>
>>
Ao ler através de vários relatórios de segurança da informação, blogs e tweets, frequentemente vejo a sigla “TTP” usada para descrever uma infinidade de coisas (tais como Testes, Ferramentas, Processos, Programas, etc.) relacionadas com a segurança da informação. Embora TTP seja um acrônimo comumente usado, muitas vezes não é o significado original: Tácticas, Técnicas e Procedimentos. Neste post, vou discutir minha interpretação de TTPs (baseada na doutrina do Departamento de Defesa) e explicar porque acredito que esta é a maneira que você deve estar usando TTP!
TTP de acordo com a publicação conjunta 1-02
Táticas, Técnicas e Procedimentos são termos específicos que se originaram no Departamento de Defesa e têm sido usados por muitos anos para descrever operações militares. Publicação Conjunta 1-02, Dicionário do Departamento de Defesa de Termos Militares e Associados define especificamente Táticas, Técnicas e Procedimentos:
Tática – O emprego e arranjo ordenado de forças em relação umas às outras.
Técnicas – Formas ou métodos não prescritivos usados para realizar missões, funções ou tarefas.
>
Procedimentos – Passos padrão, detalhados que prescrevem como realizar tarefas específicas.
Agora que temos as definições “oficiais”, o que elas realmente significam? Eu gosto de pensar nelas como uma hierarquia de especificidade, indo da mais ampla (Táticas) para a mais específica (Procedimentos). A fim de ajudar a esclarecer o que realmente significam na prática, vou passar e explicar o que cada termo realmente significa em maior detalhe. Adicionalmente, vou usar a metáfora de “propriedade do carro” para ajudar a descrever cada um destes termos.
Táctica
Táctica são considerações de alto nível com informações específicas limitadas que ditam como as coisas devem ser feitas. Normalmente usados para fins de planejamento e/ou rastreamento, não há instruções ou direções específicas, apenas orientações gerais úteis para considerações de alto nível para garantir que tudo o que é necessário seja completado como parte de um todo maior.
Para usar a analogia da propriedade do carro, há muitas “Táticas” envolvidas na posse de um carro, tais como fornecer combustível, limpeza e manutenção preventiva. Cada uma destas pode ser vista como uma “táctica” envolvida na posse de um carro. Para o propósito deste exemplo, vamos nos concentrar na “Manutenção Preventiva” como a tática escolhida, na qual vamos mergulhar fundo.
Técnicas
Técnicas formam a área cinza entre a perspectiva de alto nível das táticas e detalhes muito específicos dos Procedimentos (que discutiremos a seguir). Elas consistem nas ações que se espera realizar, mas sem direções específicas (isto é, não prescritivas) de como completar essa ação. Isso normalmente resulta na identificação das tarefas que precisam ser realizadas, mas sem microgerenciamento de como realizar a tarefa.
Para continuar a analogia do carro, se a tática escolhida for “Manutenção Preventiva”, haveria inúmeras técnicas diferentes que poderiam ser empregadas para realizar essa tática, como trocar o óleo, girar os pneus, substituir os freios, etc. Estas técnicas descrevem as tarefas gerais que precisam ser realizadas, porém não fornecem instruções específicas de como realizá-las. Escolheremos “trocar o óleo” como a técnica que nos interessa e usaremos para discutir procedimentos.
Procedimentos
Procedimentos são instruções e/ou instruções detalhadas específicas para a realização de uma tarefa. Os procedimentos incluem todos os passos necessários para realizar uma tarefa específica, mas sem nenhuma das considerações ou antecedentes de alto nível para o motivo pelo qual a tarefa está sendo realizada. A prioridade para os procedimentos é assegurar instruções detalhadas completas para que uma tarefa possa ser completada corretamente por qualquer pessoa qualificada para seguir as instruções.
Para completar a analogia do nosso carro, os procedimentos para implementar a técnica de “troca de óleo” seriam específicos para o carro que está sendo mantido. Isto incluiria toda a informação sobre a frequência da mudança, tipo de óleo, tipo de filtro, localização do bujão de drenagem, ferramentas necessárias, etc. Os procedimentos deveriam ser tais que qualquer pessoa (bem, quase qualquer um) seria capaz de realizar a tarefa descrita usando estas instruções.
>
Apresentar Tácticas, Técnicas e Procedimentos como uma hierarquia pode ajudar a visualizar as relações entre eles. Para realizar as Tácticas desejadas será necessário utilizar uma ou mais Técnicas. Para completar as Técnicas desejadas será necessário um ou mais Procedimentos a seguir. O que diferencia os atores “avançados” de outros é sua habilidade de implementar novas Técnicas ou Procedimentos sofisticados que não podem ser facilmente replicados por outros, embora suas Táticas sejam em grande parte as mesmas de outros.
