H-ISAC-yhteistyö ja MITER ATT&CK -malli
Analyticsin käyttäminen ennakoivaa kyberpuolustusta varten terveydenhuollossa ja muilla aloilla
Kun eri ISAC:t jatkavat puolustuksensa kokoamista kasvavaa määrää kyberuhkia vastaan, MITER on mullistanut kyberuhkien tiedustelutietojen seurannan. MITER ATT&CK -mallista on tullut maailmanlaajuisesti tunnustettu tietokanta tämän päivän huipputeknisten kyberrikollisten käyttämille vastustamistaktiikoille.
Vaikka tämä viitekehys on erinomainen alku kyberuhkien tiedustelutietojen keräämiselle, se ei suinkaan ole täydellinen, koska verkkorikolliset kehittävät jatkuvasti uusia taktiikoita. Tämän kehyksen tulevaisuus ja sen arvo erilaisille tiedonjako- ja analyysikeskuksille (ISAC) riippuu täysin jatkuvasta parantamisesta tehtävästä yhteistyöstä. Kuten Pfizerin turvallisuusratkaisuista vastaava johtaja William Barnes sanoi äskettäin: "Olemme kaikki tässä yhdessä."
Kuinka ATT&CK-malli toimii?
ATT&CK-kehys tarjoaa tietoa kilpailutaktiikoista, tekniikoista ja yhteisestä tiedosta, mistä johtuu lyhenne. Tämä matriisi on MITER Corporationin aivolapsi, voittoa tavoittelematon organisaatio, joka on ylpeä ongelmien ratkaisemisesta turvallisemman maailman puolesta. Heidän liittovaltion rahoittamat tietokeskukset ovat maailmanlaajuisesti saavutettavissa, ja ne suorittavat monenlaisia datalähtöisiä tutkimustoimia, mukaan lukien kyberturvallisuus.
Vuonna 2013 alkanut ATT&CK-tietokanta dokumentoi nykyaikaisten kybervastustajien yleisiä taktiikoita ja tekniikoita. Tämän mallin luomisen taustalla oli tarve ymmärtää vastustajien käyttäytyminen, toisin kuin yksittäisten taktiikoiden ajankohtainen ymmärtäminen. Kyberrikollisten toimintaan on olemassa menetelmä, ja avain heidän pysäyttämiseensä on ennustaa tarkasti heidän seuraava siirtonsa.
ATT&CK-mallin komponentit voidaan jakaa taktiikoihin ja tekniikoihin. Taktiikka edustaa "miksi" vastustaja päättää suorittaa tietyn toiminnan. Tekniikat ovat "miten" vastustaja yrittää saavuttaa taktisen tavoitteensa. Näiden kahden yhdistelmä auttaa valaisemaan mahdollisia käyttäytymismalleja tai seuraavia askelia, joihin kyberrikollinen voi ryhtyä.
ATT&CK Matrix on visuaalinen esitys näistä taktiikoista ja tekniikoista. Joitakin esimerkkejä taktiikoista ovat Persistence, Lateral Movement ja Discovery. Näitä ja monia muita taktiikoita varten matriisi tunnistaa mahdolliset tekniikat, joita voidaan käyttää jokaisessa. Esimerkiksi Lateral Movementissa on 17 erilaista tekniikkaa, jotka on tunnistettu, kuten kirjautumiskomentosarjat ja etätiedostokopiointi.
Miten organisaatiot hyötyvät ATT&CK-mallista
ATT&CK-mallin tietojen avulla organisaatiot voivat alkaa rakentaa ennakoivasti kyberpuolustustaan. Kun he havaitsevat tiettyjä taktiikoita, joita käytetään heidän kehäpuolustustaan vastaan, he voivat käyttää matriisia valmistellakseen puolustusta vastustajan mahdollisia tekniikoita tai seuraavia vaiheita varten.
Ensisijainen hyöty on ATT&CK-mallin ennakoiva luonne. Kaikki digitaaliajan organisaatiot käyttävät jonkinlaisia kyberturvallisuusohjelmistoja ja -ratkaisuja. Ne tarjoavat eritasoisia puolustusasentoja ja tarjoavat ainakin perussuojan. Onnistuneen rikkomuksen mahdollisuus on kuitenkin välitön.
Jotta mikä tahansa organisaatio voisi onnistuneesti suojella digitaalista omaisuuttaan, niiden on pysyttävä valppaina pyrkiessään pysymään vihollistensa edellä. William Barnesin mukaan ensisijainen haaste on se, että haitallisia toimintoja on monenlaisia. Lisäksi hän mainitsi, että sekä finanssipalvelut että terveydenhuoltoala ovat suurimpia kokonaisuuksia ja tarjoavat siksi rikkaan kohdeympäristön vastustajille. "Rahoituspalvelut ovat suurin ISAC... mutta Healthcare edustaa sidosryhmien suhteen paljon laajempaa massayhteisöä."
