Benefícios da adoção da abordagem Zero Trust através da lente das estruturas MITRE ATT&CK e D3FEND

Os criminosos cibernéticos operam verificando as redes e aplicações de suas organizações-alvo — sua superfície de ataque digital — para criar ataques em várias etapas usando várias técnicas e procedimentos que exploram vulnerabilidades descobertas e de dia zero. Neste artigo, consideramos várias classes de ameaças contra as quais as empresas devem se defender e destacamos o uso de princípios de zero trust para aumentar as chances de conter os danos das atividades dos adversários. Em seguida, damos uma breve olhada nas táticas, técnicas e procedimentos dos invasores, que são codificados na estrutura MITRE ATT&CK. Por fim, discutimos a estrutura MITRE D3FEND e a mapeamos para os princípios de zero trust.

No glossário do Centro de Recursos de Segurança Computacional (CSRC), o Instituto Nacional de Padrões e Tecnologia (NIST) oferece uma definição abstrata de “superfície de ataque” como “o conjunto de pontos no limite de um sistema, um elemento do sistema ou um ambiente onde um invasor pode tentar entrar, causar um efeito ou extrair dados desse sistema, elemento do sistema ou ambiente”.

Outra forma de pensar na “superfície de ataque” é considerando todas as vulnerabilidades conhecidas e desconhecidas que se escondem em vários componentes do ambiente digital. Uma lista não exaustiva desses componentes incluiria:

• Ativos de rede físicos e virtuais, computação e armazenamento
  
• Hipervisores, máquinas virtuais, sistemas de orquestração de contêineres, malhas de serviços
  
• Software executado nesses ativos, como firmware, sistemas operacionais, software de gerenciamento de banco de dados, software de aplicação
  
• Repositórios de imagens de contêiner, repositórios de imagens de VM, repositórios de códigos
  
• APIs internas e externas, pontos de extremidade de microsserviços, portais de aplicações
  
• Serviços externos ao ambiente local, mas consumidos localmente, como serviços de validação de identidade, servidores de horários e armazenamento remoto de dados
  
• Armazenamentos de identidades, bancos de dados de contas de usuários, armazenamentos de dados corporativos

Para minimizar o risco para os negócios, as organizações devem defender seus próprios ativos digitais e propriedade intelectual, bem como a privacidade de seus clientes e funcionários, ao mesmo tempo em que cumprem todos os requisitos de conformidade regulatória. Elas devem fazer isso e ao mesmo tempo garantir que os fluxos de trabalho de negócios e as experiências digitais continuem disponíveis e confiáveis. A solução para esse desafio é aderir aos princípios de zero trust: usar privilégios mínimos, verificar explicitamente, avaliar continuamente e presumir a violação.¹ Ao fazer isso, as organizações podem lidar com várias classes diferentes de ameaças, conforme discutido nas seções a seguir.

Os dados são o sangue vital das empresas digitais modernas; portanto, os invasores têm fortes motivações financeiras para buscar os dados de uma organização. Depois de roubados, os dados podem ser vendidos na dark web e usados por outras partes para causar mais danos ao proprietário dos dados. Uma organização também pode ser vítima de ransomware, onde os invasores tornam os dados da organização indisponíveis, criptografando os dados no local ou removendo-os totalmente da infraestrutura da organização. Os invasores podem então exigir pagamento — um “resgate” — da vítima em troca da restauração dos dados. Uma terceira classe de ataque de dados, usada pelos agentes que simplesmente desejam causar danos, é corromper sutilmente os dados, interrompendo assim os processos de negócios e as experiências digitais que dependem deles.

O vazamento ou a violação de dados ocorre quando um adversário obtém acesso a informação confidencial sem o consentimento do proprietário. Além do impacto sobre a propriedade intelectual, esses ataques muitas vezes causam danos à marca e perda de confiança. A lei exige que as organizações violadas relatem qualquer perda de dados que contenha informações de identificação pessoal. Técnicas de phishing, exploração de vulnerabilidades em aplicações voltadas para o público e utilização de comprometimento da cadeia de suprimentos são métodos populares de infiltração no ambiente digital onde os dados são armazenados.