Como isso se relaciona com “cibersegurança”?
Embora o TTP tenha sido usado para descrever a guerra convencional, ele também pode ser muito útil na descrição da segurança cibernética. Felizmente, a Matriz MITRE ATT&CK já está disposta de uma forma que utiliza esta estrutura e fornece uma excelente fonte única para TTPs baseados em segurança.
>
>
>
Os cabeçalhos das colunas representam as várias táticas de alto nível (destacadas em vermelho) que um atacante utiliza como parte do ciclo de ataque cibernético. As entradas individuais na Matriz sob as Táticas representam as Técnicas (destacadas em verde). Como discutimos anteriormente, para cada Táctica, inúmeras Técnicas são listadas. Quando você clicar em qualquer Técnica, ela o levará a uma página com detalhes adicionais da Técnica, incluindo exemplos de uso real por atores maliciosos. Estes exemplos representam os Procedimentos utilizados e fornecem uma análise detalhada das acções exactas tomadas e dos recursos utilizados. Os procedimentos também podem ser vistos como os hashes específicos ou ferramentas exatas e linhas de comando usadas para atividades maliciosas específicas. MITRE ATT&CK fornece uma quebra de TTP facilmente acessível em relação à segurança do computador.
Por exemplo, quando um atacante precisa acessar computadores ou recursos na rede que não estão em sua base inicial, ele tem que implementar a Tática de Movimento Lateral. Uma técnica popular é usar as ações administrativas embutidas do Windows, C$ e ADMIN$, como um diretório gravável no computador remoto. Um procedimento para implementar esta técnica poderia ser usar a ferramenta SysInternals PsExec, que cria um binário para executar um comando, copia-o para um compartilhamento administrativo do Windows, e inicia um serviço a partir desse compartilhamento. Bloquear a ferramenta SysInternals PsExec não removerá completamente o risco da técnica Windows Admin Shares; um atacante pode simplesmente usar um procedimento diferente, como o uso da rede ou o PowerShell cmdlet Invoke-PsExec. Compreender a especificidade do ataque e contramedidas defensivas é crucial ao avaliar a eficácia dos controles de segurança.
Por que isso importa?
Para além de tentar esclarecer o uso do “TTP”, por que qualquer um desse velho jargão militar é importante em um mundo moderno rodado por computador? O fato é que esta abordagem para entender a atividade maliciosa fará de você um melhor atacante ou defensor. Ser capaz de quebrar ataques complicados em TTPs ajudará a tornar a detecção ou replicação dos ataques muito mais fácil de entender.
Um entendimento das diferentes Táticas envolvidas na segurança da informação ajudará a planejar quaisquer áreas de deficiência em sua experiência pessoal do ambiente corporativo e pode focar o esforço onde você pode estar atualmente sem conhecimento/cobertura. Por exemplo, a mentalidade “Assumir Quebra” é um reconhecimento de que a segurança cibernética eficaz deve reconhecer as outras Táticas usadas pelos atacantes, em vez de focar inteiramente na prevenção de comprometimento inicial. Esta perspectiva de alto nível ajudará a prevenir uma supervisão em alguma parte do programa de segurança.
A compreensão da diferença entre Técnicas e Procedimentos também é incrivelmente importante. Muitas ferramentas de segurança de rede e inteligência de ameaças se concentram nos Procedimentos específicos usados por um ator (como hashes de ferramentas, nomes de arquivos e domínios/IPs C2) ao invés da Técnica dominante em uso. Ocasionalmente, a comunidade de segurança rotula algo como uma nova Técnica, quando deveria ser chamada com mais precisão de um novo Procedimento para uma Técnica existente. Conhecer a técnica subjacente e ser capaz de adaptar procedimentos específicos fará de você um operador melhor, independentemente do papel que você preencher.
Como diz o velho adágio “Dê um peixe a um homem, e você o alimenta por um dia”. Ensine um homem a pescar, e você o alimenta por uma vida inteira”. Ao considerar a defesa da rede, dar um peixe é como focar em indicadores frágeis de procedimentos de ataque (como hashes e IPs específicos). Pode atender às suas necessidades temporariamente, mas sua eficácia será de curta duração. Ensinar aos peixes é focar na Técnica em uso, entender a tecnologia e comportamentos relacionados a um ataque e criar contramedidas resistentes que funcionarão mesmo quando o atacante se adaptar ou criar novos Procedimentos.
Esperavelmente este post foi útil para esclarecer a diferença entre Táticas, Técnicas e Procedimentos, assim como destacar o benefício de entender cada termo.