Yhteistyö on avain
Äskettäisessä H-ISAC:n keväthuippukokouksessa oli kaikuva keskeinen teema. Yhdessä tekeminen kybervihollisten uhkien torjumiseksi on paras tie eteenpäin paitsi terveydenhuollolle myös kaikille teollisuudenaloille.
Tässä MITER ATT&CK -malli ja H-ISAC (Health Information Sharing and Analysis Center) voivat edistyä eniten. Itse malli tarjoaa puitteet taktiikoiden ja niihin liittyvien tekniikoiden tunnistamiselle. Se on kuitenkin vain niin hyvä kuin sillä tällä hetkellä on tietoa. Kun H-ISAC:n jäsenorganisaatiot jakavat kokemuksiaan, MITERin tietopohjaa voidaan jatkuvasti päivittää uusimmilla uhilla.
Organisaatioilla on nyt johdonmukainen alusta, joka Barnesin mukaan voidaan hankkia joukkolähteistä. Tämä tarkoittaa, että kaikki entiteetit voivat hyötyä kunkin yksittäisen kokonaisuuden kokemuksista. Tämän seurauksena he voivat jatkaa ennakoivien turvatoimien rakentamista, jotka pitävät heidät vastustajan edessä.
Mitkä ovat paljastamisen vaikutukset
Tietenkin tämä avoin tiedon jakaminen herättää myös joitakin huolenaiheita. Jotkut organisaatiot ovat haluttomia kertomaan siitä tosiasiasta, että ne ovat saaneet kokea rikkomuksen, koska se vahingoittaa heidän uskottavuuttaan markkinoilla. Jotkut pelkäävät, että muut tahot saatetaan houkutella käyttämään näitä tietoja kilpailijoitaan vastaan.
Barnesin mukaan H-ISAC on ottanut tämän ongelman eteenpäin käyttämällä jäsenyhteisöjen salassapitosopimuksia. Nämä NDA:t auttavat lievittämään huolta epäasianmukaisen tiedon vuotamisesta yleisölle.
Barnes huomautti myös, että tiedon jakaminen ei välttämättä tarkoita todellista rikkomustapausta. Kun H-ISAC tekee yhteistyötä MITRE:n kanssa, jaetut tiedot koskevat enemmän epäilyttävän tai haitallisen toiminnan tunnistamista. Tavoitteena ei ole osoittaa sormella niitä, joita rikottiin, vaan löytää uusia taktiikoita ja tekniikoita ja jakaa ne yhteisön jäsenten kanssa kaikkien hyödyksi.
Myyjän osallistumisen edut ja haitat
Yhteistyöyhteisön kasvaessa edelleen kyberturvallisuustoimittajat alkavat istahtaa pöytään. Näiden pelaajien tuomisen etu on, että he ovat uppoutuneita vastustajien taktiikoihin ja tekniikoihin ja voivat tuoda etulinjan H-ISAC:n jäsenkokonaisuuksiin.
Barnesin mukaan jokainen myyjä pystyy todennäköisesti käsittelemään erilaisia taktiikoita ja tekniikoita; jokaisella on kuitenkin taipumus myös erikoistua tietyille alueille. H-ISAC-jäsenet ja MITER ATT&CK -malli voivat hyötyä erilaisista näkökulmistaan tuomalla mukanaan laajan valikoiman toimittajia.
Tulevaisuus on valoisa
Kaikista modernin digitaaliajan haasteista huolimatta Barnes on edelleen optimistinen. Yksi hänen suurimmista huomioistaan H-ISAC:n keväthuippukokouksessa on uusi uskomus siihen, että tämä H-ISAC Cybersecurity Analytics -työryhmä voi saavuttaa merkittäviä asioita.
MITER ATT&CK -mallin jatkuva kasvu ja kehitys on jännittävä mahdollisuus. Mahdollisuus vaikuttaa myönteisesti organisaatioihin koko terveydenhuollon kirjon ei ole koskaan ollut parempi. Lisäksi Barnes totesi myös, että H-ISAC-yhteisö on asettanut monimuotoisuuden ja osallisuuden etusijalle.
Lisätietoja Cybersecurity Analyticsista ja muista työryhmistä on osoitteessa https://h-isac.org/committees-working-groups/.
- Aiheeseen liittyviä resursseja ja uutisia