Attack Framework: সাইবার আক্রমণের ধরন বুঝতে MITRE ATT&CK ফ্রেমওয়ার্কের ব্যবহার!

ATT&CK-এর full form হলো Adversarial Tactics, Techniques, and Common Knowledge। এটি একটি globally accessible knowledge base যা real-world observation-এর ভিত্তিতে adversary behavior model করে। অন্যভাবে বলতে গেলে, ATT&CK হলো "attacker-রা কী করেন এবং কীভাবে করেন"-এর একটি systematic catalog।

ATT&CK-এর জন্ম হয়েছিল MITRE-এর FMX (Fort Meade Experiment)-এর অংশ হিসেবে, যেখানে গবেষকরা defender-দের কতটা ভালোভাবে adversary detect করতে পারেন তা measure করার চেষ্টা করছিলেন। তারা শীঘ্রই বুঝতে পারলেন যে adversary behavior কে systematic ভাবে describe করার মত কোনো common vocabulary নেই। ATT&CK সেই gap পূরণ করতেই তৈরি।

ATT&CK-এর তিনটি প্রধান matrix:

• Enterprise: Windows, macOS, Linux, Cloud, Network, Container-এর জন্য। সবচেয়ে বিস্তারিত matrix।
• Mobile: iOS এবং Android-এর জন্য।
• ICS (Industrial Control Systems): SCADA এবং industrial environment-এর জন্য।

Enterprise matrix-এ বর্তমানে (v15-এ) ১৪টি Tactics, ২০০+ Techniques, ৪০০+ Sub-techniques, এবং ১০০-এর বেশি threat group এবং software entry আছে।

ATT&CK-এর সর্বোচ্চ level হলো Tactics—অর্থাৎ "কেন" attacker এই action নিচ্ছেন। প্রতিটি tactic একটি adversarial goal represent করে। Enterprise matrix-এর ১৪টি tactic:

1. Reconnaissance (TA0043): Target সম্পর্কে information gather করা।
2. Resource Development (TA0042): Infrastructure, malware, এবং capability প্রস্তুত করা।
3. Initial Access (TA0001): Network-এ প্রথম foothold অর্জন।
4. Execution (TA0002): Malicious code run করানো।
5. Persistence (TA0003): Reboot এবং interruption-এর পরেও access maintain করা।
6. Privilege Escalation (TA0004): Higher level access অর্জন।
7. Defense Evasion (TA0005): Security control bypass বা disable করা।
8. Credential Access (TA0006): Account name এবং password চুরি করা।
9. Discovery (TA0007): Environment সম্পর্কে শেখা।
10. Lateral Movement (TA0008): Network-এর মধ্যে move করা।
11. Collection (TA0009): Interest-এর data gather করা।
12. Command and Control (TA0011): Compromised system-এর সঙ্গে communicate করা।
13. Exfiltration (TA0010): Data steal করা।
14. Impact (TA0040): System এবং data manipulate, interrupt, বা destroy করা।

প্রতিটি attack বা campaign-এ আপনি দেখবেন adversary একটি tactic থেকে অন্যটিতে progress করছেন, যদিও linear sequence সবসময় follow করেন না।

প্রতিটি tactic-এর under-এ multiple technique থাকে—অর্থাৎ "কীভাবে" attacker সেই goal achieve করেন। উদাহরণস্বরূপ, Initial Access tactic-এর under-এ আছে:

• T1566 - Phishing (and its sub-techniques: Spearphishing Attachment, Spearphishing Link, Spearphishing via Service)
• T1190 - Exploit Public-Facing Application
• T1078 - Valid Accounts
• T1133 - External Remote Services
• T1199 - Trusted Relationship
• T1200 - Hardware Additions
• T1091 - Replication Through Removable Media
• T1189 - Drive-by Compromise
• T1195 - Supply Chain Compromise

Sub-technique technique-এর আরো specific variant। উদাহরণস্বরূপ, T1059 - Command and Scripting Interpreter-এর sub-technique:

• T1059.001 - PowerShell
• T1059.002 - AppleScript
• T1059.003 - Windows Command Shell
• T1059.004 - Unix Shell
• T1059.005 - Visual Basic
• T1059.006 - Python
• T1059.007 - JavaScript
• T1059.008 - Network Device CLI

