Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT

•Transferir como PPTX, PDF•

1 gostou•931 visualizações

O documento apresenta três frameworks (ATT&CK, DeTT&CT e Caldera) para medir a visibilidade e detecção de ameaças cibernéticas. O ATT&CK mapeia técnicas de ataque, o DeTT&CT avalia fontes de dados e habilidades de detecção, e o Caldera simula ações de adversários para testar as defesas.

Tecnologia

Medindo seu nível de
Visibilidade e Detecção usando
ATT&CK e DeTT&CT
@spookerlabs @tenchisecurity

● Cofundador da BlueOps (adquirida pela Tenchi)
● Pesquisador Senior e Consultor @ Tenchi Security
● Palestrante / Organizador CTF (BlueWars - H2HC)
● Autor de 2 patentes (http headers e detecting malicious docs)
● Morador de Florianópolis (Silicon Island)
● Triathlon / Crossfit / Cerveja
Sobre mim

1. MITRE ATT&CK
2. DeTT&CT
3. MITRE Caldera
4. Conclusões
Agenda

Introdução
● Lançado em 2015
● Mantido pelo MITRE
● Atualmente 12 táticas / 260+ técnicas
● Suporta Windows, Mac, Linux, Cloud e ICS
● Atualizado constantemente
● Pré, Mobile e Enterprise

Pirâmide da dor
Pyramid of Pain criado por David Bianco (@DavidJBianco)

Uso geral
● Priorizar investimentos
● Entender a visibilidade da defesa
● Descrever operações de ataque em uma única linguagem
● Conectar atacantes, mitigações e fraquezas numa simples visão
● Tomar ações mais rapidamente

Introdução ao DeTT&CT
● Lançado em Abril/2019
● DeTT&CT
○ Detect Tactics, Techniques & Combat Threats
● Criado para auxiliar o Blue Team
○ Qualidade das Fonte de Dados
○ Visibilidade
○ Detecção
○ Estruturar Playbooks
○ Comparar com ameaças

Fluxo DeTT&CT
Fontes
de
Dados
Técnicas
Visibilidade
Técnicas
Detecção
Grupos
Simulações
Red Team
APT

Detecção - Importante
Fonte: Google Images

Introdução MITRE Caldera
● Criado e mantido pelo MITRE
● Projeto de Emulação Adversário
● Agentes
○ Mac
○ Linux
○ Windows
● Plugins
● Editável
○ Payloads
○ Evaluations

Analisar resultados
Fontes
de
Dados
Técnicas
Visibilidade
Técnicas
Detecção
MITRE
CALDERA

Conclusões
● Entenda o seu ambiente
● Para detectar é necessário ver
● Simule ações maliciosas constantemente
● Adquira produtos que realmente precisa
● Treine seus profissionais - mindset > produtos

Rodrigo Montoro
Contato:
@spookerlabs
@tenchisecurity
rmontoro@tenchisecurity.com

Recomendados

Lost in Translation - Blackhat Brazil 2014Rodrigo Montoro

Introduction to Kubernetes SecurityAll Things Open

Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemRodrigo Montoro

Cloud Native Workload ATT&CK MatrixMITRE ATT&CK

Detecting AWS control plane abuse in an actionable way using Det{R}ailsTenchi Security

MITRE ATT&CKcon 2018: Summiting the Pyramid of Pain: Operationalizing ATT&CK,...MITRE - ATT&CKcon

Automating the mundanity of technique IDs with ATT&CK Detections CollectorMITRE ATT&CK

Using MITRE PRE-ATTACK and ATTACK in Cybercrime Education and ResearchMITRE - ATT&CKcon

What is ATT&CK coverage, anyway? Breadth and depth analysis with Atomic Red TeamMITRE ATT&CK

Breach and attack simulation toolsBangladesh Network Operators Group

MITRE ATT&CKcon 2.0: ATT&CK Coverage Assessment from a Data Perspective; Olaf...MITRE - ATT&CKcon

MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE - ATT&CKcon

The ATT&CK Latin American APT PlaybookMITRE ATT&CK

When Insiders ATT&CK!MITRE ATT&CK

MITRE AttACK framework it is time you took notice_v1.0Michael Gough

ATT&CKcon IntroMITRE ATT&CK

ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceMITRE - ATT&CKcon

Knowledge for the masses: Storytelling with ATT&CKMITRE ATT&CK

Sharpening your Threat-Hunting Program with ATTACK FrameworkMITRE - ATT&CKcon

Adversary Emulation Workshopprithaaash

Mapping ATT&CK Techniques to ENGAGE ActivitiesMITRE ATT&CK

ATT&CK Updates- CampaignsMITRE ATT&CK

Cloud Summit Canada com Rodrigo MontoroClavis Segurança da Informação

Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK

ATT&CK Updates- Defensive ATT&CKMITRE ATT&CK

Automation: The Wonderful Wizard of CTI (or is it?) MITRE ATT&CK

It's just a jump to the left (of boom): Prioritizing detection implementation...MITRE ATT&CK

Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...MITRE ATT&CK

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...Tenchi Security

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Tenchi Security

Mais conteúdo relacionado

Mais procurados

What is ATT&CK coverage, anyway? Breadth and depth analysis with Atomic Red TeamMITRE ATT&CK

Breach and attack simulation toolsBangladesh Network Operators Group

MITRE ATT&CKcon 2.0: ATT&CK Coverage Assessment from a Data Perspective; Olaf...MITRE - ATT&CKcon

MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE - ATT&CKcon

The ATT&CK Latin American APT PlaybookMITRE ATT&CK

When Insiders ATT&CK!MITRE ATT&CK

MITRE AttACK framework it is time you took notice_v1.0Michael Gough

ATT&CKcon IntroMITRE ATT&CK

ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceMITRE - ATT&CKcon

Knowledge for the masses: Storytelling with ATT&CKMITRE ATT&CK

Sharpening your Threat-Hunting Program with ATTACK FrameworkMITRE - ATT&CKcon

Adversary Emulation Workshopprithaaash

Mapping ATT&CK Techniques to ENGAGE ActivitiesMITRE ATT&CK

ATT&CK Updates- CampaignsMITRE ATT&CK

Cloud Summit Canada com Rodrigo MontoroClavis Segurança da Informação

Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK

ATT&CK Updates- Defensive ATT&CKMITRE ATT&CK

Automation: The Wonderful Wizard of CTI (or is it?) MITRE ATT&CK

It's just a jump to the left (of boom): Prioritizing detection implementation...MITRE ATT&CK

Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...MITRE ATT&CK

Mais procurados (20)

What is ATT&CK coverage, anyway? Breadth and depth analysis with Atomic Red Team

Breach and attack simulation tools

MITRE ATT&CKcon 2.0: ATT&CK Coverage Assessment from a Data Perspective; Olaf...

MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...

The ATT&CK Latin American APT Playbook

When Insiders ATT&CK!

MITRE AttACK framework it is time you took notice_v1.0

ATT&CKcon Intro

ATTACKers Think in Graphs: Building Graphs for Threat Intelligence

Knowledge for the masses: Storytelling with ATT&CK

Sharpening your Threat-Hunting Program with ATTACK Framework

Adversary Emulation Workshop

Mapping ATT&CK Techniques to ENGAGE Activities

ATT&CK Updates- Campaigns

Cloud Summit Canada com Rodrigo Montoro

Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...

ATT&CK Updates- Defensive ATT&CK

Automation: The Wonderful Wizard of CTI (or is it?)

It's just a jump to the left (of boom): Prioritizing detection implementation...

Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...

