H-ISAC-Zusammenarbeit und das MITRE ATT&CK-Modell

Einsatz von Analytics zur proaktiven Cyberabwehr im Gesundheitswesen und anderen Sektoren

Während die verschiedenen ISACs ihre Abwehrmaßnahmen gegen die wachsende Zahl von Cyberbedrohungen weiter verstärken, hat MITRE die Verfolgung von Cyberbedrohungsinformationen revolutioniert. Das MITRE ATT&CK-Modell ist zur weltweit anerkannten Wissensbasis für die Angriffstaktiken geworden, die von modernen Hightech-Cyberkriminellen eingesetzt werden.

Dieses Framework ist zwar ein hervorragender Ausgangspunkt für die Erfassung von Informationen zu Cyberbedrohungen, es ist jedoch noch lange nicht vollständig, da Cyberkriminelle ständig neue Taktiken entwickeln. Die Zukunft dieses Frameworks und sein Wert für die verschiedenen Information Sharing and Analysis Centers (ISAC) hängt vollständig von einem kollaborativen Ansatz zur kontinuierlichen Verbesserung ab. Wie William Barnes, Senior Director of Security Solutions bei Pfizer, kürzlich sagte: „Wir sitzen alle im selben Boot.“

Wie funktioniert das ATT&CK-Modell?

Das ATT&CK-Framework bietet Informationen zu Adversarial Tactics, Techniques & Common Knowledge, daher das Akronym. Diese Matrix ist das geistige Kind der MITRE Corporation, einer gemeinnützigen Organisation, die stolz darauf ist, Probleme im Interesse einer sichereren Welt zu lösen. Ihre staatlich finanzierten Rechenzentren sind weltweit zugänglich und führen eine Vielzahl datengestützter Forschungsarbeiten durch, darunter auch zur Cybersicherheit.

Die 2013 gegründete ATT&CK-Wissensdatenbank dokumentiert die gängigen Taktiken und Techniken, die von modernen Cyber-Gegnern verwendet werden. Der Grund für die Erstellung dieses Modells war die Notwendigkeit, das Verhalten von Gegnern zu verstehen, im Gegensatz zu einem punktuellen Verständnis einzelner Taktiken. Cyberkriminelle gehen methodisch vor und der Schlüssel, um sie zu stoppen, liegt darin, ihren nächsten Schritt genau vorherzusagen.

Die Komponenten des ATT&CK-Modells können in Taktiken und Techniken unterteilt werden. Die Taktiken geben an, „warum“ ein Angreifer sich für eine bestimmte Aktion entscheidet. Techniken geben an, „wie“ ein Angreifer versucht, sein taktisches Ziel zu erreichen. Die Kombination dieser beiden hilft, mögliche Verhaltensweisen oder nächsten Schritte eines Cyberkriminellen aufzudecken.

Die ATT&CK-Matrix ist die visuelle Darstellung dieser Taktiken und Techniken. Einige Beispiele für Taktiken sind Persistenz, Lateral Movement und Discovery. Für diese und viele andere Taktiken identifiziert die Matrix potenzielle Techniken, die für jede einzelne verwendet werden könnten. Beispielsweise wurden für Lateral Movement 17 verschiedene Techniken identifiziert, wie etwa Anmeldeskripte und Remote File Copy.

Wie Organisationen vom ATT&CK-Modell profitieren

Ausgestattet mit den Informationen aus dem ATT&CK-Modell können Organisationen beginnen, ihre Cyberabwehr proaktiv aufzubauen. Wenn sie feststellen, dass bestimmte Taktiken gegen ihre Perimeterabwehr eingesetzt werden, können sie die Matrix verwenden, um die Abwehrmaßnahmen auf die potenziellen Techniken oder nächsten Schritte des Gegners vorzubereiten.

Der Hauptvorteil liegt in der proaktiven Natur des ATT&CK-Modells. Alle Organisationen im digitalen Zeitalter nutzen irgendeine Form von Cybersicherheitssoftware und -lösungen. Sie bieten verschiedene Verteidigungsstufen und zumindest ein grundlegendes Schutzniveau. Die Möglichkeit eines erfolgreichen Einbruchs ist jedoch unvermeidlich.

