Hiểu & Áp Dụng MITRE ATT&CK P4 Đánh giá và Kỹ thuật

Trong các chương trước, chúng ta đã đề cập đến việc bắt đầu với ATT&CK bằng cách sử dụng nó cho tình báo về mối đe dọa, cho phát hiện và phân tích, và cho mô phỏng kẻ tấn công. Trong phần thứ tư này, chúng ta sẽ nói về đánh giá và kỹ thuật, cho thấy cách bạn có thể sử dụng ATT&CK để đo lường khả năng phòng thủ của mình và cho phép cải thiện. Trong nhiều khía cạnh, chương này xây dựng trên các chương trước đó, vì vậy chúng tôi khuyên bạn nên đọc chúng trước nếu bạn chưa làm.

Để làm cho quá trình này dễ tiếp cận hơn—và tiếp theo các chương khác—chúng tôi đã chia phần này thành ba cấp độ dựa trên mức độ phức tạp và khả năng tiếp cận tài nguyên:

Cấp độ 1 dành cho những người mới bắt đầu có thể không có nhiều tài nguyên Cấp độ 2 dành cho những đội cấp trung bắt đầu trưởng thành Cấp độ 3 dành cho những đội an ninh mạng tiên tiến hơn và có nhiều tài nguyên

Bắt đầu với “đánh giá” có thể nghe có vẻ đáng sợ lúc đầu—ai thích được đánh giá?— nhưng các đánh giá ATT&CK là một phần của một quy trình lớn hơn để cung cấp dữ liệu hữu ích cho các kỹ sư và kiến trúc sư bảo mật để biện minh cho các cải tiến bảo mật dựa trên mối đe dọa:

1. Đánh giá cách các biện pháp phòng thủ của bạn hiện tại đối phó với các kỹ thuật và kẻ tấn công trong ATT&CK
2. Xác định những khoảng trống ưu tiên cao nhất trong phạm vi bao phủ hiện tại của bạn
3. Sửa đổi các biện pháp phòng thủ của bạn – hoặc có được các biện pháp mới – để giải quyết những khoảng trống đó

QUY TRÌNH ĐÁNH GIÁ VÀ KỸ THUẬT

Các cấp độ đánh giá và kỹ thuật là tích lũy và xây dựng dựa trên nhau. Ngay cả khi bạn tự coi mình là một đội an ninh mạng tiên tiến, chúng tôi vẫn khuyến khích bạn bắt đầu ở Cấp độ 1 và đi qua quy trình để dễ dàng tiếp cận một đánh giá lớn hơn.

CẤP ĐỘ 1

Nếu bạn đang làm việc với một đội nhỏ không có quyền truy cập vào nhiều tài nguyên và bạn đang nghĩ đến việc thực hiện một đánh giá đầy đủ, đừng làm điều đó. Ý tưởng ngay lập tức tạo ra một bản đồ nhiệt có mã màu của ma trận ATT&CK để trực quan hóa phạm vi bao phủ của bạn là hấp dẫn nhưng có nhiều khả năng khiến bạn kiệt sức với ATT&CK hơn là phấn khích để sử dụng nó.

Thay vào đó, hãy bắt đầu nhỏ: chọn một kỹ thuật duy nhất để tập trung, xác định phạm vi bao phủ của bạn cho kỹ thuật đó, và sau đó thực hiện các cải tiến kỹ thuật thích hợp để bắt đầu phát hiện nó. Bằng cách bắt đầu như vậy, bạn có thể thực hành cách bạn sẽ chạy một đánh giá lớn hơn.

Mẹo: Không chắc chắn nên bắt đầu với kỹ thuật nào? Hãy xem Chương 1 để biết cách bạn có thể sử dụng ATT&CK và tình báo về mối đe dọa để chọn điểm khởi đầu.

Khi bạn đã chọn được một kỹ thuật, bạn sẽ muốn tìm ra phạm vi bao phủ của bạn đối với kỹ thuật đó là gì. Mặc dù bạn có thể sử dụng tiêu chí riêng của mình, chúng tôi gợi ý bắt đầu với các danh mục phạm vi bao phủ sau:

Các phân tích hiện có của bạn có khả năng phát hiện kỹ thuật; Các phân tích của bạn sẽ không phát hiện kỹ thuật, nhưng bạn đang thu thập các nguồn dữ liệu phù hợp để phát hiện nó; hoặc Bạn hiện không thu thập các nguồn dữ liệu phù hợp để phát hiện kỹ thuật.

