H-ISAC koostöö ja MITER ATT&CK mudel
Analüütika kasutamine ennetava küberkaitse jaoks tervishoius ja muudes sektorites
Kuna erinevad ISAC-id jätkavad oma kaitsemehhanismide koondamist kasvava arvu küberohtude vastu, on MITER muutnud küberohtude luureandmete jälgimise pöörde. MITER ATT&CK mudelist on saanud ülemaailmselt tunnustatud teadmistebaas võistlevate taktikate kohta, mida kasutavad tänapäeva kõrgtehnoloogilised küberkurjategijad.
Kuigi see raamistik on suurepärane algus küberohtude luureandmete kogumiseks, pole see sugugi täielik, sest küberkurjategijad töötavad pidevalt välja uusi taktikaid. Selle raamistiku tulevik ja selle väärtus erinevatele teabejagamis- ja analüüsikeskustele (ISAC) sõltub täielikult pideva täiustamise koostööst. Nagu Pfizeri turbelahenduste vanemdirektor William Barnes hiljuti ütles: "Oleme kõik selles koos."
Kuidas ATT&CK mudel töötab?
ATT&CK raamistik pakub teavet võistleva taktika, tehnika ja ühiste teadmiste kohta, sellest ka akronüüm. See maatriks on MITER Corporationi ajulaps, mittetulundusorganisatsioon, mis on uhke probleemide lahendamise üle turvalisema maailma nimel. Nende föderaalselt rahastatud andmekeskused on ülemaailmselt juurdepääsetavad ja teostavad mitmesuguseid andmepõhiseid uurimistöid, sealhulgas küberjulgeolekut.
2013. aastal alguse saanud ATT&CK teadmistebaas dokumenteerib levinud taktikad ja tehnikad, mida kaasaegsed kübervastased kasutavad. Selle mudeli loomise ajendiks oli vajadus mõista vastaste käitumist, mitte üksikute taktikate mõistmist. Küberkurjategijate tegutsemiseks on olemas meetod ja nende peatamise võti on nende järgmise sammu täpne ennustamine.
ATT&CK mudeli komponendid võib jagada taktikateks ja tehnikateks. Taktika esindab "miks" vastane otsustab teatud toimingu sooritada. Tehnikad on "kuidas" vastane püüab saavutada oma taktikalist eesmärki. Nende kahe kombinatsioon aitab heita valgust võimalikule käitumisele või järgmistele sammudele, mida küberkurjategija võib ette võtta.
ATT&CK maatriks on nende taktikate ja tehnikate visuaalne esitus. Mõned näited taktikast on püsivus, külgmine liikumine ja avastamine. Nende ja paljude teiste taktikate jaoks määrab maatriks potentsiaalsed tehnikad, mida saab kasutada igaühe jaoks. Näiteks funktsioonil Lateral Movement on tuvastatud 17 erinevat tehnikat, näiteks sisselogimisskriptid ja faili kaugkoopia.
Kuidas organisatsioonid ATT&CK mudelist kasu saavad
Varustatuna ATT&CK mudeli teabega, saavad organisatsioonid hakata ennetavalt oma küberkaitset üles ehitama. Kui nad avastavad, et teatud taktikaid kasutatakse nende perimeetri kaitse vastu, saavad nad maatriksit kasutada kaitse ettevalmistamiseks vastase potentsiaalsete tehnikate või järgmiste sammude jaoks.
Peamine eelis on ATT&CK mudeli proaktiivne olemus. Kõik digiajastu organisatsioonid kasutavad teatud tüüpi küberturvalisuse tarkvara ja lahendusi. Need pakuvad erineva tasemega kaitseasendeid ja pakuvad vähemalt põhikaitsetasemeid. Siiski on võimalik, et rikkumine õnnestub.
Et iga organisatsioon saaks oma digitaalseid varasid edukalt kaitsta, peavad nad olema valvsad oma jõupingutustes, et oma vastastest ees püsida. William Barnesi sõnul on esmaseks väljakutseks see, et seal on palju pahatahtlikke tegevusi. Lisaks viitas ta asjaolule, et nii finantsteenused kui ka tervishoiutööstus on suurimad üksused ja pakuvad seega vastaste jaoks rikkalikku keskkonda. "Finantsteenused on suurim ISAC, kuid tervishoid esindab massikogukonda, mis on sidusrühmade poolest palju suurem."
