همکاری H-ISAC و مدل MITER ATT&CK
استفاده از تجزیه و تحلیل برای دفاع سایبری فعال در مراقبت های بهداشتی و سایر بخش ها
از آنجایی که ISAC های مختلف به دفاع از خود در برابر تعداد فزاینده تهدیدات سایبری ادامه می دهند، MITER انقلابی در ردیابی اطلاعات تهدیدات سایبری ایجاد کرده است. مدل MITER ATT&CK به پایگاه دانش شناخته شده جهانی برای تاکتیک های متخاصم تبدیل شده است که توسط مجرمان سایبری با فناوری پیشرفته امروزی استفاده می شود.
در حالی که این چارچوب یک شروع عالی برای جمع آوری اطلاعات تهدیدات سایبری است، به هیچ وجه کامل نیست زیرا مجرمان سایبری دائما در حال توسعه تاکتیک های جدید هستند. آینده این چارچوب و ارزش آن برای مراکز مختلف به اشتراک گذاری و تجزیه و تحلیل اطلاعات (ISAC) کاملاً به یک رویکرد مشترک برای بهبود مستمر وابسته است. همانطور که ویلیام بارنز، مدیر ارشد راهحلهای امنیتی فایزر اخیراً اظهار داشت: "ما همه با هم در این زمینه هستیم."
مدل ATT&CK چگونه کار می کند؟
چارچوب ATT&CK اطلاعاتی را برای تاکتیکهای متخاصم، تکنیکها و دانش مشترک فراهم میکند، از این رو مخفف آن است. این ماتریس فرزند مغز MITER Corporation است، یک سازمان غیرانتفاعی که به حل مشکلات به خاطر دنیای امنتر افتخار میکند. مراکز داده با بودجه فدرال آنها در سطح جهانی قابل دسترسی هستند و طیف گسترده ای از تلاش های تحقیقاتی مبتنی بر داده از جمله امنیت سایبری را انجام می دهند.
پایگاه دانش ATT&CK که در سال 2013 آغاز شد، تاکتیک ها و تکنیک های رایجی را که توسط دشمنان سایبری مدرن استفاده می شود، مستند می کند. محرک ایجاد این مدل نیاز به درک رفتار دشمنان در مقابل درک لحظه ای از تاکتیک های فردی بود. روشی برای عملکرد مجرمان سایبری وجود دارد و کلید متوقف کردن آنها پیش بینی دقیق حرکت بعدی آنهاست.
اجزای مدل ATT&CK را می توان به تاکتیک ها و تکنیک ها تقسیم کرد. تاکتیک ها نشان دهنده «چرا» یک دشمن برای انجام یک عمل خاص است. تکنیک ها «چگونه» تلاش دشمن برای دستیابی به هدف تاکتیکی خود است. ترکیب این دو به روشن کردن رفتارهای احتمالی یا گامهای بعدی که ممکن است یک مجرم سایبری انجام دهد کمک میکند.
ماتریس ATT&CK نمایش بصری این تاکتیک ها و تکنیک ها است. برخی از نمونههای تاکتیکها عبارتند از: پایداری، حرکت جانبی و کشف. برای این تاکتیکها و بسیاری از تاکتیکهای دیگر، ماتریس تکنیکهای بالقوهای را شناسایی میکند که میتوان برای هر یک از آنها استفاده کرد. به عنوان مثال، Lateral Movement دارای 17 تکنیک مختلف است که شناسایی شده اند مانند Logon Scripts و Remote File Copy.
چگونه سازمان ها از مدل ATT&CK سود می برند
با مسلح شدن به اطلاعات مدل ATT&CK، سازمان ها می توانند به طور فعال دفاع سایبری خود را ایجاد کنند. هنگامی که آنها تشخیص می دهند که تاکتیک های خاصی در برابر دفاع پیرامونی خود استفاده می شود، می توانند از ماتریس برای آماده سازی دفاع برای تکنیک های بالقوه یا مراحل بعدی دشمن استفاده کنند.
مزیت اصلی ماهیت فعال مدل ATT&CK است. همه سازمان ها در عصر دیجیتال از نوعی نرم افزار و راهکارهای امنیت سایبری استفاده می کنند. آنها سطوح مختلفی از وضعیت های دفاعی را ارائه می دهند و حداقل سطوح اولیه محافظت را ارائه می دهند. با این حال، احتمال یک شکست موفقیت آمیز قریب الوقوع است.
برای اینکه هر سازمانی بتواند با موفقیت از دارایی های دیجیتال خود محافظت کند، باید در تلاش های خود برای پیشی گرفتن از دشمنان خود هوشیار باشند. به گفته ویلیام بارنز، چالش اصلی این است که طیف گسترده ای از فعالیت های مخرب وجود دارد. علاوه بر این، وی به این واقعیت اشاره کرد که هم صنایع خدمات مالی و هم صنایع بهداشت و درمان بزرگترین نهادها هستند و بنابراین محیط غنی هدف را برای دشمنان فراهم می کنند. "خدمات مالی بزرگترین ISAC هستند... اما بهداشت و درمان جامعه توده ای را نشان می دهد که از نظر ذینفعان بسیار بزرگتر است."
