Ir ao contido principal

Colaboración H-ISAC e o Modelo MITRE ATT&CK


Usando Analytics para a ciberdefensa proactiva na sanidade e noutros sectores

 

Mentres os distintos ISAC seguen reunindo as súas defensas contra o crecente número de ameazas cibernéticas, MITRE revolucionou o seguimento da intelixencia sobre ameazas cibernéticas. O modelo MITRE ATT&CK converteuse na base de coñecemento mundialmente recoñecida para as tácticas adversarias utilizadas polos cibercriminais de alta tecnoloxía actuais.

Aínda que este marco é un excelente comezo para recoller información sobre ameazas cibernéticas, non está en absoluto completo porque os cibercriminais desenvolven constantemente novas tácticas. O futuro deste marco e o seu valor para os distintos Centros de Análise e Compartimento de Información (ISAC) dependen totalmente dun enfoque colaborativo para a mellora continua. Como William Barnes, Director Senior de Solucións de Seguridade de Pfizer afirmou recentemente: "Estamos todos xuntos".

 

Como funciona o modelo ATT&CK?

O marco ATT&CK proporciona información para Tácticas, Técnicas e Coñecemento Común Adversarial, de aí o acrónimo. Esta matriz é o cerebro da Corporación MITRE, unha organización sen ánimo de lucro que se enorgullece de resolver problemas en aras dun mundo máis seguro. Os seus centros de datos financiados polo goberno federal son accesibles a nivel mundial e realizan unha gran variedade de esforzos de investigación baseados en datos, incluída a ciberseguridade.

Iniciada en 2013, a base de coñecemento ATT&CK documenta as tácticas e técnicas comúns que utilizan os ciberadversarios modernos. O motor detrás da creación deste modelo foi a necesidade de comprender o comportamento dos adversarios en oposición á comprensión puntual das tácticas individuais. Existe un método para o funcionamento dos ciberdelincuentes e a clave para detelos é prever con precisión o seu próximo movemento.

Os compoñentes do modelo ATT&CK pódense dividir en tácticas e técnicas. As tácticas son representativas do "por que" un adversario escollerá realizar unha determinada acción. As técnicas son "como" un adversario intenta alcanzar o seu obxectivo táctico. A combinación dos dous axuda a arroxar luz sobre posibles comportamentos, ou próximos pasos, que pode tomar un ciberdelincuente.

A Matriz ATT&CK é a representación visual destas tácticas e técnicas. Algúns exemplos de tácticas inclúen a persistencia, o movemento lateral e o descubrimento. Para estas e moitas outras tácticas, a matriz identifica técnicas potenciais que se poderían utilizar para cada unha. Por exemplo, Lateral Movement ten 17 técnicas diferentes que foron identificadas, como Scripts de inicio de sesión e Copia de ficheiros remotas.

 

Como se benefician as organizacións do modelo ATT&CK

Armadas coa información do Modelo ATT&CK, as organizacións poden comezar a construír de forma proactiva as súas defensas cibernéticas. Cando detectan determinadas tácticas que se usan contra as súas defensas perimetrais, poden usar a matriz para preparar as defensas para as técnicas potenciais, ou os seguintes pasos, do adversario.

O principal beneficio é a natureza proactiva do modelo ATT&CK. Todas as organizacións na era dixital están a usar algún tipo de software e solucións de ciberseguridade. Ofrecen diferentes niveis de posturas defensivas e, como mínimo, proporcionan niveis básicos de protección. Non obstante, a eventualidade dun incumprimento exitoso é inminente.

Para que calquera organización poida protexer con éxito os seus activos dixitais, debe permanecer vixiante nos seus esforzos por estar á fronte dos seus adversarios. Segundo William Barnes, o principal desafío é que hai unha gran variedade de actividades maliciosas. Ademais, citou o feito de que tanto os servizos financeiros como as industrias sanitarias son as maiores entidades e, polo tanto, proporcionan un ambiente rico en obxectivos para os adversarios. "Os servizos financeiros son o ISAC máis grande... pero a saúde representa unha comunidade masiva que é moito máis grande en termos de partes interesadas".

 

A colaboración é a clave

No recente Cumio de Primavera do H-ISAC, houbo un rotundo tema central. Traballar xuntos para loitar contra a ameaza dos ciberadversarios é o mellor camiño para avanzar non só para a saúde senón para todas as industrias.

Aquí é onde o modelo MITRE ATT&CK e o H-ISAC (Health Information Sharing and Analysis Center) poden dar os maiores avances. O propio modelo proporciona un marco para identificar tácticas con técnicas asociadas. Non obstante, só é tan boa como a información que ten actualmente. Ao facer que as organizacións membros de H-ISAC compartan as súas experiencias, a base de coñecemento MITRE pódese actualizar continuamente coas últimas ameazas.

As organizacións teñen agora unha plataforma consistente que, segundo Barnes, pode ser multitudinaria. Isto significa que todas as entidades poden beneficiarse das experiencias de cada entidade. Como resultado, poden seguir construíndo medidas de seguridade proactivas que os manteñan por diante do adversario.

 

Cales son os impactos da divulgación

Por suposto, este intercambio aberto de información tamén suscita algunhas preocupacións. Algunhas organizacións son reacias a compartir o feito de que puideron experimentar unha violación xa que prexudica a súa credibilidade no mercado. Algúns temen que outras entidades poidan ser tentadas a usar esta información contra os seus competidores.

Segundo Barnes, H-ISAC asumiu este problema de frente mediante o uso de acordos de non divulgación para as entidades membros. Estes NDA axudan a aliviar as preocupacións de información inadecuada que se filtra ao público.

Barnes tamén sinalou que o intercambio de información non se trata necesariamente dun incidente de violación real. Ao facer que H-ISAC colabore con MITRE, a información compartida é máis sobre a identificación de actividades sospeitosas ou maliciosas. O obxectivo non é apuntar co dedo aos que se incumpriron, senón identificar novas tácticas e técnicas e compartilas cos membros da comunidade en beneficio de todos.

 

Vantaxes e inconvenientes da implicación dos provedores

A medida que a comunidade colaborativa segue crecendo, os provedores de ciberseguridade comezan a tomar asento na mesa. A vantaxe de incorporar a estes xogadores é que están inmersos nas tácticas e técnicas dos adversarios e poden achegar unha visión de primeira liña ás entidades membros de H-ISAC.

Segundo Barnes, cada vendedor probablemente pode manexar o espectro de tácticas e técnicas; porén, cada un tamén tende a especializarse en determinadas áreas. Ao traer unha ampla gama de provedores, os membros de H-ISAC e o modelo MITRE ATT&CK poden beneficiarse das súas diversas perspectivas.

 

O futuro é brillante

A pesar de todos os desafíos que existen na era dixital moderna, Barnes segue sendo optimista. Unha das súas maiores conclusións do Cumio de Primavera de H-ISAC é a crenza renovada de que este grupo de traballo de Análises de Ciberseguridade H-ISAC pode lograr cousas notables.

O continuo crecemento e desenvolvemento do modelo MITRE ATT&CK é unha oportunidade emocionante. A posibilidade de impactar positivamente nas organizacións de todo o espectro sanitario nunca foi mellor. Ademais, Barnes tamén sinalou que a comunidade H-ISAC fixo da diversidade e da inclusión unha prioridade.

Para obter máis información sobre Cybersecurity Analytics e outros grupos de traballo, vaia a https://h-isac.org/committees-working-groups/.

  • Recursos e noticias relacionados
Loitando contra as ameazas cibernéticas cunha comunidade global
Libro branco sobre controis de seguridade de Big Data