MITER ATT&CK ได้รับการพัฒนาโดยองค์กรไม่แสวงหาผลกำไร MITER ในปี 2556 ชื่อมาจากคำย่อของ Adversarial Tactics, Techniques และ Common Knowledge (ATT&CK)


The MITRE ATT&ACK framework เป็นทรัพยากรฟรีที่เข้าถึงได้ทั่วโลก ซึ่งสามารถช่วยแนะนำองค์กรผ่านเหตุการณ์การละเมิดความปลอดภัยที่สันนิษฐานได้ และสามารถเปลี่ยนแนวทางการจัดการความเสี่ยงขององค์กร
ซึ่งความรู้จะเกี่ยวข้องกกับองค์ความรู้ดังนี้

  • Adversary/attacker behaviors
  • Threat models
  • Techniques
  • Mitigation tactics

แนวคิดก็คือการทำความเข้าใจวิธีการโจมตีมากมายจากผู้โจมตีจริง ทำให้องค์กรมีความสามารถในการเตรียมพร้อมและการรับมือกับความเสี่ยง ให้มุมมองของผู้โจมตีในแต่ละขั้นตอนของวงจรชีวิตการโจมตีทางไซเบอร์ตั้งแต่ต้นจนจบ

ประเด็นสำคัญ:

  1. ตัวอย่างในชีวิตจริงเชิงลึกเกี่ยวกับพฤติกรรมที่เกี่ยวข้องของผู้โจมตีหรือแฮคเกอร์
  2. เทคนิคและวิธีการโจมตี
  3. ภาษาที่เกี่ยวกับวิธีการโจมตีต่างๆ

framework ดังกล่าวช่วยให้มองเห็นและเข้าถึงได้ ทำให้บุคลากรด้านความปลอดภัยทางไซเบอร์สามารถระบุและตอบสนองต่อความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่หลากหลายด้วยแนวทางการจัดการความเสี่ยงที่เหมาะสม

ATT&CK framework ครอบคลุมสาขาวิชาความปลอดภัยทางไซเบอร์หลายสาขา ได้แก่:

  • Detection
  • Intelligence
  • Containment
  • Risk management
  • Security engineering

ใครสามารถใช้  ATT&CK framework ได้บ้าง?

องค์ความรู้นั้นสามารถช่วยแนะนำองค์กร ไม่ว่าจะเป็นเอกชน ไม่แสวงหากำไร หรือรัฐบาล โดยสามารถนำไปใช้งานทั้ง Red Team และ Blue Team

  • Enterprise: PRE, Windows, macOS, Linux, Cloud & Network
  • Mobile: Android & iOS

แทคติก (TACTICS) ของ ATT&CK FRAMEWORK คืออะไร?

Enterprise ATT&CK จะมีอยู่ด้วยกัน 11 tactics โดยแสดงให้เรารู้วัตถุประสงค์ของผู้โจมตีที่และผลลัพธ์ที่เกิดขึ้น