প্রতিটি technique এবং sub-technique-এর page-এ থাকে: description, procedure examples (real-world incidents), detection guidance, mitigation strategy, এবং reference।

ATT&CK-এর সবচেয়ে valuable feature হলো এর real-world basis। প্রতিটি technique-এর সঙ্গে actual threat group এবং malware-এর example linked থাকে। উদাহরণস্বরূপ, T1059.001 PowerShell-এর procedure section-এ আপনি দেখবেন APT3, APT19, FIN6, এবং Empire framework-এর specific implementation example।

প্রতিটি Threat Group-এর জন্য আলাদা page থাকে যেখানে তাদের ব্যবহৃত সব technique এবং software listed। উদাহরণস্বরূপ, APT29 (Cozy Bear)-এর page-এ আপনি তাদের ৩০-এর বেশি technique এবং specific malware (CozyCar, MiniDuke, HAMMERTOSS, SUNBURST) দেখতে পাবেন।

Software entry-তে both malware এবং legitimate tool (যেমন Mimikatz, PsExec, Cobalt Strike) included। কারণ "Living off the Land" attack-এ adversary প্রায়ই legitimate tool ব্যবহার করেন।

ATT&CK-এর application গুলো বহুমুখী। প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ ব্যবহার হলো Threat Intelligence। যখন একটি new threat report আসে, এর TTP-গুলো ATT&CK-এর মাধ্যমে map করা হয়। এটি comparison সহজ করে—দুটি ভিন্ন report-এ একই attacker-এর কথা বলা হচ্ছে কিনা, বা একই technique বিভিন্ন group ব্যবহার করছে কিনা।

Detection Engineering-এ ATT&CK-এর role critical। প্রতিটি detection rule একটি বা একাধিক technique-এর সঙ্গে map করা হয়। এতে gap analysis সহজ হয়—কোন technique-এর জন্য আপনার detection নেই, এবং কোথায় investment প্রয়োজন।

Red Team এবং Penetration Testing-এ assessment-এর scope এবং execution plan ATT&CK-এর ভিত্তিতে design করা হয়। "Emulate APT29" বলতে কী বুঝায়—তাদের specific TTP-গুলো reproduce করা।

Purple Team Exercise-এ red এবং blue team একসঙ্গে কাজ করে—red team specific technique execute করে, blue team detect করার চেষ্টা করে। এই collaborative exercise-এর জন্য ATT&CK common vocabulary হিসেবে কাজ করে।

Security Posture Assessment-এ organization-এর detection এবং mitigation capability ATT&CK-এর বিরুদ্ধে measured হয়। কোন technique-এ আপনি ভালো, কোনগুলোতে দুর্বল।

Compliance এবং Reporting-এ ATT&CK board এবং executive-দের কাছে security position communicate করার একটি structured way।

MITRE-এর ATT&CK Navigator হলো একটি free web-based visualization tool যা matrix-এর উপর custom overlay তৈরি করতে দেয়। আপনি color-code করতে পারেন—যেমন আপনার detection coverage red (no coverage) থেকে green (full coverage) scale-এ।

বিভিন্ন pre-built layer download করা যায়:

• APT Group Layers: একটি specific threat group যে technique ব্যবহার করে।
• Software Layers: একটি malware-এর used technique।
• Combined Layers: একাধিক group-এর intersection।

Navigator-এ আপনি multiple layer combine করতে পারেন এবং gap identify করতে পারেন। উদাহরণস্বরূপ, "আমার industry-তে যে APT groups active, তাদের সব technique-এর জন্য আমার কী coverage আছে?"

