Gå til hovedindhold

H-ISAC-samarbejde og MITRE ATT&CK-modellen


Brug af Analytics til proaktivt cyberforsvar i sundhedssektoren og andre sektorer

 

Mens de forskellige ISAC'er fortsætter med at samle deres forsvar mod det voksende antal cybertrusler, har MITER revolutioneret sporingen af ​​cybertrusselsefterretninger. MITER ATT&CK-modellen er blevet den globalt anerkendte videnbase for modstandsdygtige taktikker, der bruges af nutidens højteknologiske cyberkriminelle.

Selvom denne ramme er en glimrende start på at indsamle efterretninger om cybertrusler, er den på ingen måde komplet, fordi cyberkriminelle konstant udvikler nye taktikker. Fremtiden for denne ramme og dens værdi for de forskellige informationsdelings- og analysecentre (ISAC) er fuldt ud afhængig af en samarbejdstilgang til løbende forbedringer. Som William Barnes, Senior Director of Security Solutions for Pfizer udtalte for nylig: "Vi er alle sammen i det her."

 

Hvordan fungerer ATT&CK-modellen?

ATT&CK-rammen giver information om modstridende taktikker, teknikker og almindelig viden, deraf akronymet. Denne matrix er hjernebarnet af MITER Corporation, en non-profit organisation, der er stolt af at løse problemer for en mere sikker verden. Deres føderalt finansierede datacentre er globalt tilgængelige og udfører en lang række datadrevne forskningsindsatser, herunder cybersikkerhed.

Startet i 2013 dokumenterer ATT&CK vidensbasen de almindelige taktikker og teknikker, der bruges af moderne cybermodstandere. Drivkraften bag skabelsen af ​​denne model var behovet for at forstå modstandernes adfærd i modsætning til en tidsmæssig forståelse af individuelle taktikker. Der er en metode til drift af cyberkriminelle, og nøglen til at stoppe dem er nøjagtigt at forudsige deres næste træk.

Komponenterne i ATT&CK-modellen kan opdeles i taktik og teknikker. Taktikken er repræsentativ for "hvorfor" en modstander vil vælge at udføre en bestemt handling. Teknikker er "hvordan" en modstander forsøger at nå deres taktiske mål. Kombinationen af ​​de to hjælper med at kaste lys over mulig adfærd, eller næste skridt, som en cyberkriminel kan tage.

ATT&CK Matrix er den visuelle repræsentation af disse taktikker og teknikker. Nogle eksempler på taktik omfatter persistens, sidebevægelse og opdagelse. For disse og mange andre taktikker identificerer matrixen potentielle teknikker, der kan bruges til hver. For eksempel har Lateral Movement 17 forskellige teknikker, der er blevet identificeret, såsom Logon Scripts og Remote File Copy.

 

Hvordan organisationer drager fordel af ATT&CK-modellen

Bevæbnet med informationen fra ATT&CK-modellen kan organisationer begynde at proaktivt opbygge deres cyberforsvar. Når de opdager, at bestemte taktikker bliver brugt mod deres perimeterforsvar, kan de bruge matrixen til at forberede forsvar til modstanderens potentielle teknikker eller næste skridt.

Den primære fordel er den proaktive karakter af ATT&CK-modellen. Alle organisationer i den digitale tidsalder bruger en form for cybersikkerhedssoftware og -løsninger. De tilbyder forskellige niveauer af defensive stillinger og giver i det mindste grundlæggende beskyttelsesniveauer. Muligheden for et vellykket brud er dog nært forestående.

For at enhver organisation med succes kan beskytte deres digitale aktiver, skal de forblive på vagt i deres bestræbelser på at være på forkant med deres modstandere. Ifølge William Barnes er den primære udfordring, at der er en bred vifte af ondsindede aktiviteter. Derudover citerede han det faktum, at både de finansielle tjenesteydelser og sundhedssektoren er de største enheder og derfor giver et rigt målmiljø for ville være modstandere. "Finansielle tjenester er den største ISAC ... men Healthcare repræsenterer et massefællesskab, der er langt større i forhold til interessenter."

