Frameworks

MITRE ATT&CKAdversarial Tactics, Techniques & Common Knowledge

MITRE ATT&CK je globálne uznávaný framework, ktorý katalogizuje reálne taktiky, techniky a procedúry (TTP) používané kybernetickými útočníkmi. Slúži SOC tímom ako spoločný jazyk pre detekciu, threat hunting a gap analysis.

Čo je MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) je verejne dostupná báza znalostí o tom, ako útočníci reálne útočia. Spravuje ju nezisková organizácia MITRE Corporation a aktualizuje sa kontinuálne na základe pozorovaných incidentov.

Vznikol v roku 2013 z internej výskumnej iniciatívy a dnes je de facto štandard pre opis kybernetického správania. Používa ho každý seriózny SOC, EDR, SIEM, threat intel platforma aj akademická obec.

Štruktúra ATT&CK frameworku

Tri hierarchické úrovne:

  • Tactics (taktiky): "prečo" útočník robí krok. Čo chce dosiahnuť. 14 taktík pre Enterprise matrix.
  • Techniques (techniky): "ako" dosiahne cieľ. ~200 techník, z toho ~400 sub-techník.
  • Procedures (procedúry): "konkrétne príklady". Reálne nástroje, malware, skripty, ktoré APT skupiny použili.

Príklad: Taktika = Initial Access. Technika = Phishing (T1566). Sub-technika = Spearphishing Attachment (T1566.001). Procedúra = APT29 použila .docx s makrom obsahujúcim Cobalt Strike beacon.

14 taktík (Enterprise matrix)

  1. Reconnaissance: zber informácií pred útokom (OSINT, scanovanie)
  2. Resource Development: príprava infraštruktúry (domény, C2, malware)
  3. Initial Access: prvé dostane do siete (phishing, exploit, valid creds)
  4. Execution: spustenie maliciózneho kódu
  5. Persistence: pretrvanie po reboote (registry, scheduled tasks)
  6. Privilege Escalation: získanie vyšších práv
  7. Defense Evasion: obchádzanie detekcie (obfuscation, log clearing)
  8. Credential Access: krádež hesiel, tokenov, kľúčov
  9. Discovery: mapping siete, identifikácia targetov
  10. Lateral Movement: pohyb medzi systémami
  11. Collection: zber dát pre exfil (screenshot, keylog, files)
  12. Command and Control: komunikácia s útočníkom (C2 channels)
  13. Exfiltration: vyvedenie dát von
  14. Impact: finálny efekt (encrypt, wipe, deface)

Použitie ATT&CK v SOC

1. Mapovanie detekcií

Každé korelačné pravidlo v SIEM/EDR sa označí ATT&CK identifikátorom (napr. T1059.001: PowerShell). To umožní gap analysis: kde máme detekciu, kde nie?

2. Threat hunting

Analytik pri proaktívnom love má checklist: hľadám stopy Credential Dumping (T1003)? Pass-the-Hash (T1550.002)? WMI Event Subscription (T1546.003)?

3. Adversary emulation

Red team imituje konkrétnu APT skupinu (FIN7, APT28) podľa známej kill chain. Blue team verifikuje, či ich detekuje.

4. Komunikácia s manažmentom

"Pokrývame 78 % MITRE techník relevantných pre náš sektor" je merateľný KPI, ktorý chápe aj non-technical CIO.

5. Threat intelligence enrichment

Threat intel report o novom APT obsahuje TTP mapping. Vieme okamžite, či máme detekcie alebo blindspot.

MITRE ATT&CK vs Cyber Kill Chain

Cyber Kill Chain (Lockheed Martin, 2011): lineárny model so 7 fázami (Recon → Weaponize → Deliver → Exploit → Install → C2 → Actions). Vzdelávací, ale zjednodušujúci.

MITRE ATT&CK: matica, nie reťaz. Útočníci preskakujú, vracajú sa, kombinujú. Podrobnejší (stovky techník), aktualizovaný (každý kvartál), reflektuje reálne TTP.

Praktický verdikt: Kill Chain pre executive briefing, ATT&CK pre denné SOC operácie.

Komunitné nástroje

  • ATT&CK Navigator: web-based vizualizácia, farbenie matrix podľa pokrytia / threat actor
  • CALDERA (MITRE): open-source adversary emulation platform
  • Atomic Red Team (Red Canary): knižnica jednoduchých testov pre každú techniku
  • Sigma rules: generický formát detekcií, často mapovaný na ATT&CK
  • D3FEND (MITRE): komplementárny framework pre defensive techniky

Časté otázky o MITRE ATT&CK

Čo znamená ATT&CK?
ATT&CK = Adversarial Tactics, Techniques and Common Knowledge. Je to framework od neziskovej organizácie MITRE, ktorý katalogizuje reálne taktiky a techniky kybernetických útočníkov.
Ako sa používa MITRE ATT&CK v SOC?
Štyri hlavné použitia: mapovanie detekčných pravidiel na techniky pre gap analysis, plánovanie threat huntingu, red team adversary emulation, reporting pokrytia pre manažment.
Aký je rozdiel medzi MITRE ATT&CK a Cyber Kill Chain?
Cyber Kill Chain je lineárny 7-fázový model (Lockheed Martin, 2011). ATT&CK je nelineárna matica so 14 taktikami a 200+ technikami: detailnejšia, kontinuálne aktualizovaná, lepšie reflektuje moderné útoky.
Je MITRE ATT&CK zadarmo?
Áno. Celý framework, dokumentácia, Navigator nástroj aj CALDERA sú voľne dostupné na attack.mitre.org pod open licenciami. MITRE je americká nezisková organizácia financovaná federálnymi grantmi.
Ako často sa MITRE ATT&CK aktualizuje?
Major release zvyčajne 2× ročne (april/október), drobné update-y priebežne. Nové techniky pribudnú keď ich pozoruje threat research komunita v reálnych útokoch.