Mais de Tenchi Security

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...Tenchi Security

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Tenchi Security

Hunting for AWS Exposed ResourcesTenchi Security

The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...Tenchi Security

Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security

Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)Tenchi Security

SaaSpocalypse - The Complexity and Power of AWS Cross Account AccessTenchi Security

Novos Paradigmas de Segurança com adoção de Nuvem (AWS)Tenchi Security

Introdução à Segurança de Containers e KubernetesTenchi Security

Webinar Segurança de DevOpsTenchi Security

Latinoware 2019 - Securing Clouds Wide OpenTenchi Security

Mais de Tenchi Security (11)

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...

Hunting for AWS Exposed Resources

The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...

Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...

Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)

SaaSpocalypse - The Complexity and Power of AWS Cross Account Access

Novos Paradigmas de Segurança com adoção de Nuvem (AWS)

Introdução à Segurança de Containers e Kubernetes

Webinar Segurança de DevOps

Latinoware 2019 - Securing Clouds Wide Open

Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT

1. Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT @spookerlabs @tenchisecurity

2. Motivação

3. ● Cofundador da BlueOps (adquirida pela Tenchi) ● Pesquisador Senior e Consultor @ Tenchi Security ● Palestrante / Organizador CTF (BlueWars - H2HC) ● Autor de 2 patentes (http headers e detecting malicious docs) ● Morador de Florianópolis (Silicon Island) ● Triathlon / Crossfit / Cerveja Sobre mim

4. 1. MITRE ATT&CK 2. DeTT&CT 3. MITRE Caldera 4. Conclusões Agenda

5. MITRE ATT&CK

6. Introdução ● Lançado em 2015 ● Mantido pelo MITRE ● Atualmente 12 táticas / 260+ técnicas ● Suporta Windows, Mac, Linux, Cloud e ICS ● Atualizado constantemente ● Pré, Mobile e Enterprise

7. Pirâmide da dor Pyramid of Pain criado por David Bianco (@DavidJBianco)

8. Uso geral ● Priorizar investimentos ● Entender a visibilidade da defesa ● Descrever operações de ataque em uma única linguagem ● Conectar atacantes, mitigações e fraquezas numa simples visão ● Tomar ações mais rapidamente

9. Cyber Kill Chain & ATT&CK

10. Visão Geral Matriz (Enterprise)

11. DeTT&CT

12. Introdução ao DeTT&CT ● Lançado em Abril/2019 ● DeTT&CT ○ Detect Tactics, Techniques & Combat Threats ● Criado para auxiliar o Blue Team ○ Qualidade das Fonte de Dados ○ Visibilidade ○ Detecção ○ Estruturar Playbooks ○ Comparar com ameaças

13. Fluxo DeTT&CT Fontes de Dados Técnicas Visibilidade Técnicas Detecção Grupos Simulações Red Team APT

14. Fontes de Dados (Mapeamento)

15. Fontes de Dados (avaliação)

16. Técnicas

17. Visibilidade

18. Detecção

19. Detecção - Importante Fonte: Google Images

20. Grupos / Ameaças

21. DeTT&CT Editor

22. DeTT&CT - Command Line

23. MITRE CALDERA

24. Introdução MITRE Caldera ● Criado e mantido pelo MITRE ● Projeto de Emulação Adversário ● Agentes ○ Mac ○ Linux ○ Windows ● Plugins ● Editável ○ Payloads ○ Evaluations

25. Agentes

26. Adversários

27. Introdução MITRE Caldera

28. Analisar resultados Fontes de Dados Técnicas Visibilidade Técnicas Detecção MITRE CALDERA

29. Conclusões ● Entenda o seu ambiente ● Para detectar é necessário ver ● Simule ações maliciosas constantemente ● Adquira produtos que realmente precisa ● Treine seus profissionais - mindset > produtos

30. Rodrigo Montoro Contato: @spookerlabs @tenchisecurity rmontoro@tenchisecurity.com

Notas do Editor

https://mitre-attack.github.io/attack-navigator/enterprise/