O documento aborda o framework MITRE ATT&CK, criado para entender as táticas e técnicas de ataque, apresentando sua evolução e aplicação em diferentes sistemas operacionais. Ele discute a importância da integração entre segurança ofensiva e defensiva, oferecendo uma abordagem para monitoramento contínuo e priorização de ameaças. O autor enfatiza a necessidade de integrar o framework no cotidiano das empresas e colaborar com fabricantes para otimizar a segurança cibernética.

1. Mitre ATT&CK -
Quando Risco, Ataque e Defesa
falam a mesma linguagem
Rodrigo "Sp0oKeR" Montoro
Security Engineer Neoway & Instrutor BlueOps
@spookerlabs

2. Motivação

3. Sobre mim

4. Agenda
● Introdução ao Mitre ATT&CK
● Ecossistema de Segurança
● ATT&CKando o Ecossistema
● Conclusões

5. Introdução ao Mitre ATT&CK

6. Histórico
● Criado e mantido pelo MITRE
● Adversarial, Tactics, Techniques & Common Knowledge
● Lançado em 2015
● Atualmente 11 táticas / 239 técnicas
● Contempla Windows/Mac/Linux
● Dividido em Pré, Mobile e Enterprise

7. Táticas , Técnicas e Procedimentos
Hashes
Endereços IP
Domínios(DNS)
Artefatos de
Rede e Host
TTPs
Ferramentas
Trivial
Fácil
Simples
Irritante
Desafiador
Difícil!
David Bianco - Pirâmide da dor

8. Mobile

9. Pré-ATT&CK

10. Enterprise

11. Matriz Enterprise

12. Cadeia de informações

13. Ecossistema de Segurança

14. Risco / Governança
● Compliance
● ISO 27001
● PCI
● GDPR
● SOX
● CVSS / DREAD

15. Ofensivo
● OWASP Top10
● CWE
● SQLi
● XSS
● RCE
● LFI/RFI

16. Defensivo
● IDS
● WAF
● EDR
● Anti Malware
● NSM
● Threat Hunting
● SIEM

17. Threat Intel
● IoC
● Hashes
● IP
● Binários
● TTP's

18. Ecossistema realidade
Ofensivo Defensivo
Threat Intel
Risco

19. ATT&CKando o ecossistema

20. Risco Base

21. RiscoBase2Elastic

22. Fluxo
Comunidade
Mitre
Monitoramento
Contínuo
Empresa
Manual
Testes de Invasão
Alertas "SIEM"
Threat Intel
Produtos
Grupos
Atualizações

23. ATT&CK to Enterprise

24. ATT&CK to Enterprise (risco técnica trivial)

25. ATT&CK to Enterprise (risco técnica critical)

26. Defensive tool

27. ATT&CK to Enterprise (API check)

28. Funcionalidades / Resultados
● Priorizar ameaças encontradas, alertadas e atualizações
● Rápida resposta em possíveis produtos / fonte de dados necessários
● Correlação entre oferta vendedor e necessidades
● Encontrar GAP's de configuração/posicionamento
● Entender risco de grupos com a atualidade empresa
● Planejar testes

29. Conclusões
● Adicione o framework ao seu dia a dia
● Cobre dos fabricantes informações para mapear produto e ATT&CK
● Priorize ações com contexto da situação real de segurança
● Aproxime Red e Blue Team

30. Obrigado!
rodrigo.montoro@neoway.com.br
rodrigo.montoro@blueops.com.br
@spookerlabs