Preskoči na glavni sadržaj

H-ISAC suradnja i MITER ATT&CK model


Korištenje analitike za proaktivnu kibernetičku obranu u zdravstvu i drugim sektorima

 

Dok različiti ISAC-ovi nastavljaju okupljati svoju obranu od sve većeg broja cyber prijetnji, MITER je revolucionirao praćenje obavještajnih podataka o cyber prijetnjama. Model MITER ATT&CK postao je globalno priznata baza znanja za suparničke taktike koje koriste današnji cyber kriminalci visoke tehnologije.

Iako je ovaj okvir izvrstan početak prikupljanja obavještajnih podataka o kibernetičkim prijetnjama, on nikako nije potpun jer kibernetički kriminalci neprestano razvijaju nove taktike. Budućnost ovog okvira i njegova vrijednost za različite centre za razmjenu informacija i analizu (ISAC) u potpunosti ovisi o suradničkom pristupu stalnom poboljšanju. Kao što je nedavno izjavio William Barnes, viši direktor sigurnosnih rješenja za Pfizer, "Svi smo u ovome zajedno."

 

Kako funkcionira model ATT&CK?

Okvir ATT&CK pruža informacije o taktikama, tehnikama i zajedničkom znanju, otuda i akronim. Ova matrica je mozak korporacije MITER, neprofitne organizacije koja se ponosi rješavanjem problema u svrhu sigurnijeg svijeta. Njihovi podatkovni centri koji se financiraju iz savezne države globalno su dostupni i provode širok raspon istraživačkih napora temeljenih na podacima, uključujući kibersigurnost.

Pokrenuta 2013. godine, baza znanja ATT&CK dokumentira uobičajene taktike i tehnike koje koriste moderni cyber protivnici. Pokretač stvaranja ovog modela bila je potreba za razumijevanjem ponašanja protivnika za razliku od razumijevanja pojedinačnih taktika u određenom trenutku. Postoji metoda za djelovanje kibernetičkih kriminalaca, a ključ za njihovo zaustavljanje je točno predviđanje njihovog sljedećeg poteza.

Komponente ATT&CK modela mogu se raščlaniti na taktike i tehnike. Taktike predstavljaju "zašto" će protivnik odlučiti izvesti određenu radnju. Tehnike su "kako" protivnik pokušava postići svoj taktički cilj. Kombinacija to dvoje pomaže u rasvjetljavanju mogućih ponašanja ili sljedećih koraka koje kibernetički kriminalac može poduzeti.

ATT&CK matrica vizualni je prikaz ovih taktika i tehnika. Neki primjeri taktika uključuju upornost, bočno kretanje i otkriće. Za ove i mnoge druge taktike, matrica identificira potencijalne tehnike koje bi se mogle koristiti za svaku od njih. Na primjer, Lateral Movement ima 17 različitih tehnika koje su identificirane kao što su Logon Scripts i Remote File Copy.

 

Kako organizacije imaju koristi od ATT&CK modela

Naoružane informacijama iz modela ATT&CK, organizacije mogu početi proaktivno graditi svoju kibernetičku obranu. Kada otkriju da se određene taktike koriste protiv njihove perimetralne obrane, mogu koristiti matricu za pripremu obrane za potencijalne tehnike ili sljedeće korake protivnika.

Primarna prednost je proaktivna priroda modela ATT&CK. Sve organizacije u digitalnom dobu koriste neki oblik softvera i rješenja za kibernetičku sigurnost. Oni nude različite razine obrambenih položaja i, u najmanju ruku, pružaju osnovne razine zaštite. Međutim, mogućnost uspješnog proboja je neizbježna.

Da bi bilo koja organizacija uspješno zaštitila svoju digitalnu imovinu, mora ostati oprezna u svojim nastojanjima da ostane ispred svojih protivnika. Prema Williamu Barnesu, primarni izazov je to što postoji širok raspon zlonamjernih aktivnosti. Osim toga, naveo je činjenicu da su i financijske usluge i zdravstvena industrija najveći entiteti i stoga pružaju ciljno bogato okruženje za potencijalne protivnike. "Financijske usluge su najveći ISAC... ali zdravstvo predstavlja masovnu zajednicu koja je daleko veća u smislu dionika."

