O pyattack da Swimlane funciona com o framework Mitre ATT&CK.

NOTA: O Estrutura Mitre ATT&CK Não se trata de um mapa de cobertura de segurança abrangente ou definitivo. É, na verdade, uma ESTRUTURA, e outras abordagens devem ser consideradas ao avaliar seu nível de segurança.

À medida que as equipes de segurança adotam o Estrutura Mitre ATT&CK Para ajudá-los a identificar lacunas em suas defesas, torna-se ainda mais crucial ter uma maneira de identificar quais malwares e ferramentas estão sendo usados por atores ou grupos específicos. Além disso, ter uma maneira de identificar essas relações programaticamente é ainda mais importante.

Hoje, temos o prazer de anunciar que a equipe de pesquisa da Swimlane lançou o seu novo projeto. pyattck—um pacote Python para interagir com o Estrutura Mitre ATT&CK. Existem muitos projetos de código aberto diferentes sendo lançados diariamente, mas queríamos fornecer um pacote Python simples que permitisse ao usuário identificar relações conhecidas entre todos os setores da indústria. Estrutura Mitre ATT&CK.

Se você não estiver familiarizado com o Estrutura Mitre ATT&CK, Existem alguns componentes-chave que você precisa dominar firmemente:

Táticas e técnicas

Ao olhar para o Estrutura Mitre ATT&CK, As táticas estão listadas nas colunas e representam as diferentes fases de um ataque.

As técnicas aparecem nas linhas abaixo das táticas específicas (colunas) e são pontos de dados dentro da estrutura que fornecem orientação na avaliação de lacunas de segurança. Além disso, a maioria das técnicas contém orientações de mitigação, bem como informações sobre sua relação com ferramentas, malware e até mesmo atores/grupos que estão usando ou usaram a técnica durante ataques registrados.

Se a sua organização estiver focada em táticas, técnicas e procedimentos (TTPs) utilizados por determinados atores/grupos, então Estrutura Mitre ATT&CK É perfeito para você. Se sua organização ainda não atingiu esse nível de maturidade em segurança, não se preocupe! O framework ATT&CK ainda oferece orientações valiosas em um formato simples e direto. No entanto, sua utilização em termos de programação não é tão simples, principalmente se você deseja mensurar (ou mapear) seus controles de segurança usando o framework.

Mas não se preocupe, já lançamos pyattck como um pacote Python de código aberto que permite às equipes de segurança aproveitar esses relacionamentos para suas próprias ferramentas internas ou externas. Atualmente, pyattck Permite identificar as seguintes relações, sendo que outras estão sendo adicionadas:

• Ator
  • Ferramentas utilizadas pelo ator ou grupo.
  • Malware utilizado pelo agente ou grupo.
  • Técnicas utilizadas pelo ator ou grupo.
• Malware
  • Ator ou grupo que utiliza este malware.
  • Técnicas utilizadas por este malware.
• Mitigação
  • Técnicas relacionadas a um conjunto específico de sugestões de mitigação.
• Tática
  • Técnicas encontradas em uma tática (fase) específica.
• Técnica
  • Táticas em que se encontra uma técnica.
  • Sugestões de mitigação para uma determinada técnica.
  • Ator ou grupo(s) identificado(s) como usuários desta técnica.
• Ferramentas
  • Técnicas utilizadas nas ferramentas especificadas.
  • Ator ou grupo(s) que utiliza(m) uma ferramenta específica.

Por exemplo, se sua equipe de segurança quiser garantir proteção contra TTPs (Táticas, Técnicas e Procedimentos) relacionados ao APT1, em vez de consultar um mapa visual de informações sobre o APT1, você pode usar o pyattck para extrair as ferramentas, malwares e técnicas associadas ou utilizadas pelo APT1.

Para obter essas informações de pyattck, Você pode especificar o nome do ator e recuperar qualquer informação sobre o próprio ator e suas técnicas:

from pyattck import Attck attack = Attck() for actor in attack.actors: if 'APT1' in actor.name: for technique in actor.techniques: print(technique.name)

Se você deseja obter sugestões de mitigação de técnicas, pode fazer o seguinte:

from pyattck import Attck attack = Attck() for technique in attack.techniques: print(technique.name) for mitigation in technique.mitigation: print(mitigation.description)

Esses são apenas alguns exemplos de como você pode usar pyattck. Para obter mais informações, consulte nosso repositório ou o documentação oficial. E se você tiver algum comentário, por favor... Crie uma issue no GitHub..

Aproveitar!