Mẹo: Khi mới bắt đầu, hãy giữ các danh mục chấm điểm của bạn đơn giản: Bạn có thể phát hiện nó hay không?

Một cách tuyệt vời để bắt đầu đo lường phạm vi bao phủ là xem xét các phân tích của bạn để xem những kỹ thuật nào chúng có thể đã bao quát. Điều này có thể tốn thời gian, nhưng rất đáng công sức: nhiều SOC đã có các quy tắc và phân tích có thể được ánh xạ trở lại ATT&CK, ngay cả khi chúng ban đầu không được thiết kế để làm như vậy. Thông thường bạn sẽ cần mang vào thông tin khác về kỹ thuật, mà bạn có thể lấy từ trang ATT&CK của kỹ thuật đó hoặc một nguồn bên ngoài.

Ví dụ, giả sử chúng ta đang xem xét Remote Desktop Protocol (T1076) và chúng ta có các cảnh báo sau:

1. Tất cả lưu lượng mạng qua cổng 22
2. Tất cả các quy trình được sinh ra bởi AcroRd32.exe
3. Bất kỳ quy trình nào có tên là tscon.exe
4. Tất cả lưu lượng mạng nội bộ qua cổng 3389

Nhìn vào trang kỹ thuật ATT&CK cho Remote Desktop Protocol, chúng ta có thể nhanh chóng thấy rằng quy tắc #3 phù hợp với những gì được chỉ định trong phần “phát hiện”. Một tìm kiếm web nhanh cho thấy rằng cổng 3389 – được chỉ định bởi quy tắc #4 – cũng tương ứng với kỹ thuật này.

VĂN BẢN PHÁT HIỆN CHO REMOTE DESKTOP PROTOCOL

Nếu các phân tích của bạn đã bắt được kỹ thuật này, tuyệt vời! Hãy ghi lại phạm vi bao phủ của bạn cho kỹ thuật đó và sau đó chọn một kỹ thuật mới để bắt đầu quá trình lại. Nếu bạn không bao quát nó, hãy xem các nguồn dữ liệu được liệt kê trên trang ATT&CK của kỹ thuật và xác định xem bạn có thể đã thu thập dữ liệu phù hợp để xây dựng một phân tích mới hay không. Nếu có, thì đó chỉ là vấn đề xây dựng một phân tích.

Nhưng nếu bạn không thu thập các nguồn dữ liệu phù hợp, bạn nên làm gì? Đây là nơi kỹ thuật vào cuộc. Hãy xem các nguồn dữ liệu được liệt kê trên trang ATT&CK của kỹ thuật làm điểm khởi đầu có thể và cố gắng đánh giá mức độ khó khăn để bạn bắt đầu thu thập từng nguồn so với hiệu quả của cách bạn có thể sử dụng chúng.

Mẹo: Một nguồn dữ liệu thường được trích dẫn là Windows Event Logs, cung cấp khả năng hiển thị cho nhiều kỹ thuật ATT&CK. Một tài nguyên tốt để bắt đầu với nhật ký sự kiện là Bảng tra cứu ghi nhật ký ATT&CK cho Windows của Malware Archaeology, ánh xạ các sự kiện Windows với các kỹ thuật bạn có thể phát hiện với chúng.

97 TRONG SỐ 244 KỸ THUẬT ATT&CK CÓ THỂ ĐƯỢC PHÁT HIỆN VỚI THAM SỐ DÒNG LỆNH QUÁ TRÌNH, CÓ THỂ ĐƯỢC THU THẬP QUA SỰ KIỆN WINDOWS 4688

Chuyển lên cấp độ tiếp theo: Đừng dừng lại ở một kỹ thuật – thực hiện quy trình này nhiều lần, chọn một kỹ thuật mới (hoặc hai) trên mỗi chiến thuật cho mỗi lần chạy. Theo dõi kết quả của bạn bằng cách sử dụng ATT&CK Navigator, rất tuyệt vời để tạo ra các bản đồ nhiệt về phạm vi bao phủ ATT&CK.

Khi bạn cảm thấy thoải mái với quy trình, hãy thực hiện phân tích nguồn dữ liệu và đưa ra một bản đồ nhiệt về những kỹ thuật nào bạn có thể phát hiện được với các nguồn dữ liệu bạn đang thu thập. Một số tài nguyên có thể giúp bạn bắt đầu ở đây bao gồm dự án ATT&CK Datamap của Olaf Hartong, DeTT&CT, và các script ATT&CK của chính MITRE.

