H-ISAC Collaboration και το μοντέλο MITER ATT&CK

Χρήση του Analytics για προληπτική άμυνα στον κυβερνοχώρο στην Υγεία και σε άλλους τομείς

Καθώς τα διάφορα ISAC συνεχίζουν να συσπειρώνουν την άμυνά τους ενάντια στον αυξανόμενο αριθμό απειλών στον κυβερνοχώρο, το MITER έφερε επανάσταση στην παρακολούθηση πληροφοριών για τις απειλές στον κυβερνοχώρο. Το μοντέλο MITER ATT&CK έχει γίνει η παγκοσμίως αναγνωρισμένη βάση γνώσεων για τακτικές αντιπάλου που χρησιμοποιούνται από τους σημερινούς εγκληματίες στον κυβερνοχώρο υψηλής τεχνολογίας.

Αν και αυτό το πλαίσιο είναι μια εξαιρετική αρχή για τη συλλογή πληροφοριών για τις απειλές στον κυβερνοχώρο, δεν είναι σε καμία περίπτωση ολοκληρωμένο επειδή οι εγκληματίες του κυβερνοχώρου αναπτύσσουν συνεχώς νέες τακτικές. Το μέλλον αυτού του πλαισίου και η αξία του για τα διάφορα Κέντρα Διαμοιρασμού και Ανάλυσης Πληροφοριών (ISAC) εξαρτάται πλήρως από μια συλλογική προσέγγιση για συνεχή βελτίωση. Όπως δήλωσε πρόσφατα ο William Barnes, Ανώτερος Διευθυντής Λύσεων Ασφαλείας της Pfizer, «Είμαστε όλοι μαζί σε αυτό».

Πώς λειτουργεί το μοντέλο ATT&CK;

Το πλαίσιο ATT&CK παρέχει πληροφορίες για τις τακτικές, τις τεχνικές και την κοινή γνώση, εξ ου και το ακρωνύμιο. Αυτή η μήτρα είναι το εγκεφαλικό παιδί της MITER Corporation, ενός μη κερδοσκοπικού οργανισμού που υπερηφανεύεται για την επίλυση προβλημάτων για χάρη ενός πιο ασφαλούς κόσμου. Τα ομοσπονδιακά χρηματοδοτούμενα κέντρα δεδομένων τους είναι παγκοσμίως προσβάσιμα και εκτελούν μια μεγάλη ποικιλία ερευνητικών προσπαθειών με γνώμονα τα δεδομένα, συμπεριλαμβανομένης της ασφάλειας στον κυβερνοχώρο.

Ξεκίνησε το 2013, η βάση γνώσεων ATT&CK τεκμηριώνει τις κοινές τακτικές και τεχνικές που χρησιμοποιούνται από σύγχρονους αντιπάλους στον κυβερνοχώρο. Ο οδηγός πίσω από τη δημιουργία αυτού του μοντέλου ήταν η ανάγκη κατανόησης της συμπεριφοράς των αντιπάλων σε αντίθεση με τη χρονική κατανόηση των επιμέρους τακτικών. Υπάρχει μια μέθοδος για τη λειτουργία των εγκληματιών του κυβερνοχώρου και το κλειδί για να τους σταματήσουμε είναι να προβλέψουμε με ακρίβεια την επόμενη κίνησή τους.

Τα στοιχεία του μοντέλου ATT&CK μπορούν να αναλυθούν σε τακτικές και τεχνικές. Οι τακτικές είναι αντιπροσωπευτικές του «γιατί» ένας αντίπαλος θα επιλέξει να εκτελέσει μια συγκεκριμένη ενέργεια. Οι τεχνικές είναι το «πώς» ένας αντίπαλος προσπαθεί να επιτύχει τον τακτικό του στόχο. Ο συνδυασμός των δύο βοηθά να ρίξει φως σε πιθανές συμπεριφορές ή επόμενα βήματα που μπορεί να κάνει ένας κυβερνοεγκληματίας.

