Medindo visibilidade e detecção com ATT&CK e DeTT&CT

•Transferir como PPTX, PDF•

1 gostou•930 visualizações

O documento apresenta três frameworks (ATT&CK, DeTT&CT e Caldera) para medir a visibilidade e detecção de ameaças cibernéticas. O ATT&CK mapeia técnicas de ataque, o DeTT&CT avalia fontes de dados e habilidades de detecção, e o Caldera simula ações de adversários para testar as defesas.

Tecnologia

Medindo seu nível de
Visibilidade e Detecção usando
ATT&CK e DeTT&CT
@spookerlabs @tenchisecurity

● Cofundador da BlueOps (adquirida pela Tenchi)
● Pesquisador Senior e Consultor @ Tenchi Security
● Palestrante / Organizador CTF (BlueWars - H2HC)
● Autor de 2 patentes (http headers e detecting malicious docs)
● Morador de Florianópolis (Silicon Island)
● Triathlon / Crossfit / Cerveja
Sobre mim

1. MITRE ATT&CK
2. DeTT&CT
3. MITRE Caldera
4. Conclusões
Agenda

Introdução
● Lançado em 2015
● Mantido pelo MITRE
● Atualmente 12 táticas / 260+ técnicas
● Suporta Windows, Mac, Linux, Cloud e ICS
● Atualizado constantemente
● Pré, Mobile e Enterprise

Pirâmide da dor
Pyramid of Pain criado por David Bianco (@DavidJBianco)

Uso geral
● Priorizar investimentos
● Entender a visibilidade da defesa
● Descrever operações de ataque em uma única linguagem
● Conectar atacantes, mitigações e fraquezas numa simples visão
● Tomar ações mais rapidamente

Introdução ao DeTT&CT
● Lançado em Abril/2019
● DeTT&CT
○ Detect Tactics, Techniques & Combat Threats
● Criado para auxiliar o Blue Team
○ Qualidade das Fonte de Dados
○ Visibilidade
○ Detecção
○ Estruturar Playbooks
○ Comparar com ameaças

Fluxo DeTT&CT
Fontes
de
Dados
Técnicas
Visibilidade
Técnicas
Detecção
Grupos
Simulações
Red Team
APT

Detecção - Importante
Fonte: Google Images

Introdução MITRE Caldera
● Criado e mantido pelo MITRE
● Projeto de Emulação Adversário
● Agentes
○ Mac
○ Linux
○ Windows
● Plugins
● Editável
○ Payloads
○ Evaluations

Analisar resultados
Fontes
de
Dados
Técnicas
Visibilidade
Técnicas
Detecção
MITRE
CALDERA

Conclusões
● Entenda o seu ambiente
● Para detectar é necessário ver
● Simule ações maliciosas constantemente
● Adquira produtos que realmente precisa
● Treine seus profissionais - mindset > produtos

Rodrigo Montoro
Contato:
@spookerlabs
@tenchisecurity
rmontoro@tenchisecurity.com

Mais conteúdo relacionado

Mais procurados

How MITRE ATT&CK helps security operationsSergey Soldatov

MITRE ATT&CK frameworkBhushan Gurav

Kubernetes SecurityKarthik Gaekwad

MITRE ATT&CK Frameworkn|u - The Open Security Community

Adversary Emulation using CALDERAErik Van Buggenhout

Introduction to PrometheusJulien Pivotto

MITRE ATT&CKcon 2018: Building an Atomic Testing Program, Brian Beyer, Red Ca...MITRE - ATT&CKcon

Kheirkhabarov24052017_phdays7Teymur Kheirkhabarov

ClickHouse Monitoring 101: What to monitor and howAltinity Ltd

MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon

Container SecurityJie Liau

PHDays 2018 Threat Hunting Hands-On LabTeymur Kheirkhabarov

VietOpenStack meetup 7th Auto-scalingVietnam Open Infrastructure User Group

Kubernetes and container securityVolodymyr Shynkar

Hunting fileless malwareOlha Pasko

Kubernetes Webinar - Using ConfigMaps & Secrets Janakiram MSV

Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar

Flagger: Istio Progressive Delivery OperatorWeaveworks

ATT&CKcon IntroMITRE ATT&CK

A Threat Hunter HimselfSergey Soldatov

Mais procurados (20)

How MITRE ATT&CK helps security operations

MITRE ATT&CK framework

Kubernetes Security

MITRE ATT&CK Framework

Adversary Emulation using CALDERA

Introduction to Prometheus

MITRE ATT&CKcon 2018: Building an Atomic Testing Program, Brian Beyer, Red Ca...

Kheirkhabarov24052017_phdays7

ClickHouse Monitoring 101: What to monitor and how

MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...