BẮT ĐẦU VỚI ATT&CK: Đánh giá và Kỹ thuật | Andy Applebaum

CẤP ĐỘ 2

Khi bạn đã quen thuộc với quy trình này – và có quyền truy cập vào nhiều tài nguyên hơn một chút – bạn sẽ lý tưởng là muốn mở rộng phân tích của mình để bao quát một tập con hợp lý lớn của Ma trận ATT&CK. Ngoài ra, bạn có thể muốn sử dụng một sơ đồ phạm vi bao phủ nâng cao hơn để bây giờ tính đến độ tin cậy của việc phát hiện. Ở đây chúng tôi thích khuyến nghị phân loại phạm vi bao phủ thành độ tin cậy thấp, một số hoặc cao rằng một công cụ hoặc phân tích trong SOC của chúng ta sẽ cảnh báo về kỹ thuật.

MẪU CHO NHỮNG GÌ MỘT ĐÁNH GIÁ CUỐI CÙNG CÓ THỂ TRÔNG GIỐNG

Mẹo: Đừng lo lắng về độ chính xác tuyệt đối khi cố gắng đánh giá phạm vi bao phủ của bạn – mục tiêu của bạn với các đánh giá là hiểu liệu bạn có khả năng kỹ thuật để nói chung phát hiện các kỹ thuật hay không. Để có độ chính xác cao hơn, chúng tôi khuyên bạn nên chạy các bài tập mô phỏng kẻ tấn công , như đã nêu trong Chương 3.

Phạm vi mở rộng này làm cho việc phân tích các phân tích phức tạp hơn một chút: mỗi phân tích bây giờ có thể tiềm năng ánh xạ tới nhiều kỹ thuật khác nhau, trái ngược với chỉ một kỹ thuật từ trước. Ngoài ra, nếu bạn tìm thấy một phân tích bao quát một kỹ thuật cụ thể, thay vì chỉ đánh dấu rằng kỹ thuật đó được bao quát, bạn sẽ muốn tìm ra độ tin cậy phạm vi bao phủ của phân tích đó là gì.

Mẹo: Đối với mỗi phân tích, chúng tôi khuyên bạn nên tìm ra những gì nó đang tập trung vào và xem cách nó ánh xạ trở lại ATT&CK. Ví dụ, bạn có thể có một phân tích xem xét một sự kiện Windows cụ thể; để xác định phạm vi bao phủ của phân tích này, bạn có thể tra cứu ID sự kiện trong Bảng tra cứu ghi nhật ký ATT&CK cho Windows hoặc một kho tương tự. Bạn cũng có thể sử dụng trang web ATT&CK để phân tích các phân tích của mình. Hình dưới đây cho thấy một ví dụ về việc tìm kiếm phát hiện cổng 22, xuất hiện trong kỹ thuật ATT&CK Commonly Used Port.

TÌM KIẾM TRANG ATT&CK CHO CỔNG 22

Một khía cạnh quan trọng khác cần xem xét là các ví dụ về Nhóm và Phần mềm được liệt kê cùng với một kỹ thuật. Những ví dụ này mô tả các thủ tục, hoặc cách cụ thể, một kẻ tấn công đã sử dụng một kỹ thuật. Thường thì chúng đại diện cho các biến thể của một kỹ thuật có thể hoặc không được bao phủ bởi các phân tích hiện có và cũng nên được tính vào đánh giá độ tin cậy về mức độ bao phủ tốt của bạn đối với một kỹ thuật.

| 34 |

BẮT ĐẦU VỚI ATT&CK: Đánh giá và Kỹ thuật | Andy Applebaum

PHẦN VÍ DỤ CỦA WINDOWS ADMIN SHARES

Ngoài việc xem xét các phân tích của bạn, bạn cũng sẽ muốn bắt đầu phân tích các công cụ của mình. Để làm điều này, chúng tôi khuyên bạn nên lặp lại từng công cụ – tạo một bản đồ nhiệt riêng biệt cho mỗi cái – và đặt các câu hỏi sau:

Công cụ chạy ở đâu? Tùy thuộc vào nơi một công cụ đang chạy – ví dụ: ở ranh giới hoặc trên từng điểm cuối – nó có thể hoạt động tốt hơn hoặc kém hơn với các chiến thuật cụ thể. Công cụ phát hiện như thế nào? Nó có sử dụng một tập hợp tĩnh các chỉ số “đã biết là xấu” không? Hay nó đang làm điều gì đó dựa trên hành vi? Công cụ giám sát những nguồn dữ liệu nào? Biết các nguồn dữ liệu mà một công cụ giám sát cho phép bạn suy ra những kỹ thuật nào nó có thể phát hiện.