Koostöö on võti
Hiljutisel H-ISAC kevadisel tippkohtumisel oli kõlav keskne teema. Koostöö kübervastaste ohu vastu võitlemiseks on parim tee edasi mitte ainult tervishoiule, vaid kõikidele tööstusharudele.
Siin saavad MITER ATT&CK mudel ja H-ISAC (tervise teabe jagamise ja analüüsi keskus) teha suurimaid edusamme. Mudel ise loob raamistiku taktikate ja nendega seotud tehnikate tuvastamiseks. Siiski on see ainult nii hea, kuivõrd sellel hetkel on teave. Kui H-ISACi liikmesorganisatsioonid jagavad oma kogemusi, saab MITERi teadmistebaasi pidevalt värskendada uusimate ohtudega.
Organisatsioonidel on nüüd järjepidev platvorm, mida Barnesi sõnul saab rahvahulga hankida. See tähendab, et kõik üksused saavad kasu iga üksiku üksuse kogemustest. Selle tulemusena saavad nad jätkata ennetavate turvameetmete loomist, mis hoiavad nad vastasest ees.
Millised on avalikustamise mõjud
Muidugi tekitab selline avatud teabe jagamine ka teatud muresid. Mõned organisatsioonid ei soovi jagada tõsiasja, et nad võisid kogeda rikkumist, kuna see kahjustab nende usaldusväärsust turul. Mõned kardavad, et teisi üksusi võidakse meelitada seda teavet oma konkurentide vastu kasutama.
Barnesi sõnul on H-ISAC selle probleemiga tegelenud, kasutades liikmesüksuste jaoks mitteavaldamise lepinguid. Need NDA-d aitavad leevendada ebasobiva teabe avalikkusele lekkimise muret.
Barnes märkis ka, et teabe jagamine ei pruugi olla tegeliku rikkumise juhtumi kohta. Kui H-ISAC teeb koostööd MITRE-ga, puudutab jagatav teave rohkem kahtlase või pahatahtliku tegevuse tuvastamist. Eesmärk ei ole näidata näpuga neile, mida rikuti, vaid leida uusi taktikaid ja võtteid ning jagada neid kogukonna liikmetega kõigi hüvanguks.
Müüja kaasamise eelised ja puudused
Kuna koostöökogukond kasvab jätkuvalt, hakkavad küberturvalisuse müüjad laua taha istuma. Nende mängijate pardale toomise eeliseks on see, et nad on sukeldunud vastaste taktikatesse ja tehnikatesse ning võivad tuua H-ISACi liikmesüksustele eesliini vaate.
Barnesi sõnul saab iga müüja tõenäoliselt hakkama erinevate taktikate ja tehnikatega; aga igaüks kipub spetsialiseeruma ka teatud valdkondadele. Laia valikut müüjaid kaasates saavad H-ISACi liikmed ja MITER ATT&CK mudel kasu nende erinevatest vaatenurkadest.
Tulevik on helge
Vaatamata kõigile kaasaegsel digiajastul esinevatele väljakutsetele on Barnes endiselt optimistlik. Üks tema suurimaid väljavõtteid H-ISAC kevadisel tippkohtumiselt on taas usk, et see H-ISAC küberturvalisuse analüüsi töörühm suudab saavutada märkimisväärseid asju.
MITER ATT&CK mudeli jätkuv kasv ja arendamine on põnev võimalus. Võimalus organisatsioone kogu tervishoiuvaldkonnas positiivselt mõjutada pole kunagi olnud parem. Lisaks märkis Barnes ka, et H-ISAC-i kogukond on seadnud prioriteediks mitmekesisuse ja kaasamise.
Küberturvalisuse analüüsi ja teiste töörühmade kohta lisateabe saamiseks minge aadressile https://h-isac.org/committees-working-groups/.
- Seotud ressursid ja uudised