MITRE Engenuity-এর ATT&CK Evaluations একটি public, vendor-agnostic assessment যেখানে commercial security product (EDR, XDR) specific APT-এর TTP-এর বিরুদ্ধে evaluate করা হয়। ২০১৮ থেকে প্রতি বছর evaluation হয়েছে—APT3, APT29, Carbanak+FIN7, Wizard Spider, এবং Sandworm-এর emulation সহ।

এই evaluation-এর result publicly available। Security buyer-রা এটি ব্যবহার করে vendor compare করতে পারেন। তবে result interpret করার জন্য সতর্কতা প্রয়োজন—এটি simple "win/lose" নয়, বরং detection capability-এর nuanced view।

২০২১ সালে MITRE D3FEND launch করেছে—যা ATT&CK-এর defensive counterpart। ATT&CK যেখানে adversary behavior describe করে, D3FEND defensive technique catalog করে।

D3FEND-এ tactic গুলো হলো: Harden, Detect, Isolate, Deceive, এবং Evict। প্রতিটি defensive technique কোন offensive technique counter করে—এই mapping D3FEND-এর সবচেয়ে গুরুত্বপূর্ণ feature।

D3FEND এবং ATT&CK-এর combined use defender-দের comprehensive view দেয়। "আমি কোন offensive technique থেকে কোন defensive technique দিয়ে protect হচ্ছি"—এই question structured ভাবে answer দেওয়া যায়।

Threat hunting-এ ATT&CK একটি essential reference। Hypothesis-driven hunt-এ analyst একটি specific technique বা sub-technique-এর প্রমাণ খোঁজেন।

উদাহরণস্বরূপ, একটি hunt hypothesis হতে পারে: "আমাদের environment-এ T1218.005 (Mshta) abuse হচ্ছে কিনা।" তখন analyst process execution log query করেন mshta.exe-এর জন্য, suspicious command-line argument (URL, .hta file), parent process anomaly (Office app থেকে spawn), এবং network activity correlate করেন।

ATT&CK-এর প্রতিটি technique page-এ "Detection" section রয়েছে যা specific log source এবং indicator suggest করে। এটি hunt query তৈরির জন্য valuable starting point।

CISA-এর Cyber Threat Hunting Guide এবং SANS Threat Hunting Methodology-এ ATT&CK-এর use prominent।

ATT&CK সব সমস্যার সমাধান নয়, এবং এর সঠিক ব্যবহারের জন্য কিছু limitation বোঝা প্রয়োজন।

প্রথমত, ATT&CK behavior describe করে, root cause নয়। একটি technique কেন কাজ করল—যেমন কেন phishing email user-কে fool করল—এই psychological বা social dimension ATT&CK-এ নেই।

দ্বিতীয়ত, ATT&CK static—এটি real-time threat intelligence নয়। নতুন technique আবিষ্কৃত হলে কয়েক মাস লাগতে পারে ATT&CK-এ যোগ হতে।

তৃতীয়ত, "Coverage" মানে "Protection" নয়। আপনি একটি technique-এর জন্য detection লিখলেও, attacker variant ব্যবহার করে bypass করতে পারেন।

চতুর্থত, সব technique সমান নয়। কিছু technique high-frequency, কিছু rare। কিছু technique-এর mitigation সহজ, কিছুর অত্যন্ত কঠিন। Pure coverage percentage misleading হতে পারে।

ATT&CK-কে একটি tool হিসেবে use করুন, framework হিসেবে নয়—যা mean করে এটি আপনার work-কে structure দেয়, কিন্তু আপনার judgment-কে replace করে না।

ATT&CK-এর চারপাশে একটি বিস্তৃত community এবং ecosystem develop হয়েছে।

Atomic Red Team (Red Canary-এর project) প্রতিটি technique-এর জন্য executable test প্রদান করে। আপনি specific technique reproduce করে আপনার detection-এর verify করতে পারেন।

Caldera (MITRE-এর project) automated adversary emulation এবং red team operation-এর জন্য একটি platform। ATT&CK technique-এর ভিত্তিতে scenario design করা যায়।

Sigma rules একটি vendor-agnostic detection rule format—অনেক rule directly ATT&CK technique-এ map করা।

MITRE Engage deception এবং adversary engagement-এর জন্য একটি ভিন্ন framework। ATT&CK-এর সঙ্গে complementary।

বিভিন্ন vendor (CrowdStrike, SentinelOne, Microsoft, Splunk) তাদের product-এ ATT&CK mapping integrate করেছে। তাদের detection rule, alert, এবং dashboard-এ technique ID directly available।