Trả lời những câu hỏi này có thể khó. Không phải tất cả các nhà cung cấp đều công bố loại thông tin này, và thường khi bạn săn tìm nó, bạn sẽ kết thúc bằng việc tìm thấy tài liệu tiếp thị. Hãy cố gắng không dành quá nhiều thời gian để bị sa lầy vào những chi tiết cụ thể, thay vào đó hãy chọn vẽ những nét rộng về các mẫu phạm vi bao phủ chung.

Để tạo một bản đồ nhiệt cuối cùng về phạm vi bao phủ, hãy tổng hợp tất cả các bản đồ nhiệt cho công cụ và phân tích của bạn, ghi lại phạm vi bao phủ cao nhất trên mỗi kỹ thuật.

Như một bước đầu tiên hướng tới việc cải thiện phạm vi bao phủ của bạn, chúng tôi thích khuyến nghị một phiên bản nâng cao hơn của quy trình phát triển phân tích mà chúng tôi đã đề cập trước đây:

1. Tạo một danh sách các kỹ thuật ưu tiên cao mà bạn muốn tập trung trong ngắn hạn.
2. Đảm bảo bạn đang thu thập dữ liệu phù hợp để bắt đầu viết phân tích cho các kỹ thuật bạn đang tập trung vào.
3. Bắt đầu xây dựng phân tích và cập nhật biểu đồ phạm vi bao phủ của bạn.

BẮT ĐẦU VỚI PHẠM VI BAO PHỦ HIỆN TẠI CỦA BẠN, THÊM PHÂN TÍCH VÀ CẬP NHẬT PHẠM VI BAO PHỦ CỦA BẠN TƯƠNG ỨNG

Bạn cũng có thể muốn bắt đầu nâng cấp các công cụ của mình. Khi bạn đang phân tích tài liệu, hãy theo dõi bất kỳ mô-đun tùy chọn nào mà bạn có thể sử dụng để tăng phạm vi bao phủ của mình. Nếu bạn tìm thấy bất kỳ mô-đun nào, hãy xem xét những gì cần thiết để kích hoạt nó trên mạng của bạn và cân nhắc điều này với phạm vi bao phủ mà nó cung cấp.

Nếu bạn không thể tìm thấy bất kỳ mô-đun bổ sung nào cho các công cụ của mình, bạn cũng có thể thử sử dụng chúng làm nguồn dữ liệu thay thế. Ví dụ, bạn có thể không thể cài đặt

Sysmon trên mỗi điểm cuối của mình, nhưng phần mềm hiện có của bạn có thể chuyển tiếp các nhật ký liên quan mà bạn có thể không có quyền truy cập theo cách khác.

Chuyển lên cấp độ tiếp theo: Khi bạn bắt đầu thực hiện một số thay đổi này và cải thiện phạm vi bao phủ của mình, bước tiếp theo là giới thiệu mô phỏng kẻ tấn công, và đặc biệt là kiểm tra nguyên tử. Mỗi khi bạn tạo mẫu một phân tích mới, hãy chạy một bài kiểm tra nguyên tử phù hợp và xem liệu bạn có bắt được nó không. Nếu bạn làm được, tuyệt! Nếu bạn không làm được, hãy xem những gì bạn đã bỏ lỡ và tinh chỉnh phân tích của bạn cho phù hợp. Bạn cũng có thể xem bài báo của chúng tôi về Tìm kiếm mối đe dọa mạng với phân tích dựa trên ATT&CK để được hướng dẫn thêm về quy trình này.

| 36 |

BẮT ĐẦU VỚI ATT&CK: Đánh giá và Kỹ thuật | Andy Applebaum

CẤP ĐỘ 3

Đối với những người có đội ngũ tiên tiến hơn, một cách tuyệt vời mà bạn có thể tăng cường đánh giá của mình là bao gồm các biện pháp giảm thiểu. Điều này giúp chuyển đánh giá của bạn từ việc chỉ nhìn vào các công cụ và phân tích và những gì chúng đang phát hiện sang việc xem xét SOC của bạn như một tổng thể.