Um exemplo recente e notável foi o ataque à cadeia de suprimentos SolarWinds,² que os adversários costumavam penetrar em milhares de empresas e organizações governamentais. Esse acesso inicial serviu como trampolim para as etapas subsequentes de exploração de ataques, estabelecendo uma presença persistente na infraestrutura digital, permitindo o movimento lateral em várias aplicações e redes de vítimas. Em última análise, essas táticas levaram aos objetivos finais do invasor — comprometer credenciais/senhas e exfiltrar os dados da vítima.

Outra forma de ataque contra dados são os ataques de “ransomware”, nos quais hackers implantam malware para interromper ou bloquear totalmente os principais processos de negócios. Em geral, os dados essenciais para os negócios são criptografados ou removidos, interrompendo os fluxos de trabalho críticos. Em alguns casos, os dados no armazenamento de dados de autenticação de identidade também são criptografados ou removidos, bloqueando de forma efetiva e completa os usuários legítimos fora do sistema. Somente após o recebimento do “resgate” é que os invasores restauram o acesso ao sistema ou descriptografam os dados. Em maio de 2021, um ataque de ransomware paralisou o Colonial Pipeline,³ que transporta gasolina e combustível para jato para o sudeste dos Estados Unidos.

Alguns adversários usam uma abordagem mais sutil em seus ataques de dados. Em vez de exfiltrar os dados ou indisponibilizá-los, esses invasores sofisticados fazem um pequeno número de alterações cuidadosamente direcionadas aos dados no próprio local da organização vítima — com o retorno sendo oferecido através dos fluxos de trabalho externos normais da aplicação. Os exemplos incluem o aumento da fração de assentos de companhias aéreas que devem ser vendidos com desconto, a manipulação de um banco de dados de suprimentos de estoque para fazer parecer que mais ou menos itens estão à venda ou a adição de um código de desconto especial em um site de varejo eletrônico. Essas alterações “furtivas”, que muitas vezes são difíceis de detectar até que o dano seja feito, aproveitam os fluxos de trabalho da própria vítima para extrair valor para o invasor.

Os hackers iniciam ataques que consomem recursos na rede e na infraestrutura de computação de forma que os processos de negócios sejam paralisados ou funcionem de forma ineficiente. Os objetivos desses ataques variam desde prejudicar a marca da organização-alvo até extorquir pagamento para alcançar um resultado de negócios específico, como tornar as vendas de ingressos on-line indisponíveis. Além disso, invasores avançados costumam usar esse tipo de ataque como uma cortina de fumaça enquanto realizam outras etapas de um ataque simultâneo e mais sofisticado.

Os invasores usam botnets para direcionar o tráfego do ataque para os recursos do alvo para iniciar ataques distribuídos de negação de serviço (DDoS). Os ataques DDoS volumétricos inundam a rede do alvo com tráfego, consumindo toda a largura de banda disponível. Os ataques de protocolo DDoS enviam tráfego especializado para preencher tabelas de conexão em dispositivos de rede com monitoração de estado — como firewalls — para que as conexões legítimas sejam descartadas. Os ataques DDoS de aplicações consomem recursos nos servidores com solicitações ilegítimas.

Os invasores podem obter acesso não autorizado a recursos de computação para executar cálculos em nome do invasor, cujos resultados são relatados a um servidor de comando e controle. Na maioria das vezes, isso é feito para executar código de mineração de criptografia em segundo plano, sem o conhecimento do proprietário do computador. Phishing e downloads do tipo drive-by são métodos comuns usados para implantar código de mineração de criptografia em computadores. Os hackers usam a tática de movimento lateral MITRE ATT&CK para aumentar sua capacidade de CPU roubada e a tática de persistência para sustentar sua capacidade de executar cálculos não autorizados.

Agentes com intenção maliciosa causam danos às organizações ao abusar de um fluxo de trabalho desejado ou da experiência do usuário. Essas ameaças podem levar à perda de receita, manchar a marca e aumentar os custos operacionais para lidar com fraudes.

Os hackers, motivados pelo lucro pessoal, usam processos de negócios legítimos para prejudicar as organizações. Por exemplo, eles podem usar a automação para comprar um número substancial de ingressos para um evento popular, impossibilitando a compra por outras pessoas e depois vendê-los por um preço mais alto.

As informações corporativas podem ser extraídas do site público de uma organização ou roubadas de sistemas internos e, em seguida, usadas de maneira prejudicial à organização. Por exemplo, um concorrente pode obter informações sobre preços e reduzir seus próprios preços para atrair os clientes.