 

Suradnja je ključ

Na nedavnom proljetnom summitu H-ISAC-a, središnja tema bila je odjekujuća. Zajednički rad u borbi protiv prijetnje kibernetičkih protivnika najbolji je put naprijed ne samo za zdravstvo već i za sve industrije.

Ovdje model MITER ATT&CK i H-ISAC (Centar za razmjenu i analizu zdravstvenih informacija) mogu napraviti najveće korake. Sam model pruža okvir za identificiranje taktika s pripadajućim tehnikama. Međutim, dobar je onoliko koliko su dobri podaci koje trenutno ima. Ako organizacije članice H-ISAC-a dijele svoja iskustva, baza znanja MITER može se neprestano ažurirati najnovijim prijetnjama.

Organizacije sada imaju dosljednu platformu koja se, prema Barnesu, može privući iz mnoštva. To znači da svi entiteti mogu imati koristi od iskustava svakog pojedinačnog entiteta. Kao rezultat toga, mogu nastaviti s izgradnjom proaktivnih sigurnosnih mjera koje ih drže ispred protivnika.

 

Koji su učinci otkrivanja

Naravno, ovo otvoreno dijeljenje informacija također izaziva zabrinutost. Neke organizacije nerado dijele činjenicu da su možda doživjele kršenje jer to šteti njihovom kredibilitetu na tržištu. Neki se boje da bi drugi subjekti mogli biti namamljeni da iskoriste ove informacije protiv svojih konkurenata.

Prema Barnesu, H-ISAC je ovaj problem ozbiljno prihvatio korištenjem ugovora o tajnosti podataka za subjekte članice. Ovi NDA-i pomažu ublažiti zabrinutost zbog curenja neprikladnih informacija u javnost.

Barnes je također primijetio da se razmjena informacija ne odnosi nužno na stvarni incident kršenja. Budući da H-ISAC surađuje s MITRE-om, dijeljene informacije više se odnose na identifikaciju sumnjivih ili zlonamjernih aktivnosti. Cilj nije uprijeti prstom u one koji su prekršeni, već identificirati nove taktike i tehnike i podijeliti ih s članovima zajednice za dobrobit svih.

 

Prednosti i nedostaci uključenosti dobavljača

Kako suradnička zajednica nastavlja rasti, prodavači kibernetičke sigurnosti počinju zauzimati mjesto za stolom. Prednost uključivanja ovih igrača je u tome što su uronjeni u taktike i tehnike protivnika i mogu pružiti prvi pogled entitetima članicama H-ISAC-a.

Prema Barnesu, svaki se dobavljač vjerojatno može nositi sa spektrom taktika i tehnika; međutim, svaki se također nastoji specijalizirati za određena područja. Dovođenjem širokog spektra dobavljača, članovi H-ISAC-a i MITER ATT&CK Model mogu imati koristi od svojih različitih perspektiva.

 

Budućnost je svijetla

Unatoč svim izazovima koji postoje u modernom digitalnom dobu, Barnes ostaje optimističan. Jedan od njegovih najvećih zaključaka s proljetnog samita H-ISAC-a jest obnovljeno uvjerenje da ova radna skupina H-ISAC Cybersecurity Analytics može postići izvanredne stvari.

Kontinuirani rast i razvoj modela MITER ATT&CK je uzbudljiva prilika. Mogućnost pozitivnog utjecaja na organizacije u cijelom zdravstvenom spektru nikad nije bila bolja. Osim toga, Barnes je također primijetio da je H-ISAC zajednica postavila raznolikost i inkluziju kao prioritet.

Za više informacija o Analitici kibernetičke sigurnosti i drugim radnim grupama idite na https://h-isac.org/committees-working-groups/.

  • Povezani izvori i vijesti
Borba protiv cyber prijetnji s globalnom zajednicom
Bijela knjiga o kontrolama sigurnosti velikih podataka