Một cách tốt để xác định cách bạn đang giảm thiểu các kỹ thuật là xem xét từng chính sách SOC, công cụ phòng ngừa và kiểm soát bảo mật của bạn, sau đó ánh xạ chúng vào (các) kỹ thuật ATT&CK mà chúng có thể ảnh hưởng, và sau đó thêm các kỹ thuật đó vào bản đồ nhiệt phạm vi bao phủ của bạn. Việc cơ cấu lại các biện pháp giảm thiểu gần đây của chúng tôi cho phép bạn xem xét từng biện pháp giảm thiểu và xem các kỹ thuật được ánh xạ với nó. Một số ví dụ về các kỹ thuật có biện pháp giảm thiểu bao gồm:

Tấn công vét cạn có thể được giảm thiểu bằng các chính sách khóa tài khoản. Triển khai Credential Guard trên các hệ thống Windows 10 có thể làm cho Credential Dumping khó khăn hơn. Một tài khoản quản trị viên cục bộ được tăng cường có thể ngăn chặn Windows Admin Shares. Tận dụng các quy tắc Giảm thiểu bề mặt tấn công của Microsoft EMET có thể làm cho việc sử dụng

RunDLL32 khó khăn hơn.

CÁC BIỆN PHÁP GIẢM THIỂU CHO TẤN CÔNG VÉT CẠN (TRÁI) VÀ WINDOWS ADMIN SHARES (PHẢI)

Một cách khác để mở rộng đánh giá của bạn là phỏng vấn – hoặc trò chuyện không chính thức với – những người khác làm việc trong SOC của bạn. Điều này có thể giúp bạn hiểu rõ hơn về cách các công cụ của bạn đang được sử dụng, cũng như làm nổi bật những khoảng trống và điểm mạnh mà bạn có thể không xem xét.

Một số câu hỏi ví dụ bạn có thể muốn hỏi bao gồm:

Bạn sử dụng những công cụ nào thường xuyên nhất? Điểm mạnh và điểm yếu của chúng là gì? Những nguồn dữ liệu nào bạn không thể nhìn thấy mà bạn ước có thể nhìn thấy? Đâu là những điểm mạnh và điểm yếu lớn nhất của bạn từ góc độ phát hiện?

Câu trả lời cho những câu hỏi này có thể giúp bạn bổ sung cho các bản đồ nhiệt mà bạn đã tạo trước đó.

Ví dụ: Nếu trước đây bạn tìm thấy một công cụ có rất nhiều khả năng liên quan đến ATT&CK, nhưng nhân viên chỉ đang sử dụng nó để giám sát Windows Registry, thì bạn nên sửa đổi bản đồ nhiệt của công cụ đó để phản ánh tốt hơn cách nó đang được sử dụng.

Khi bạn nói chuyện với đồng nghiệp, hãy xem xét các bản đồ nhiệt công cụ mà bạn đã tạo trước đó. Nếu bạn vẫn không hài lòng với phạm vi bao phủ mà các công cụ của bạn đang cung cấp, có thể cần thiết để đánh giá các công cụ mới. Hãy tạo một bản đồ nhiệt về phạm vi bao phủ cho mỗi công cụ tiềm năng mới và xem việc thêm nó sẽ giúp tăng cường phạm vi bao phủ của bạn như thế nào.

Mẹo: Nếu bạn có đặc biệt nhiều tài nguyên, bạn có thể thiết lập một môi trường thử nghiệm đại diện để kiểm tra công cụ trực tiếp, ghi lại nơi nó hoạt động tốt và nơi nó không hoạt động tốt, và nó sẽ ảnh hưởng như thế nào đến phạm vi bao phủ hiện tại của bạn.

Cuối cùng, bạn có thể giảm sự phụ thuộc vào các công cụ và phân tích bằng cách triển khai nhiều biện pháp giảm thiểu hơn. Hãy xem xét các biện pháp giảm thiểu trong ATT&CK để đánh giá xem bạn có thể thực hiện chúng một cách thực tế hay không. Tham khảo bản đồ nhiệt phát hiện của bạn như một phần của quá trình này; nếu có một biện pháp giảm thiểu chi phí cao sẽ ngăn chặn một kỹ thuật mà bạn đang làm tốt việc phát hiện, nó có thể không phải là một sự đánh đổi tốt.