IDNameDescription
TA0043Reconnaissance (การลาดตระเวนหรือดูลาดเลา)The adversary is trying to gather information they can use to plan future operations.   ผู้โจมตีที่พยายามเก็บข้อมูลที่สามารถวางแผนที่สามารถเอาไปต่อยอดในอนาคต
TA0042Resource Development (การพัฒนาทรัพยากร)The adversary is trying to establish resources they can use to support operations. ผู้โจมตีพยามเชื่อมต่อกับทรัพยากรที่สามารถเอื้อต่อการดำเนินการ
TA0001Initial Access(การเข้าถึงเบื้องต้น)The adversary is trying to get into your network. ผู้โจมตีพยายามที่จะเข้ามายังเครื่องข่ายของคุณ
TA0002Execution (การดำเนินการ)The adversary is trying to run malicious code. ผู้โจมตีพยายามที่จะเรียกใช้โค้ดที่เป็นอันตรายต่างๆ
TA0003Persistence (การคงอยู่)The adversary is trying to maintain their foothold. ผู้โจมตีจะพยายามแอบอยู่ในระบบตลอด
TA0004Privilege Escalation (การยกสิทธิ)The adversary is trying to gain higher-level permissions. ผู้โจมตีพยาพยามทำให้ได้สิทธิ์การทำงานที่สูงกว่าสิทธิ์ของผู้ใช้ทั่วไป
TA0005Defense Evasion (การหลบหลีกการป้องกัน)The adversary is trying to avoid being detected. ผู้โจมตีพยายามหลีกเลี่ยงการถูกตรวจจับต่างๆ
TA0006Credential Access (การเข้าถึงบัญชีผู้ใช้)The adversary is trying to steal account names and passwords. ผู้โจมตีพยายามขโมยหรือรวบรวมข้อมูลบัญชีผู้และรหัสผ่าน
TA0007Discovery (แสวงหาข้อมูล)The adversary is trying to figure out your environment. ผู้โจมตีค้นหาสภาพแวดล้อมของระบบ
TA0008Lateral Movement (เคลื่อนไหวขนาบข้าง)The adversary is trying to move through your environment. ผู้โจมตีจะพยายาม
TA0009Collection (รวมรวบข้อมูล)The adversary is trying to gather data of interest to their goal. ผู้โจมตีรวมข้อมูลที่เกี่ยวข้องเพื่อบรรลุเป้าหมายของพวกเขา
TA0011Command and Control (คำสั่งและการควบคุม)The adversary is trying to communicate with compromised systems to control them. ผู้โจมตีจะพยามสื่อสารติดต่อกับ ระบบที่ได้ทำการโจรกรรมแล้ว เพื่อควบคุมใช้งานต่อไป
TA0010Exfiltration (การแอบเอาข้อมูล)The adversary is trying to steal data. ผู้โจมตีพยาพยามขโมยข้อมูล
TA0040Impact (ผลกระทบ)The adversary is trying to manipulate, interrupt, or destroy your systems and data. ผู้โจมตีฝ่ายตรงข้ามพยายามจัดการ ทำให้ขัดจังหวะ หรือทำลายระบบและข้อมูล

เทคนิค (TECHNIQUES) ของ ATT&CK FRAMEWORK คืออะไร

แต่ละ tactic จะเก็บ array ของ Techniques ซึ่งพบว่ามีการใช้งานโดยมัลแวร์หรือกลุ่มผู้โจมตี

Tactics กล่าวได้ว่าเป็นขั้นตอน “อย่างไร” ซึ่งเป็นส่วนหนึ่งของ ATT&CK เช่นผู้โจมตีทำการ escalating privileges อย่างไร,

ผู้โจมตีทำการขโมยข้อมูลต่างๆ อย่างไร

Enterprise ATT&CK มีเพียง 11 tactic แต่ในขณะเดียวกันมีถึง 185 techniques ซึ่งเราสามารถมองในรูปแบบหรือจำแนกประเภทให้ง่ายขึ้นที่ attack-navigator

โดย Techniques จะถูกเขียนอ้างอิงใน ATT&CK เป็นลักษณะ Txxxx เพื่อเชื่อมโยงบทความที่อธิบายลักษณะตามบริบทของผู้โจมตีและรายละเอียดต่างๆ เช่น ระบบปฏิบัติการอะไร สิทธิ์ในการเข้าถึงใช้สิทธิ์อะไร ใช้ command อะไร และกระบวนการรูปแบบไหน
ทั้งนี้ทำให้เหล่านักล่าภัยคุกคาม สามารถเข้าไปอ่านวิธีการตามที่ได้กล่าวไว้ เพื่อหาวิธีตรวจจับ และ วิธีการป้องกันปัญหาดังกล่าว เช่น T1047


ที่มา:

https://attack.mitre.org/

https://digitalguardian.com/blog/what-mitre-attck-framework

Leave a Reply

Your email address will not be published.