1.

Understanding MITRE ATT&CK

MITRE ATT&CK framework giúp nhóm tập trung vào:
- Chiến thuật (Tactics): mục tiêu (technical goal) của kẻ tấn công.
- Kỹ thuật (Techniques): cách mà hắn đạt được mục tiêu đó.
- Quy trình (Procedures): các triển khai cụ thể của Techniques.

ATT&CK chỉ ra các chiến thuật kẻ tấn có thể sử dụng, giúp bạn hiểu cách họ tấn công
vào hệ thống của mình, từ đó tập trung kiểm soát bảo mật mục tiêu cần bảo vệ và
TTPs có thể xảy ra nhất. Sau khi hiểu được cách sử dụng các thông tin này (gọi là
cyber threat intelligence - CTI) thì bạn có thể bắt đầu các bước phân tích. Ngoài ra, để
kiểm tra khả năng phòng thủ thì bạn thực hiện giả lập tấn công, bằng các bước sau:
- Chọn ra một kỹ thuật tấn công.
- Chọn ra các test của kỹ thuật đó.
- Thực hiện kỹ thuật đó theo các bước trong quy trình.
- Phân tích hiệu quả phòng thủ.
- Đưa ra các biện pháp cải thiện khả năng phòng thủ.

MITRE khuyến nghị quy trình 5 bước để tự thực hiện kế hoạch giả lập tấn công:
- Tập hợp thông tin: chọn ra các tấn công có thể xảy ra với tổ chức, làm việc
cùng CTI team để phân tích các thông tin về kiểu tấn công đó.
- Map các thông tin CTI với Technique.
- Phân tích và tổ chức kế hoạch phù hợp với quy trình vận hành.
- Tìm kiếm hoặc phát triển công cụ được sử dụng trong Procedure tương ứng.
- Thực hiện giả lập tấn công.
Sau khi quy trình này diễn ra, các team có thể họp lại để xác định mối đe doạ tiếp theo
cần giả lập.

2. Using Threat Intelligence and Threat-Informed Defense

Level 1: Sử dụng CTI với nguồn lực giới hạn
CTI là thông tin về những gì kẻ tấn công làm và bạn sử dụng các thông tin đó để
nâng cao hiệu quả phòng thủ trước các mối đe doạ đã biết. Do đó, nếu nguồn lực là
giới hạn thì bạn có thể bắt đầu bằng việc chọn ra những nhóm tấn công mà mục tiêu
của họ thường là những mục tiêu tương tự với hệ thống của bạn, và tìm hiểu các
hành vi của họ trên ATT&CK. Ngoài ra, bạn cũng có thể tham khảo một số nhà
cung cấp TI cũng map dữ liệu của họ với ATT&CK.

Level 2: Với team đã được phát triển

Ở mức này bạn sẽ tự map intel mình thu thập được với ATT&CK, có thể là từ
những báo cáo sự cố trong công ty của bạn, hoặc từ blog post. Tuy nhiên, sẽ rất khó
nếu bạn không biết tất cả các kỹ thuật hiện có, do đó có các bước khuyến nghị như
sau:
- Hiểu về ATT&CK, làm quen với các TTP trên đó.
- Tìm kiếm về các hành vi của kẻ tấn công từ các intel có từ báo cáo.
- Nghiên cứu các hành vi đó.
- Chuyển các hành vi đó về Tactics phù hợp.
- Xác định các Technique tương ứng với hành vi đó từ trang web ATT&CK.
- So sánh kết quả với các người phân tích khác.

Level 3: Với team nâng cao

Ở mức này, bạn có thể map nhiều thông tin hơn với ATT&CK để ưu tiên phòng thủ
cho doanh nghiệp của bạn. Nghĩa là bạn có thể tham khảo từ nhiều nguồn thông tin
khác nhau ngoài ATT&CK như báo cáo sự cố, cảnh báo bảo mật, OSINT... Sau khi
đã map được các thông tin này, so sánh chúng với các nhóm và ưu tiên các kỹ
thuật thường được sử dụng. Ngoài ra, bạn có thể tạo ra một heatmap thống kê các
kỹ thuật tấn công phổ biến và quan trọng nhất.

3. Building Detection and Analytics

3.1. Limited Resources
Khả năng phân tích phụ thuộc vào việc hiểu dữ liệu và khả năng tìm kiếm. Để tìm các
hành vi nghi ngờ, có thể tham khảo các nguồn dữ liệu của các Technique trên
ATT&CK.

Sau khi đã hiểu về dữ liệu mình có, bạn sẽ tập hợp chúng vào một nền tảng tìm kiếm,
phân tích (thường là SIEM). Đảm bảo bạn đã đọc và hiểu mô tả về từng cách phân tích
để nhận biết các mục tiêu của chúng. Có thể tham khảo các pseudocode và Sigma
rule để chuyển chúng về các rule phù hợp với hệ thống của bạn.