Το ATT&CK Matrix είναι η οπτική αναπαράσταση αυτών των τακτικών και τεχνικών. Μερικά παραδείγματα τακτικής περιλαμβάνουν την επιμονή, την πλευρική κίνηση και την ανακάλυψη. Για αυτές και πολλές άλλες τακτικές, η μήτρα προσδιορίζει πιθανές τεχνικές που θα μπορούσαν να χρησιμοποιηθούν για καθεμία. Για παράδειγμα, το Lateral Movement έχει 17 διαφορετικές τεχνικές που έχουν αναγνωριστεί, όπως τα Scripts Logon και το Remote File Copy.

Πώς επωφελούνται οι οργανισμοί από το μοντέλο ATT&CK

Οπλισμένοι με τις πληροφορίες από το μοντέλο ATT&CK, οι οργανισμοί μπορούν να αρχίσουν να χτίζουν προληπτικά τις άμυνες στον κυβερνοχώρο. Όταν εντοπίζουν ορισμένες τακτικές που χρησιμοποιούνται ενάντια στις περιμετρικές τους άμυνες, μπορούν να χρησιμοποιήσουν τη μήτρα για να προετοιμάσουν άμυνες για τις πιθανές τεχνικές ή τα επόμενα βήματα του αντιπάλου.

Το κύριο όφελος είναι η προληπτική φύση του μοντέλου ATT&CK. Όλοι οι οργανισμοί στην ψηφιακή εποχή χρησιμοποιούν κάποια μορφή λογισμικού και λύσεων για την ασφάλεια στον κυβερνοχώρο. Προσφέρουν διαφορετικά επίπεδα αμυντικών στάσεων και, τουλάχιστον, παρέχουν βασικά επίπεδα προστασίας. Ωστόσο, το ενδεχόμενο μιας επιτυχούς παραβίασης είναι επικείμενη.

Για να μπορέσει οποιοσδήποτε οργανισμός να προστατεύσει με επιτυχία τα ψηφιακά του στοιχεία, πρέπει να παραμείνει σε εγρήγορση στις προσπάθειές του να παραμείνει μπροστά από τους αντιπάλους του. Σύμφωνα με τον William Barnes, η κύρια πρόκληση είναι ότι υπάρχει ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων. Επιπλέον, ανέφερε το γεγονός ότι τόσο οι χρηματοοικονομικές υπηρεσίες όσο και οι βιομηχανίες υγειονομικής περίθαλψης είναι οι μεγαλύτερες οντότητες και ως εκ τούτου παρέχουν ένα πλούσιο περιβάλλον-στόχο για τους αντιπάλους. «Οι χρηματοοικονομικές υπηρεσίες είναι το μεγαλύτερο ISAC… αλλά η Υγεία αντιπροσωπεύει μια μαζική κοινότητα που είναι πολύ μεγαλύτερη από πλευράς ενδιαφερόμενων μερών».

Η συνεργασία είναι το κλειδί

Στην πρόσφατη εαρινή σύνοδο κορυφής H-ISAC, υπήρξε ένα ηχηρό κεντρικό θέμα. Η συνεργασία για την καταπολέμηση της απειλής των αντιπάλων στον κυβερνοχώρο είναι η καλύτερη πορεία προς τα εμπρός όχι μόνο για την υγειονομική περίθαλψη αλλά για όλους τους κλάδους.

Εδώ το μοντέλο MITER ATT&CK και το H-ISAC (Health Information Sharing and Analysis Center) μπορούν να κάνουν τα μεγαλύτερα βήματα. Το ίδιο το μοντέλο παρέχει ένα πλαίσιο για τον εντοπισμό τακτικών με σχετικές τεχνικές. Ωστόσο, είναι τόσο καλό όσο και οι πληροφορίες που έχει αυτή τη στιγμή. Έχοντας τις οργανώσεις μέλη του H-ISAC να μοιράζονται τις εμπειρίες τους, η βάση γνώσεων MITER μπορεί να ενημερώνεται συνεχώς με τις πιο πρόσφατες απειλές.

Οι οργανισμοί έχουν πλέον μια συνεπή πλατφόρμα που, σύμφωνα με τον Barnes, μπορεί να είναι crowd source. Αυτό σημαίνει ότι όλες οι οντότητες μπορούν να επωφεληθούν από τις εμπειρίες κάθε μεμονωμένης οντότητας. Ως αποτέλεσμα, μπορούν να συνεχίσουν να δημιουργούν προληπτικά μέτρα ασφαλείας που τους κρατούν μπροστά από τον αντίπαλο.