Damit eine Organisation ihre digitalen Assets erfolgreich schützen kann, muss sie wachsam bleiben und ihren Gegnern immer einen Schritt voraus sein. Laut William Barnes besteht die größte Herausforderung darin, dass es eine Vielzahl bösartiger Aktivitäten gibt. Darüber hinaus verwies er auf die Tatsache, dass sowohl die Finanzdienstleistungsbranche als auch die Gesundheitsbranche die größten Unternehmen sind und daher potenzielle Gegner mit zahlreichen Zielen angreifen können. „Finanzdienstleistungen sind die größte ISAC … aber das Gesundheitswesen stellt eine Massengemeinschaft dar, die hinsichtlich der Interessengruppen viel größer ist.“

Zusammenarbeit ist der Schlüssel

Beim jüngsten H-ISAC-Frühjahrsgipfel gab es ein zentrales Thema: Die Zusammenarbeit im Kampf gegen die Bedrohung durch Cyber-Angreifer ist nicht nur für das Gesundheitswesen, sondern für alle Branchen der beste Weg in die Zukunft.

Hier können das MITRE ATT&CK-Modell und H-ISAC (Health Information Sharing and Analysis Center) die größten Fortschritte erzielen. Das Modell selbst bietet einen Rahmen für die Identifizierung von Taktiken und zugehörigen Techniken. Es ist jedoch nur so gut wie die Informationen, die es derzeit hat. Indem die Mitgliedsorganisationen von H-ISAC ihre Erfahrungen austauschen, kann die MITRE-Wissensdatenbank kontinuierlich mit den neuesten Bedrohungen aktualisiert werden.

Organisationen verfügen jetzt über eine einheitliche Plattform, die laut Barnes Crowdsourcing-basiert sein kann. Das bedeutet, dass alle Einheiten von den Erfahrungen der einzelnen Einheiten profitieren können. Dadurch können sie weiterhin proaktive Sicherheitsmaßnahmen entwickeln, die ihnen einen Vorsprung vor dem Gegner verschaffen.

Welche Auswirkungen hat die Offenlegung?

Natürlich wirft dieser offene Informationsaustausch auch einige Bedenken auf. Manche Organisationen zögern, die Tatsache zu teilen, dass sie möglicherweise einen Verstoß erlebt haben, da dies ihrer Glaubwürdigkeit auf dem Markt schadet. Manche befürchten, dass andere Unternehmen dazu verleitet werden könnten, diese Informationen gegen ihre Konkurrenten zu verwenden.

Laut Barnes hat H-ISAC dieses Problem durch die Verwendung von Geheimhaltungsvereinbarungen für Mitgliedsunternehmen direkt angegangen. Diese Geheimhaltungsvereinbarungen tragen dazu bei, die Bedenken auszuräumen, dass unangemessene Informationen an die Öffentlichkeit gelangen könnten.

Barnes merkte auch an, dass es beim Informationsaustausch nicht unbedingt um einen tatsächlichen Sicherheitsverstoß geht. Durch die Zusammenarbeit von H-ISAC mit MITRE geht es bei den ausgetauschten Informationen eher um die Identifizierung verdächtiger oder böswilliger Aktivitäten. Das Ziel besteht nicht darin, mit dem Finger auf die Opfer zu zeigen, sondern neue Taktiken und Techniken zu identifizieren und sie zum Nutzen aller mit den Mitgliedern der Community zu teilen.

Vor- und Nachteile der Einbindung von Lieferanten

Da die kollaborative Community weiter wächst, beginnen auch Anbieter von Cybersicherheit mitzumischen. Der Vorteil, diese Akteure an Bord zu holen, besteht darin, dass sie mit den Taktiken und Techniken der Gegner vertraut sind und den H-ISAC-Mitgliedsunternehmen einen Einblick aus erster Hand geben können.

Laut Barnes kann jeder Anbieter wahrscheinlich das Spektrum an Taktiken und Techniken abdecken, neigt jedoch auch dazu, sich auf bestimmte Bereiche zu spezialisieren. Durch die Einbeziehung einer breiten Palette von Anbietern können die H-ISAC-Mitglieder und das MITRE ATT&CK-Modell von ihren unterschiedlichen Perspektiven profitieren.

Die Zukunft ist hell

Trotz aller Herausforderungen im modernen digitalen Zeitalter bleibt Barnes optimistisch. Eine seiner wichtigsten Erkenntnisse vom H-ISAC Spring Summit ist der erneute Glaube daran, dass diese H-ISAC Cybersecurity Analytics-Arbeitsgruppe bemerkenswerte Dinge erreichen kann.

Das kontinuierliche Wachstum und die Entwicklung des MITRE ATT&CK-Modells sind eine spannende Chance. Die Möglichkeit, Organisationen im gesamten Gesundheitswesen positiv zu beeinflussen, war noch nie so groß. Darüber hinaus stellte Barnes fest, dass die H-ISAC-Community Vielfalt und Inklusion zu einer Priorität gemacht hat.

Weitere Informationen zu Cybersecurity Analytics und anderen Arbeitsgruppen finden Sie unter https://h-isac.org/committees-working-groups/.

• Verwandte Ressourcen und Neuigkeiten