Sau khi đã hiểu về các chức năng tìm kiếm dữ liệu cơ bản và có thể hiểu kết quả đầu
ra, bạn hãy cố gắng giảm thiểu false positive càng nhiều càng tốt (nhưng không bao
giờ không có) trong khi vẫn có thể phát hiện được cách hành vi độc hại.

3.2. Level 2: Using Analytics on a More Developed Team

Sau khi đã biết cách phân tích từ những người khác (từ pseudocode hoặc Sigma), bạn
sẽ mở rộng bằng cách tự viết ra các phân tích của mình. Để bắt đầu, tìm kiếm mô tả
về Technique từ ATT&CK và các báo cáo TI. Sau đó, tìm cách thử các Procedure của
Technique đó.
- Sử dụng các công cụ open-source của red team.
- Sau khi chạy xong, kiểm tra trên SIEM xem log nào đã được tạo.
 3.3. Level 3: Using Analytics on an Advanced Team
Advanced team ở đây có thể coi là Purple team. Tức là sau khi Blue team đưa ra
phương án phòng thủ và áp dụng nó thì sẽ cung cấp thông tin về nó cho Red
team, và Red team sẽ tìm cách để vượt qua lớp phòng thủ đó. Từ đó cho thấy hiệu
quả của phương án đó.

Nếu hiệu quả là chưa đủ, tham khảo ATT&CK để tham khảo xem bạn đã không
bảo vệ được những gì. Ngoài ra, để theo dõi việc phân tích của mình, bạn sẽ tạo ra
heatmap để highlight vào các TTP để xác định độ bao phủ (coverage) của phương
án phòng thủ trước những hành vi tấn công.

4. Developing Assessments and Engineering

3 bước để thực hiện đánh giá (assessment):
- Đánh giá hiệu quả phòng thủ hiện tại trước các tấn công có trên ATT&CK.
- Nhận diện các “khoảng trống” phòng thủ.
- Điều chỉnh phòng thủ để giải quyết vấn đề.

4.1. Level 1: Conducting Assessments with Limited Resources

Bắt đầu với một Technique cụ thể và cải tiến các cách để phát hiện nó. Thông thường
sẽ xảy ra ba khả năng sau:
- Phân tích của bạn đã phát hiện được Technique đó.
- Phân tích của bạn chưa phát hiện được nhưng bạn đã có đúng nguồn dữ liệu để
phát hiện nó.
- Bạn thiếu nguồn dữ liệu để phát hiện.

Nếu muốn nâng cao khả năng phát hiện, bạn thực hiện quy trình trên nhiều lần với các
Technique khác nhau, đồng thời theo dõi tiến độ bao phủ bằng cách sử dụng ATT&CK
Navigator để tạo heatmap.

4.2. Level 2: More Advanced Analytics and Engineering

Đặt mức độ tin cậy cho khả năng phát hiện là mức thấp sẽ tốt hơn trong việc đánh
giá hiệu quả thay vì cao. Với mỗi phân tích, tìm ra nó tập trung vào cái gì và map nó
vào ATT&CK. Ngoài ra, tham khảo thêm những phần mềm thường được sử dụng
cùng với Technique đó, phân tích kết quả sau khi chạy chúng, lập heatmap cho chúng
(về mục tiêu công cụ, ảnh hưởng, hành vi...).
 5. Making MITRE ATT&CK Operational
Chuyển dịch từ Threat Intelligence đến Threat-Informed Defense, tức là phục vụ cho
việc tự động hoá những bài kiểm tra bảo mật của Red Team và xác minh tính hiệu
quả của những kiểm soát bảo mật (về con người, quy trình, công nghệ - People,
Process, Techniques - PPT) mà Blue Team đưa ra. Nếu hệ thống phòng thủ không
hướng tới các mối đe doạ đó, thì các tài nguyên sẽ bị lãng phí. Sự kết hợp giữa MITRE
ATT&CK, giả lập tấn công và Purple team sẽ tạo ra Threat-Informed Defense.

6. Ten Ways to Apply the MITRE ATT&CK Framework

- Nhóm bảo mật có thể sử dụng ATT&CK như một cách để tích hợp, đánh giá và
tập trung phát triển CTI hướng đến những mối đe doạ chính. Ngoài ra còn có
thể dựa trên ATT&CK để xây dựng các kế hoạch giả lập tấn công, triển khai
các phương án phòng thủ và quyết định phân bổ nguồn lực vào các lĩnh vực
phòng thủ cụ thể.
- Đánh giá các giải pháp bảo mật xem có thể đáp ứng được yêu cầu doanh nghiệp
không và hợp lý hoá các yêu cầu để triển khai biện pháp phòng thủ bằng
ATT&CK.
- Sử dụng ATT&CK để đào tạo và luyện tập cho những người phân tích.
- Áp dụng ATT&CK vào Threat Hunting, ví dụ như với hành vi mới được
ATT&CK đưa ra thì CTI team sẽ tổng hợp lại và SOC team sẽ thực hiện các bài
test để kiểm tra phòng thủ trước mối đe doạ mới này.