Mặt khác, nếu có các biện pháp giảm thiểu chi phí thấp mà bạn có thể thực hiện cho các kỹ thuật mà bạn đang gặp khó khăn trong việc viết phân tích, thì việc thực hiện chúng có thể là một cách sử dụng tài nguyên tốt.

Mẹo: Luôn cân nhắc khả năng mất khả năng hiển thị khi điều tra việc loại bỏ các phát hiện để ủng hộ các biện pháp giảm thiểu. Hãy đảm bảo bạn có một số khả năng hiển thị trong các trường hợp một biện pháp giảm thiểu hoặc kiểm soát có thể bị bỏ qua để những sự kiện đó ít có khả năng bị bỏ lỡ. Phát hiện và giảm thiểu nên được sử dụng cả hai như các công cụ để có phạm vi bao phủ hiệu quả.

TÓM TẮT

Đánh giá khả năng phòng thủ của bạn và hướng dẫn kỹ thuật của bạn có thể là một cách tuyệt vời để bắt đầu với ATT&CK. Chạy một đánh giá cung cấp cho bạn sự hiểu biết về phạm vi bao phủ hiện tại của bạn là gì, mà bạn có thể bổ sung bằng tình báo về mối đe dọa để ưu tiên các khoảng trống, và sau đó sử dụng để điều chỉnh các biện pháp phòng thủ hiện có của bạn bằng cách viết phân tích.

Về lâu dài, bạn không nên hình dung mình đang chạy một đánh giá mỗi tuần, hoặc thậm chí mỗi tháng. Thay vào đó, bạn nên theo dõi liên tục về đánh giá cuối cùng của mình là gì, cập nhật nó mỗi khi bạn nhận được thông tin mới, và định kỳ chạy các bài tập mô phỏng kẻ tấn công để kiểm tra ngẫu nhiên kết quả của bạn.

Theo thời gian, những thay đổi trong mạng và những gì được thu thập có thể có những hậu quả không mong muốn làm giảm hiệu quả của các biện pháp phòng thủ đã được kiểm tra trước đó. Bằng cách tận dụng ATT&CK để chỉ ra cách các biện pháp phòng thủ của bạn đối phó với các mối đe dọa thực sự, bạn sẽ có thể hiểu rõ hơn về tư thế phòng thủ của mình và ưu tiên các cải tiến của mình.

John Wunder là kỹ sư an ninh mạng chính tại MITRE, nơi anh làm việc về các hoạt động phòng thủ, săn lùng mối đe dọa và phân tích cho dự án ATT&CK và các nhà tài trợ của MITRE. Anh là một trong những người duy trì Kho lưu trữ phân tích mạng và là trưởng nhóm cho ATT&CK Sightings. Trước đây, anh là biên tập viên của đặc tả STIX 2.0.

VỀ MITRE ATT&CK

MITRE ATT&CK™ là một cơ sở kiến thức toàn cầu có thể truy cập về chiến thuật và kỹ thuật của kẻ tấn công dựa trên các quan sát thực tế. Cơ sở kiến thức ATT&CK được sử dụng làm nền tảng cho việc phát triển các mô hình và phương pháp luận về mối đe dọa cụ thể trong khu vực tư nhân, trong chính phủ và trong cộng đồng sản phẩm và dịch vụ an ninh mạng. Với việc tạo ra ATT&CK, MITRE đang thực hiện sứ mệnh giải quyết các vấn đề cho một thế giới an toàn hơn – bằng cách tập hợp các cộng đồng lại với nhau để phát triển an ninh mạng hiệu quả hơn. ATT&CK có sẵn và miễn phí cho bất kỳ ai hoặc tổ chức nào sử dụng.

Tìm hiểu thêm tại attack.mitre.org.

VỀ MITRE

Các nhóm định hướng sứ mệnh của MITRE được dành riêng để giải quyết các vấn đề cho một thế giới an toàn hơn. Thông qua các quan hệ đối tác công-tư, cũng như việc vận hành các trung tâm R&D được liên bang tài trợ, chúng tôi làm việc trong toàn bộ chính phủ để giải quyết những thách thức đối với sự an toàn, ổn định và hạnh phúc của quốc gia chúng ta. Tìm hiểu thêm tại www.mitre.org.

MITRE ATT&CK™ và ATT&CK™ là thương hiệu của The MITRE Corporation.