Přejít k hlavnímu obsahu

H-ISAC Collaboration a MITER ATT&CK Model


Použití Analytics pro proaktivní kybernetickou obranu ve zdravotnictví a dalších sektorech

 

Vzhledem k tomu, že různé ISAC stále shromažďují svou obranu proti rostoucímu počtu kybernetických hrozeb, MITER způsobil revoluci ve sledování zpravodajství o kybernetických hrozbách. Model MITER ATT&CK se stal celosvětově uznávanou znalostní základnou pro nepřátelské taktiky používané dnešními špičkovými kybernetickými zločinci.

I když je tento rámec vynikajícím začátkem pro shromažďování informací o kybernetických hrozbách, není v žádném případě úplný, protože kyberzločinci neustále vyvíjejí nové taktiky. Budoucnost tohoto rámce a jeho hodnota pro různá centra pro sdílení a analýzu informací (ISAC) plně závisí na společném přístupu k neustálému zlepšování. Jak nedávno prohlásil William Barnes, vrchní ředitel bezpečnostních řešení společnosti Pfizer: „Jsme v tom všichni společně.“

 

Jak funguje model ATT&CK?

Rámec ATT&CK poskytuje informace pro Adversarial Tactics, Techniques & Common Knowledge, odtud zkratka. Tato matrice je mozkovým dítětem MITER Corporation, neziskové organizace, která se pyšní řešením problémů v zájmu bezpečnějšího světa. Jejich federálně financovaná datová centra jsou globálně dostupná a provádějí širokou škálu výzkumných aktivit založených na datech, včetně kybernetické bezpečnosti.

Znalostní báze ATT&CK, která byla zahájena v roce 2013, dokumentuje běžné taktiky a techniky, které používají moderní kybernetičtí protivníci. Hnacím motorem za vytvořením tohoto modelu byla potřeba porozumět chování protivníků v protikladu k časovému pochopení individuální taktiky. Existuje způsob, jak kyberzločinci fungovat, a klíčem k jejich zastavení je přesně předvídat jejich další krok.

Komponenty modelu ATT&CK lze rozdělit na taktiky a techniky. Taktika představuje „proč“ se protivník rozhodne provést určitou akci. Techniky jsou „jak“ se protivník pokouší dosáhnout svého taktického cíle. Kombinace těchto dvou pomáhá osvětlit možné chování nebo další kroky, které může kyberzločinec podniknout.

ATT&CK Matrix je vizuální reprezentací těchto taktik a technik. Některé příklady taktiky zahrnují vytrvalost, boční pohyb a objevování. Pro tyto a mnoho dalších taktik matice identifikuje potenciální techniky, které lze pro každou z nich použít. Například Lateral Movement má 17 různých technik, které byly identifikovány, jako jsou přihlašovací skripty a vzdálené kopírování souborů.

 

Jak organizace těží z modelu ATT&CK

Vyzbrojeny informacemi z modelu ATT&CK mohou organizace začít proaktivně budovat svou kybernetickou obranu. Když zjistí určitou taktiku použitou proti jejich obvodové obraně, mohou použít matrici k přípravě obrany pro potenciální techniky nebo další kroky protivníka.

Primární výhodou je proaktivní charakter modelu ATT&CK. Všechny organizace v digitálním věku používají nějakou formu softwaru a řešení pro kybernetickou bezpečnost. Nabízejí různé úrovně obranných pozic a poskytují přinejmenším základní úrovně ochrany. Nicméně možnost úspěšného porušení je bezprostřední.

Aby jakákoli organizace úspěšně chránila svá digitální aktiva, musí zůstat ostražitá ve svém úsilí udržet si náskok před svými protivníky. Podle Williama Barnese je hlavním problémem to, že existuje široká škála škodlivých aktivit. Navíc uvedl skutečnost, že jak finanční služby, tak zdravotnický průmysl jsou největšími subjekty, a proto poskytují cílové bohaté prostředí pro protivníky. "Finanční služby jsou největší ISAC... ale zdravotnictví představuje masovou komunitu, která je mnohem větší, pokud jde o zúčastněné strany."

 

Klíčem je spolupráce

Na nedávném jarním summitu H-ISAC zaznělo zvučné ústřední téma. Spolupráce v boji proti hrozbě kybernetických protivníků je nejlepší cestou vpřed nejen pro zdravotnictví, ale pro všechna průmyslová odvětví.

Zde mohou model MITER ATT&CK a H-ISAC (Health Information Sharing and Analysis Center) dosáhnout největšího pokroku. Samotný model poskytuje rámec pro identifikaci taktiky s přidruženými technikami. Je to však jen tak dobré, jak dobré jsou informace, které v současnosti má. Tím, že členské organizace H-ISAC sdílejí své zkušenosti, může být znalostní báze MITER neustále aktualizována o nejnovější hrozby.

Organizace nyní mají konzistentní platformu, kterou lze podle Barnese získat z davu. To znamená, že všechny subjekty mohou těžit ze zkušeností každého jednotlivého subjektu. Díky tomu mohou pokračovat v budování proaktivních bezpečnostních opatření, která je udrží před protivníkem.

 

Jaké jsou dopady zveřejnění

Toto otevřené sdílení informací samozřejmě také vyvolává určité obavy. Některé organizace se zdráhají sdílet skutečnost, že mohly zažít porušení, protože to poškozuje jejich důvěryhodnost na trhu. Někteří se obávají, že jiné subjekty mohou být nalákány k použití těchto informací proti svým konkurentům.

Podle Barnese se H-ISAC chopil tohoto problému pomocí dohod o mlčenlivosti pro členské subjekty. Tyto smlouvy NDA pomáhají zmírnit obavy z úniku nevhodných informací na veřejnost.

Barnes také poznamenal, že sdílení informací nemusí nutně znamenat skutečný incident narušení. Tím, že H-ISAC spolupracuje s MITRE, sdílené informace jsou spíše o identifikaci podezřelé nebo škodlivé aktivity. Cílem není ukazovat prstem na ty, které byly porušeny, ale identifikovat nové taktiky a techniky a sdílet je se členy komunity ve prospěch všech.

 

Výhody a nevýhody zapojení dodavatele

Spolupracující komunita stále roste a prodejci kybernetické bezpečnosti začínají usedat ke stolu. Výhodou zapojení těchto hráčů na palubu je, že jsou ponořeni do taktiky a technik protivníků a mohou členským entitám H-ISAC přinést pohled z první linie.

Podle Barnese každý prodejce pravděpodobně zvládne spektrum taktik a technik; každý z nich má však tendenci se specializovat na určité oblasti. Přivedením široké škály prodejců mohou členové H-ISAC a MITER ATT&CK Model těžit z jejich různých úhlů pohledu.

 

Budoucnost je jasná

Navzdory všem výzvám, které v moderní digitální době existují, zůstává Barnes optimistou. Jedním z jeho největších poznatků z jarního summitu H-ISAC je obnovené přesvědčení, že tato pracovní skupina H-ISAC Cybersecurity Analytics dokáže dosáhnout pozoruhodných věcí.

Neustálý růst a vývoj modelu MITER ATT&CK je vzrušující příležitostí. Možnost pozitivně ovlivnit organizace napříč spektrem zdravotní péče nebyla nikdy lepší. Kromě toho Barnes také poznamenal, že komunita H-ISAC učinila z rozmanitosti a začlenění prioritu.

Další informace o Cybersecurity Analytics a dalších pracovních skupinách naleznete na https://h-isac.org/committees-working-groups/.

  • Související zdroje a zprávy