همکاری کلید است
در اجلاس بهاری اخیر H-ISAC، موضوع محوری پر طنین انداز بود. همکاری با یکدیگر برای مبارزه با تهدیدات دشمنان سایبری بهترین راه پیش رو نه تنها برای مراقبت های بهداشتی بلکه برای همه صنایع است.
اینجاست که مدل MITER ATT&CK و H-ISAC (مرکز تجزیه و تحلیل و به اشتراک گذاری اطلاعات سلامت) می توانند بیشترین پیشرفت را داشته باشند. خود مدل چارچوبی برای شناسایی تاکتیک ها با تکنیک های مرتبط فراهم می کند. با این حال، فقط به اندازه اطلاعاتی است که در حال حاضر دارد. با به اشتراک گذاشتن تجارب سازمان های عضو H-ISAC، پایگاه دانش MITER می تواند به طور مداوم با آخرین تهدیدات به روز شود.
سازمانها اکنون دارای یک پلتفرم ثابت هستند که به گفته بارنز، میتوان آن را بهصورت جمعی تامین کرد. این بدان معنی است که همه موجودیت ها می توانند از تجربیات هر موجودیت منفرد بهره مند شوند. در نتیجه، آنها می توانند به ایجاد تدابیر امنیتی پیشگیرانه ادامه دهند که آنها را از دشمن جلوتر نگه می دارد.
تأثیرات افشاگری چیست؟
البته این به اشتراک گذاری آزاد اطلاعات نیز نگرانی هایی را ایجاد می کند. برخی از سازمانها تمایلی به به اشتراک گذاشتن این واقعیت ندارند که ممکن است نقضی را تجربه کرده باشند زیرا به اعتبار آنها در بازار لطمه میزند. برخی می ترسند که سایر نهادها وسوسه شوند که از این اطلاعات علیه رقبای خود استفاده کنند.
به گفته بارنز، H-ISAC این مشکل را از طریق استفاده از قراردادهای عدم افشا برای نهادهای عضو حل کرده است. این NDA ها به کاهش نگرانی ها در مورد افشای اطلاعات نامناسب به عموم کمک می کنند.
بارنز همچنین خاطرنشان کرد که به اشتراک گذاری اطلاعات لزوماً در مورد یک رخداد نقض واقعی نیست. با همکاری H-ISAC با MITRE، اطلاعات به اشتراک گذاشته شده بیشتر در مورد شناسایی فعالیت های مشکوک یا مخرب است. هدف انگشت گذاشتن بر روی موارد نقض شده نیست، بلکه شناسایی تاکتیک ها و تکنیک های جدید و به اشتراک گذاشتن آنها با اعضای جامعه به نفع همه است.
مزایا و معایب مشارکت فروشنده
همانطور که جامعه مشارکتی همچنان در حال رشد است، فروشندگان امنیت سایبری شروع به نشستن بر سر میز می کنند. مزیت حضور این بازیکنان در این است که آنها در تاکتیک ها و تکنیک های دشمنان غوطه ور هستند و می توانند دید خط مقدم را برای نهادهای عضو H-ISAC به ارمغان بیاورند.
به گفته بارنز، هر فروشنده احتمالاً می تواند طیفی از تاکتیک ها و تکنیک ها را مدیریت کند. با این حال، هر یک نیز تمایل به تخصص در زمینه های خاصی دارند. با وارد کردن طیف گسترده ای از فروشندگان، اعضای H-ISAC و مدل MITER ATT&CK می توانند از دیدگاه های مختلف خود بهره مند شوند.
آینده روشن است
علیرغم تمام چالش هایی که در عصر دیجیتال مدرن وجود دارد، بارنز همچنان خوش بین است. یکی از بزرگترین دستاوردهای او از اجلاس بهاره H-ISAC، این باور جدید است که این گروه کاری تحلیل امنیت سایبری H-ISAC میتواند کارهای قابلتوجهی انجام دهد.
رشد و توسعه مداوم مدل MITER ATT&CK یک فرصت هیجان انگیز است. امکان تأثیرگذاری مثبت بر سازمان ها در سراسر طیف مراقبت های بهداشتی هرگز بهتر نبوده است. علاوه بر این، بارنز همچنین خاطرنشان کرد که جامعه H-ISAC تنوع و شمول را در اولویت قرار داده است.
برای اطلاعات بیشتر در مورد تجزیه و تحلیل امنیت سایبری و سایر گروه های کاری، به https://h-isac.org/committees-working-groups/.
- منابع و اخبار مرتبط