چارچوب Mitre’s ATT&CK چیست؟
از همین رو نیز دنیای امنیت امروز نیازمند محققان و تحلیل گران امنیتی است که ورای نشانه های تکنیکی رایج بدافزار ها و فعالیت های مخرب را هدف گرفته و با تمرکز بر الگوی رفتاری این تهدیدات مانند تاکتیک ها و تکنیک های به کار رفته در آن ها برای تعیین فعالیت های مخرب این تهدید ها تلاش کنند.
MITRE ATT&CK ساز و کاری است که برای ایجاد یک پایگاه اطلاعات مرتبط به تاکتیک ها و تکنیک های مهاجمان سایبری بر پایه ی مشاهدات حقیقی و عملی متخصصان امنیت ایجاد شده است. در حقیقت، MITRE ATT&CK بهترین سازوکار ممکن برای تولید برنامه های شناسایی تهدید و پاسخگویی به حوادث سایبری محسوب می شود. ATT&CK هم چنین رویکردی قدرتمند برای بهبود، آنالیز و تست فرایند های شناسایی و شکار تهدید یک سازمان است.
ساز و کار ATT&CK توانایی مورد استفاده قرار گرفتن در هر پنج حوزه ی NIST CSF را دارا می باشد اما عمدتا در فاز شناسایی است که مورد استفاده قرار می گیرد. این ساز و کار تعیین می کند که چه تکنیک هایی می توانند در شناسایی و تشخیص حوادث سایبری نقش ایفا کنند. برای مثال، از میان این تکنیک ها می توان به بررسی endpoint ها، PowerShell، تغییرات Active Directory و… اشاره کرد. به کار بردن ساز و کار ATT&CK در فرایند شناسایی تهدید های سایبری، خسارات ناشی از این تهدید ها را به حداقل می رساند.
ATT&CK یکی از روشهای جامعی است که می تواند به اجزای بدافزار واقعی نگاه کند و آنها را با جزئیات بیان کند. بیشتر بدافزارهای مدرن از ترکیبی از تکنیک ها برای پنهان کردن عملکرد خود، اجرای سوئ استفاده و جلوگیری از شناسایی و ضعف های شبکه استفاده می کنند. پیدا کردن این قسمتهای مختلف کمک بزرگی است در راستای شناخت و دفاع در مقابل آنها.