 

Samarbejde er nøglen

Ved det nylige H-ISAC-forårstopmøde var der et rungende centralt tema. At arbejde sammen om at bekæmpe truslen fra cybermodstandere er den bedste vej frem for ikke kun sundhedsvæsenet, men for alle industrier.

Det er her MITER ATT&CK-modellen og H-ISAC (Health Information Sharing and Analysis Center) kan gøre de største fremskridt. Selve modellen giver en ramme til at identificere taktik med tilhørende teknikker. Den er dog kun så god som den information, den har i øjeblikket. Ved at lade H-ISAC medlemsorganisationer dele deres erfaringer, kan MITER videnbasen løbende opdateres med de seneste trusler.

Organisationer har nu en konsekvent platform, som ifølge Barnes kan være crowdsourced. Det betyder, at alle enheder kan drage fordel af hver enkelt enheds erfaringer. Som et resultat kan de fortsætte med at opbygge proaktive sikkerhedsforanstaltninger, der holder dem foran modstanderen.

 

Hvad er virkningerne af offentliggørelse

Denne åbne deling af information giver naturligvis også anledning til bekymring. Nogle organisationer er tilbageholdende med at dele det faktum, at de måske har oplevet et brud, da det skader deres troværdighed på markedet. Nogle frygter, at andre enheder kan blive lokket til at bruge disse oplysninger mod deres konkurrenter.

Ifølge Barnes har H-ISAC taget dette problem på hovedet gennem brugen af ​​fortrolighedsaftaler for medlemsenheder. Disse NDA'er hjælper med at afhjælpe bekymringerne for, at upassende information bliver lækket ud til offentligheden.

Barnes bemærkede også, at deling af information ikke nødvendigvis handler om en faktisk brudhændelse. Ved at få H-ISAC til at samarbejde med MITRE, handler den delte information mere om identifikation af mistænkelig eller ondsindet aktivitet. Målet er ikke at pege fingre af dem, der blev overtrådt, men at identificere nye taktikker og teknikker og dele dem med medlemmer af fællesskabet til gavn for alle.

 

Fordele og ulemper ved leverandørinddragelse

Efterhånden som det kollaborative samfund fortsætter med at vokse, begynder cybersikkerhedsleverandører at tage plads ved bordet. Fordelen ved at bringe disse spillere om bord er, at de er fordybet i modstandernes taktik og teknikker og kan bringe et frontlinjesyn til H-ISAC-medlemsenheder.

Ifølge Barnes kan hver leverandør sandsynligvis håndtere spektret af taktik og teknikker; hver enkelt har dog også en tendens til at specialisere sig inden for visse områder. Ved at bringe en bred vifte af leverandører ind, kan H-ISAC-medlemmer og MITER ATT&CK-modellen drage fordel af deres forskellige perspektiver.

 

Fremtiden er lys

På trods af alle de udfordringer, der findes i den moderne digitale tidsalder, forbliver Barnes optimistisk. En af hans største ting fra H-ISAC Spring Summit er den fornyede tro på, at denne H-ISAC Cybersecurity Analytics-arbejdsgruppe kan udrette bemærkelsesværdige ting.

Den fortsatte vækst og udvikling af MITER ATT&CK-modellen er en spændende mulighed. Muligheden for at påvirke organisationer positivt på tværs af sundhedsspektret har aldrig været bedre. Derudover bemærkede Barnes også, at H-ISAC-fællesskabet har gjort mangfoldighed og inklusion til en prioritet.

For mere information om Cybersecurity Analytics og andre arbejdsgrupper, gå til https://h-isac.org/committees-working-groups/.

  • Relaterede ressourcer og nyheder
Bekæmpelse af cybertrusler med et globalt samfund
Whitepaper til Big Data Security Controls