Cybersecurity Framework ou o HITRUST CSF. No entanto, conforme o uso da nuvem se torna mais predominante, as organizações procuram uma estrutura de segurança especialmente adaptada para a computação em nuvem e suas ameaças inerentes.

A ATT&CK, da The Mitre Corporation, está pronta para atender a essa necessidade. O framework Mitre ATT&CK fornece uma estrutura para os profissionais identificarem os pontos fortes e fracos na capacidade de seu programa de segurança de detectar táticas, técnicas e conhecimento comum do invasor.

Algumas equipes de segurança podem estar familiarizadas com o Mitre ATT&CK Matrix for Enterprise, que inclui táticas e técnicas específicas para Windows, Linus e macOS. A estrutura Mitre ATT&CK Cloud Matrix atualizada oferece orientação sobre técnicas específicas para Microsoft 365, Azure, AWS, Google Cloud Platform (GCP) e outros provedores de nuvem.

Assim, no intuito de trazer sempre notícias relevantes e contribuir com a nossa comunidade o Blog Minuto da Segurança traz aqui o artigo da TechTarget, escrito por Dave Shackleford, sobre a matriz de ataque para cloud.

Como as táticas e técnicas de nuvem Mitre ATT&CK diferem

Explore as 10 táticas que representam o Mitre ATT&CK Cloud Matrix e como as técnicas de nuvem de cada tática podem variar em relação aos métodos tradicionais.

1. Acesso inicial

Os atores da ameaça encontram um meio inicial de obter acesso aos ativos ou ao ambiente de uma organização. Muitos desses pontos de acesso são semelhantes para eventos locais e focados na nuvem, incluindo técnicas como phishing. No entanto, algumas tentativas de acessar aplicativos podem acontecer inteiramente na nuvem, ou o sequestro de contas pode ter como alvo o usuário da nuvem e contas de serviço, em vez de contas internas tradicionais.

2. Persistência

Este estágio envolve a configuração de backdoors e métodos para reter o acesso ao longo do tempo no sistema ou no ambiente. Com novas tecnologias e serviços de nuvem, a persistência pode agora incluir manipulação de conta em nuvem ou implantação de contêineres em uma implantação de PaaS.

3. Escalonamento de privilégios

Os agentes de ameaça podem usar injeção de biblioteca de vínculo dinâmico ou exploits shellcode nos bits setuid e setgid com a intenção de elevar os privilégios no sistema local para obter um controle mais completo. O escalonamento de privilégios na nuvem geralmente é resultado do acesso não autorizado e do uso de contas e privilégios na nuvem.

Mitre ATT & CK® Cloud Matrix inclui 10 táticas de ataque cibernético e subtécnicas baseadas em nuvem para plataformas AWS, GCP, Azure, Azure AD, Microsoft 365 e SaaS

4. Evasão de defesa

Os malfeitores usam a tática de evasão de defesa para evitar as defesas do host, como detecção de intrusão, prevenção de malware e registro. Os exemplos tradicionais incluem a limpeza do histórico e dos logs do shell, manipulação de tokens e arquivos ofuscados. Na nuvem, esta fase inclui desabilitar ou modificar firewalls de nuvem, manipular cargas de trabalho de nuvem, empregar regiões de nuvem não utilizadas e manipular contas de nuvem ou tipos de autenticação.

5. Acesso à credencial

As tentativas clássicas de acessar contas sem autorização incluem ataques de força bruta contra nomes de usuário e senhas, sniffing, acesso a chaves privadas e despejo de credenciais da memória. Os atores da ameaça podem usar essas técnicas para obter acesso a novos sistemas ou acesso adicional a sistemas ou aplicativos existentes. Acessar contas de nuvem sem autorização e abusar de APIs de metadados de nuvem para aquisição de privilégios são táticas comuns.

6. Descoberta

A fase de descoberta é quando os agentes de ameaças procuram outros tipos de informações para usar. Isso inclui dados do usuário, privilégios, dispositivos, aplicativos, serviços e dados. Na nuvem, há uma ampla gama de novos serviços disponíveis, incluindo painéis de serviço em nuvem, novas APIs e vários tipos de ativos interconectados.

7. Lateral movement

Nesta fase, os malfeitores procuram migrar de um host para outros no ambiente. Eles podem empregar técnicas como “pass the hash” com credenciais, administração remota e ferramentas de acesso, serviços remotos e scripts de logon. Muitas táticas de movimento lateral na nuvem são semelhantes. Eles podem usar APIs de nuvem , tokens de acesso, contas de serviço e privilégios, bem como serviços de metadados de nuvem.

8. Coleção

Os malfeitores invariavelmente desejam coletar dados, como informações da área de transferência, entradas de teclados e outros dispositivos, capturas de tela ou vídeo e muito mais. Concentrar-se no armazenamento em nuvem e em secrets, como chaves de API , é mais comum.

9. Exfiltração

Os agentes de ameaças geralmente procuram exfiltrar dados do ambiente de destino. Isso pode envolver criptografar os dados, configurar diferentes tipos de canais e protocolos de rede para mover dados para fora da rede ou agendar a transferência de dados. Para cenários baseados em nuvem, enviar dados para um armazenamento em nuvem diferente ou outra conta é uma tática comum.

10. Impacto

Os objetivos finais do ataque variam amplamente entre os atores e as campanhas. ATT&CK Cloud Matrix identifica quatro técnicas de impacto , incluindo desfiguração de contas e ativos, negação de serviço de endpoint, negação de serviço de rede e sequestro de recursos para fins maliciosos.

 

Como usar com sucesso a estrutura de nuvem Mitre ATT&CK

A estrutura de segurança em nuvem Mitre ATT&CK é aplicável em todas as principais nuvens IaaS, incluindo AWS, Azure e GCP. Ele ajuda os analistas de segurança a implementar ou melhorar os controles e processos de detecção e resposta em implantações de nuvem, pensando nos métodos de ataque reais vistos à solta. Por exemplo, para comprometer uma carga de trabalho em nuvem, como um servidor Amazon EC2 , os invasores podem tentar mover-se lateralmente sequestrando funções de identidade atribuídas a esse sistema. Eles também podem comprometer imagens de contêiner em um ambiente PaaS para minerar criptomoedas.

Usando o Mitre ATT&CK Cloud Matrix para modelar caminhos de ataque em potencial e ações do invasor na nuvem, as equipes de segurança podem trabalhar com DevOps e equipes de engenharia de nuvem para projetar e implementar proteções de nuvem mais eficazes. Essas proteções podem monitorar o ambiente de forma mais completa e, potencialmente, automatizar a detecção e a resposta.

Conforme os diferentes recursos e capacidades de cada provedor de nuvem evoluem, a estrutura da ATT&CK precisará se tornar cada vez mais personalizada para cada ambiente. Embora haja muitos pontos comuns em ataques contra ambientes PaaS e IaaS, cada provedor tem serviços e tipos de ativos exclusivos que podem oferecer aos invasores diferentes caminhos potenciais de exploração e comprometimento. Manter o ritmo com as atualizações e recursos do provedor de nuvem será fundamental para manter modelos de ataque atualizados e precisos.

 

Fonte:  TechTarget por Dave Shackleford, 

 


Patrocínio: MindSec Segurança e Tecnologia da Informação

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Hackers vazam dados da Embraer após ataque de ransomware
  2. Como usar a estrutura Mitre ATT&CK para segurança na nuvem - Blog da Neotel Segurança Digital

Deixe sua opinião!