Ποιες είναι οι επιπτώσεις της αποκάλυψης

Φυσικά, αυτή η ανοιχτή ανταλλαγή πληροφοριών εγείρει επίσης ορισμένες ανησυχίες. Ορισμένοι οργανισμοί διστάζουν να μοιραστούν το γεγονός ότι μπορεί να έχουν βιώσει μια παραβίαση, καθώς βλάπτει την αξιοπιστία τους στην αγορά. Ορισμένοι φοβούνται ότι άλλες οντότητες μπορεί να δελεαστούν να χρησιμοποιήσουν αυτές τις πληροφορίες εναντίον των ανταγωνιστών τους.

Σύμφωνα με τον Barnes, η H-ISAC έχει αντιμετωπίσει αυτό το πρόβλημα με τη χρήση συμφωνιών μη αποκάλυψης για τις οντότητες-μέλη. Αυτές οι NDA συμβάλλουν στην άμβλυνση των ανησυχιών για τη διαρροή ακατάλληλων πληροφοριών στο κοινό.

Ο Μπαρνς σημείωσε επίσης ότι η ανταλλαγή πληροφοριών δεν αφορά απαραίτητα ένα πραγματικό περιστατικό παραβίασης. Εφόσον η H-ISAC συνεργάζεται με το MITRE, οι πληροφορίες που μοιράζονται αφορούν περισσότερο τον εντοπισμό ύποπτης ή κακόβουλης δραστηριότητας. Ο στόχος δεν είναι να δείξουμε το δάχτυλο σε αυτά που παραβιάστηκαν, αλλά να εντοπίσουμε νέες τακτικές και τεχνικές και να τις μοιραστούμε με τα μέλη της κοινότητας προς όφελος όλων.

Πλεονεκτήματα και μειονεκτήματα της συμμετοχής προμηθευτών

Καθώς η συνεργατική κοινότητα συνεχίζει να αναπτύσσεται, οι πωλητές κυβερνοασφάλειας αρχίζουν να παίρνουν θέση στο τραπέζι. Το πλεονέκτημα της ενσωμάτωσης αυτών των παικτών είναι ότι είναι βυθισμένοι στις τακτικές και τις τεχνικές των αντιπάλων και μπορούν να φέρουν μια άποψη πρώτης γραμμής στις οντότητες-μέλη της H-ISAC.

Σύμφωνα με τον Barnes, κάθε πωλητής πιθανότατα μπορεί να χειριστεί το φάσμα των τακτικών και τεχνικών. Ωστόσο, το καθένα τείνει επίσης να ειδικεύεται σε ορισμένους τομείς. Προσφέροντας ένα ευρύ φάσμα προμηθευτών, τα μέλη της H-ISAC και το μοντέλο MITER ATT&CK μπορούν να επωφεληθούν από τις διάφορες προοπτικές τους.

Το μέλλον είναι λαμπρό

Παρά όλες τις προκλήσεις που υπάρχουν στη σύγχρονη ψηφιακή εποχή, ο Barnes παραμένει αισιόδοξος. Ένα από τα μεγαλύτερα συμπεράσματά του από την εαρινή σύνοδο κορυφής H-ISAC είναι η ανανεωμένη πεποίθηση ότι αυτή η ομάδα εργασίας H-ISAC Cybersecurity Analytics μπορεί να επιτύχει αξιόλογα πράγματα.

Η συνεχής ανάπτυξη και ανάπτυξη του μοντέλου MITER ATT&CK είναι μια συναρπαστική ευκαιρία. Η δυνατότητα να επηρεαστούν θετικά οι οργανισμοί σε όλο το φάσμα της υγειονομικής περίθαλψης δεν ήταν ποτέ καλύτερη. Επιπλέον, ο Barnes σημείωσε επίσης ότι η κοινότητα H-ISAC έχει θέσει την ποικιλομορφία και την ένταξη προτεραιότητα.

Για περισσότερες πληροφορίες σχετικά με το Cybersecurity Analytics και άλλες ομάδες εργασίας, μεταβείτε στη διεύθυνση https://h-isac.org/committees-working-groups/.

• Σχετικοί πόροι και νέα