Container Security

PHDays 2018 Threat Hunting Hands-On Lab

VietOpenStack meetup 7th Auto-scaling

Kubernetes and container security

Hunting fileless malware

Kubernetes Webinar - Using ConfigMaps & Secrets

Effective Threat Hunting with Tactical Threat Intelligence

Flagger: Istio Progressive Delivery Operator

ATT&CKcon Intro

A Threat Hunter Himself

Mais de Tenchi Security

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...Tenchi Security

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Tenchi Security

Hunting for AWS Exposed ResourcesTenchi Security

The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...Tenchi Security

Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security

Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)Tenchi Security

SaaSpocalypse - The Complexity and Power of AWS Cross Account AccessTenchi Security

Novos Paradigmas de Segurança com adoção de Nuvem (AWS)Tenchi Security

Introdução à Segurança de Containers e KubernetesTenchi Security

Webinar Segurança de DevOpsTenchi Security

Latinoware 2019 - Securing Clouds Wide OpenTenchi Security

Mais de Tenchi Security (11)

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...

Hunting for AWS Exposed Resources

The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...

Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...

Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)

SaaSpocalypse - The Complexity and Power of AWS Cross Account Access

Novos Paradigmas de Segurança com adoção de Nuvem (AWS)

Introdução à Segurança de Containers e Kubernetes

Webinar Segurança de DevOps

Latinoware 2019 - Securing Clouds Wide Open

Medindo visibilidade e detecção com ATT&CK e DeTT&CT

1. Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT @spookerlabs @tenchisecurity

2. Motivação

3. ● Cofundador da BlueOps (adquirida pela Tenchi) ● Pesquisador Senior e Consultor @ Tenchi Security ● Palestrante / Organizador CTF (BlueWars - H2HC) ● Autor de 2 patentes (http headers e detecting malicious docs) ● Morador de Florianópolis (Silicon Island) ● Triathlon / Crossfit / Cerveja Sobre mim

4. 1. MITRE ATT&CK 2. DeTT&CT 3. MITRE Caldera 4. Conclusões Agenda

5. MITRE ATT&CK

6. Introdução ● Lançado em 2015 ● Mantido pelo MITRE ● Atualmente 12 táticas / 260+ técnicas ● Suporta Windows, Mac, Linux, Cloud e ICS ● Atualizado constantemente ● Pré, Mobile e Enterprise

7. Pirâmide da dor Pyramid of Pain criado por David Bianco (@DavidJBianco)

8. Uso geral ● Priorizar investimentos ● Entender a visibilidade da defesa ● Descrever operações de ataque em uma única linguagem ● Conectar atacantes, mitigações e fraquezas numa simples visão ● Tomar ações mais rapidamente

9. Cyber Kill Chain & ATT&CK

10. Visão Geral Matriz (Enterprise)

11. DeTT&CT

12. Introdução ao DeTT&CT ● Lançado em Abril/2019 ● DeTT&CT ○ Detect Tactics, Techniques & Combat Threats ● Criado para auxiliar o Blue Team ○ Qualidade das Fonte de Dados ○ Visibilidade ○ Detecção ○ Estruturar Playbooks ○ Comparar com ameaças

13. Fluxo DeTT&CT Fontes de Dados Técnicas Visibilidade Técnicas Detecção Grupos Simulações Red Team APT

14. Fontes de Dados (Mapeamento)

15. Fontes de Dados (avaliação)

16. Técnicas

17. Visibilidade

18. Detecção

19. Detecção - Importante Fonte: Google Images

20. Grupos / Ameaças

21. DeTT&CT Editor

22. DeTT&CT - Command Line

23. MITRE CALDERA

24. Introdução MITRE Caldera ● Criado e mantido pelo MITRE ● Projeto de Emulação Adversário ● Agentes ○ Mac ○ Linux ○ Windows ● Plugins ● Editável ○ Payloads ○ Evaluations

25. Agentes

26. Adversários

27. Introdução MITRE Caldera

28. Analisar resultados Fontes de Dados Técnicas Visibilidade Técnicas Detecção MITRE CALDERA

29. Conclusões ● Entenda o seu ambiente ● Para detectar é necessário ver ● Simule ações maliciosas constantemente ● Adquira produtos que realmente precisa ● Treine seus profissionais - mindset > produtos

30. Rodrigo Montoro Contato: @spookerlabs @tenchisecurity rmontoro@tenchisecurity.com

Notas do Editor

https://mitre-attack.github.io/attack-navigator/enterprise/

Medindo visibilidade e detecção com ATT&CK e DeTT&CT

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Mais de Tenchi Security

Mais de Tenchi Security (11)

Medindo visibilidade e detecção com ATT&CK e DeTT&CT

Notas do Editor