Os hackers podem modificar o conteúdo de um site voltado para o público e desfigurá-lo para constranger uma organização. Eles também podem alterar o conteúdo para fornecer informações incorretas aos usuários do site.

Os fraudadores encontram maneiras de realizar transações financeiras em nome de outros usuários para que possam se beneficiar das transações. Eles utilizam credenciais roubadas para assumir o controle de uma conta ou induzir usuário desatento a acessar um site que se parece com aquele que eles normalmente usam e fornecer suas credenciais de conta. Esse tipo de fraude geralmente é feito em sites de comércio eletrônico ou portais de instituições financeiras. Durante a era da COVID, muitos fraudadores se envolveram em fraudes de desemprego, em que apresentavam reivindicações de desemprego fraudulentas usando identidades roubadas e direcionavam os benefícios para eles mesmos.⁴

Um adversário persistente que inicia uma ameaça contra uma organização é paciente, organizado e altamente qualificado. Para causar danos, o invasor deve atingir vários objetivos táticos, como reunir inteligência, obter acesso inicial, estabelecer uma cabeça de ponte, roubar informações, exfiltrar dados e muito mais. A estrutura MITRE ATT&CK⁵ lista objetivos táticos, técnicas para atingir os objetivos táticos e procedimentos para implementar essas técnicas. Os defensores podem usar essa estrutura para dissecar qualquer ataque em seu conjunto de táticas, técnicas e procedimentos (TTPs), que podem ser encontrados no site da estrutura MITRE ATT&CK. Observamos que, para cada tática e suas técnicas associadas, a adesão aos princípios de zero trust em todo o ambiente digital reduz a probabilidade de sucesso do invasor e aumenta a probabilidade de detecção precoce de sua atividade, conforme representado na Figura 1.

A estrutura D3FEND oferece uma base de conhecimento de contramedidas e um gráfico de conhecimento que “contém tipos e relações semanticamente rigorosos que definem os conceitos-chave no domínio de contramedidas de segurança cibernética e as relações necessárias para vincular esses conceitos entre si”.⁷ Essa estrutura ajuda os praticantes de segurança a considerar quais recursos são necessários para se defender contra ameaças relevantes em seu ambiente digital.

Além disso, é possível pensar no risco de segurança em termos de preparação contra as várias TTPs enumeradas na estrutura MITRE ATT&CK, avaliando a capacidade de executar contramedidas relevantes listadas na estrutura D3FEND. O tecido conectivo entre as duas estruturas é a abstração do “artefato digital”. Quando os invasores empregam um conjunto de TTPs para realizar seu ataque, sua atividade produz artefatos digitais observáveis. A estrutura D3FEND ajuda os praticantes a observar especificamente como procurar artefatos digitais produzidos pela atividade do adversário e a criar um plano defensivo acionável.

Observamos que as categorias de contramedidas MITRE D3FEND mapeiam perfeitamente as técnicas de segurança de zero trust baseadas nos princípios de zero trust, conforme visto na Figura 2.

As aplicações e experiências digitais atuais são impulsionadas pelo desejo corporativo de um engajamento mais rico em uma variedade mais ampla de clientes-alvo, incluindo dispositivos humanos e inteligentes, no contexto ampliado de um ecossistema de empresas digitais interconectadas que atendem a uma crescente força de trabalho móvel e base de clientes. Simultaneamente, a exigência de agilidade e eficiência de negócios cada vez maiores fez com que as arquiteturas das aplicações aproveitassem componentes de código aberto e SaaS em um grau muito maior. Consequentemente, a aplicação central depende atualmente de uma infraestrutura mais profunda e menos controlada do que nunca. Os requisitos de negócios modernos aumentaram a complexidade da arquitetura das aplicações, resultando na exposição de uma superfície de ameaças mais ampla e dinâmica, que é explorada por adversários sofisticados que são mais bem financiados e motivados do que nunca.

A estrutura MITRE ATT&CK oferece uma nomenclatura organizada para táticas, técnicas e procedimentos que as pessoas mal-intencionadas utilizam para compor ataques complexos. A estrutura MITRE D3FEND especifica um gráfico de conhecimento de contramedidas que as organizações podem utilizar para detectar artefatos digitais observáveis produzidos pelos TTPs usados em um ataque. As contramedidas MITRE D3FEND podem ser associadas a vários princípios de zero trust, e a adesão a esses princípios torna o mecanismo específico de implementação da contramedida mais eficaz.

Baixe o relatório