El pyattack de Swimlane funciona con Mitre ATT&CK Framework

NOTA: El Marco Mitre ATT&CK NO es un mapa de cobertura de seguridad integral. Es más bien un MARCO, y se deben considerar otras opciones al evaluar la postura de seguridad.

A medida que los equipos de seguridad adoptan la Marco Mitre ATT&CK Para ayudarles a identificar vulnerabilidades en sus defensas, es crucial identificar qué malware y herramientas utilizan actores o grupos específicos. Además, es aún más crucial identificar estas relaciones programáticamente.

Hoy, nos complace anunciar que el equipo de investigación de Swimlane ha lanzado piattck—un paquete de Python para interactuar con el Marco Mitre ATT&CK. Hay muchos proyectos de código abierto diferentes que se lanzan a diario, pero queríamos proporcionar un paquete de Python sencillo que permita al usuario identificar relaciones conocidas entre todas las verticales del Marco Mitre ATT&CK.

Si no está familiarizado con el Marco Mitre ATT&CK, Hay algunos componentes clave que necesitas comprender firmemente:

Tácticas y técnicas

Al mirar el Marco Mitre ATT&CK, Las tácticas se enumeran dentro de las columnas y representan las diferentes fases de un ataque.

Las técnicas aparecen en las filas debajo de las tácticas específicas (columnas) y son puntos de datos dentro del marco que ofrecen orientación para evaluar las brechas de seguridad. Además, la mayoría de las técnicas contienen orientación para la mitigación, así como información sobre su relación con herramientas, malware e incluso actores/grupos que utilizan o han utilizado la técnica durante ataques registrados.

Si su organización se centra en las tácticas, técnicas y procedimientos (TTP) utilizados por ciertos actores/grupos, entonces Marco Mitre ATT&CK Es perfecto para usted. Si su organización aún no ha alcanzado este nivel de madurez en seguridad, ¡no se preocupe! El marco ATT&CK ofrece una guía completa con un diseño simple y directo. Sin embargo, su programación no es sencilla, especialmente si desea medir (o mapear) sus controles de seguridad con él.

Pero no os preocupéis, hemos liberado piattck como un paquete de Python de código abierto que permite a los equipos de seguridad aprovechar estas relaciones para sus propias herramientas internas o externas. Actualmente, piattck apoya la identificación de las siguientes relaciones y se agregan más:

• Actor
  • Herramientas utilizadas por el actor o grupo.
  • Malware utilizado por el actor o grupo.
  • Técnicas utilizadas por el actor o grupo.
• Malware
  • Actor o grupo que utiliza este malware.
  • Técnicas con las que se utiliza este malware.
• Mitigación
  • Técnicas relacionadas con un conjunto específico de sugerencias de mitigación.
• Táctica
  • Técnicas que se encuentran en una táctica específica (fase).
• Técnica
  • Táctica en la que se encuentra una técnica.
  • Sugerencias de mitigación para una técnica determinada.
  • Actor o grupo(s) identificados por utilizar esta técnica.
• Herramientas
  • Técnicas utilizadas dentro de las herramientas especificadas.
  • Actor o grupo(s) que utilizan una herramienta específica.

Por ejemplo, si su equipo de seguridad quiere asegurarse de estar protegido contra TTP relacionadas con APT1, en lugar de buscar en un mapa visual de información sobre APT1, puede usar pyattck para extraer las herramientas, el malware y las técnicas asociadas o utilizadas por APT1.

Para recuperar esta información de piattck, puede especificar el nombre del actor y recuperar cualquier información sobre el actor en sí y sus técnicas:

de pyattck importar Attck ataque = Attck() para actor en ataque.actores: si 'APT1' en actor.nombre: para técnica en actor.técnicas: imprimir(técnica.nombre)

Si desea recuperar sugerencias de mitigación de técnicas, puede hacer lo siguiente:

de pyattck importar Attck ataque = Attck() para técnica en ataque.técnicas: imprimir(técnica.nombre) para mitigación en técnica.mitigación: imprimir(mitigación.descripción)

Estos son solo algunos ejemplos de cómo puedes utilizar piattck. Para obtener más información, consulte nuestra repositorio o el documentación oficial. Y si tienes comentarios, por favor crear un problema en GitHub.

¡Disfrutar!