Ugrás a tartalomra

H-ISAC együttműködés és a MITER ATT&CK modell


Az Analytics használata a proaktív kibervédelemhez az egészségügyben és más ágazatokban

 

Miközben a különböző ISAC-k továbbra is összegyűjtik védelmüket a növekvő számú kiberfenyegetés ellen, a MITER forradalmasította a kiberfenyegetésekkel kapcsolatos intelligencia nyomon követését. A MITER ATT&CK modell a mai csúcstechnológiás kiberbűnözők által alkalmazott ellenséges taktikák világszerte elismert tudásbázisává vált.

Noha ez a keretrendszer kiváló kezdete a kiberfenyegetésekkel kapcsolatos hírszerzési információk gyűjtésének, korántsem teljes, mert a kiberbűnözők folyamatosan új taktikákat dolgoznak ki. Ennek a keretrendszernek a jövője és értéke a különböző információmegosztó és elemző központok (ISAC) számára teljes mértékben a folyamatos fejlesztés együttműködésen alapuló megközelítésétől függ. Ahogy William Barnes, a Pfizer biztonsági megoldásokért felelős vezető igazgatója nemrég kijelentette: „Ebben mindannyian együtt vagyunk.”

 

Hogyan működik az ATT&CK modell?

Az ATT&CK keretrendszer információkat nyújt az ellenséges taktikákról, technikákról és a közös tudásról, innen ered a mozaikszó. Ez a mátrix a MITER Corporation agygyermeke, egy non-profit szervezet, amely büszke arra, hogy problémákat old meg a biztonságosabb világ érdekében. Szövetségi finanszírozású adatközpontjaik globálisan hozzáférhetőek, és sokféle adatvezérelt kutatást végeznek, beleértve a kiberbiztonságot is.

A 2013-ban indult ATT&CK tudásbázis a modern kiberellenfelek által használt közös taktikákat és technikákat dokumentálja. A modell megalkotásának hátterében az állt, hogy meg kell érteni az ellenfelek viselkedését, szemben az egyéni taktikák egy adott időpontban történő megértésével. Létezik egy módszer a kiberbűnözők működésére, és megállításuknak a kulcsa a következő lépésük pontos előrejelzése.

Az ATT&CK modell komponensei taktikákra és technikákra bonthatók. A taktika azt reprezentálja, „miért” választja az ellenfél egy bizonyos akció végrehajtását. A technikák azt jelentik, hogy az ellenfél hogyan próbálja elérni taktikai célját. A kettő kombinációja segít rávilágítani a lehetséges viselkedésekre vagy a következő lépésekre, amelyeket a kiberbűnözők megtehetnek.

Az ATT&CK Mátrix e taktikák és technikák vizuális megjelenítése. A taktikák néhány példája a kitartás, az oldalirányú mozgás és a felfedezés. Ezekhez és sok más taktikához a mátrix azonosítja azokat a lehetséges technikákat, amelyek mindegyikhez használhatók. Például a Lateral Movement 17 különböző technikával rendelkezik, mint például a bejelentkezési szkriptek és a távoli fájlmásolás.

 

Hogyan profitálnak a szervezetek az ATT&CK modellből?

Az ATT&CK-modell információival felvértezve a szervezetek megkezdhetik kibervédelmük proaktív kiépítését. Amikor észlelik, hogy bizonyos taktikákat alkalmaznak a peremvédelmi védelmük ellen, a mátrix segítségével felkészíthetik a védelmet az ellenfél lehetséges technikáira vagy következő lépéseire.

Az elsődleges előny az ATT&CK modell proaktív jellege. A digitális kor minden szervezete használ valamilyen kiberbiztonsági szoftvert és megoldást. Különböző szintű védekező testhelyzeteket kínálnak, és legalább alapvető védelmet nyújtanak. A sikeres jogsértés lehetősége azonban küszöbön áll.

Ahhoz, hogy bármely szervezet sikeresen megvédhesse digitális eszközeit, ébernek kell maradnia, hogy megelőzze az ellenfeleit. William Barnes szerint az elsődleges kihívás az, hogy a rosszindulatú tevékenységek széles skálája létezik. Ezen túlmenően arra hivatkozott, hogy a pénzügyi szolgáltatások és az egészségügyi ágazatok egyaránt a legnagyobb entitások, és ezért gazdag célkörnyezetet biztosítanak az ellenfelek számára. „A pénzügyi szolgáltatások jelentik a legnagyobb ISAC-t… de az egészségügy olyan tömegközösséget képvisel, amely sokkal nagyobb az érintettek számát tekintve.”

 

Az együttműködés a kulcs

A legutóbbi H-ISAC tavaszi csúcstalálkozón volt egy hangzatos központi téma. A számítógépes ellenfelek fenyegetésének leküzdésére irányuló közös munka nem csak az egészségügy, hanem minden iparág számára a legjobb előrelépési út.

A MITER ATT&CK modell és a H-ISAC (Health Information Sharing and Analysis Center) itt teheti meg a legnagyobb előrelépést. Maga a modell keretet biztosít a taktikák és a kapcsolódó technikák azonosításához. Ez azonban csak annyira jó, mint amennyi információval rendelkezik jelenleg. Ha a H-ISAC tagszervezetei megosztják egymással tapasztalataikat, a MITER tudásbázis folyamatosan frissíthető a legújabb fenyegetésekkel.

A szervezeteknek most már egységes platformjuk van, amely Barnes szerint tömeges forrásból származhat. Ez azt jelenti, hogy minden entitás részesülhet az egyes entitások tapasztalataiból. Ennek eredményeként továbbra is proaktív biztonsági intézkedéseket építhetnek ki, amelyek megelőzik őket az ellenféllel szemben.

 

Milyen hatásai vannak a közzétételnek

Természetesen ez a nyílt információmegosztás is aggályokat vet fel. Egyes szervezetek nem szívesen osztják meg azt a tényt, hogy jogsértést tapasztalhattak, mivel ez sérti a hitelességüket a piacon. Egyesek attól tartanak, hogy más entitásokat rávehetnek arra, hogy versenytársaikkal szemben felhasználják ezeket az információkat.

Barnes szerint a H-ISAC a tagszervezetekre vonatkozó titoktartási megállapodások használatával élesen kezelte ezt a problémát. Ezek az NDA-k segítenek enyhíteni a nem megfelelő információk nyilvánossághoz való kiszivárgásával kapcsolatos aggodalmakat.

Barnes azt is megjegyezte, hogy az információ megosztása nem feltétlenül egy tényleges jogsértésről szól. Azáltal, hogy a H-ISAC együttműködik a MITRE-vel, a megosztott információk inkább a gyanús vagy rosszindulatú tevékenységek azonosításáról szólnak. A cél nem az, hogy ujjal mutogassunk azokra, akiket megsértettek, hanem az, hogy új taktikákat és technikákat azonosítsunk, és megosszuk azokat a közösség tagjaival mindenki javára.

 

Az eladók bevonásának előnyei és hátrányai

Ahogy az együttműködő közösség folyamatosan növekszik, a kiberbiztonsági szolgáltatók kezdenek helyet foglalni az asztalnál. E játékosok bevonásának előnye, hogy elmerülnek az ellenfelek taktikájában és technikáiban, és a H-ISAC-tag entitások első vonalában láthatják őket.

Barnes szerint minden eladó képes kezelni a taktikák és technikák spektrumát; ugyanakkor mindegyik hajlamos bizonyos területekre specializálódni. A szállítók széles körének bevonásával a H-ISAC-tagok és a MITER ATT&CK Modell hasznot húzhatnak különféle szempontjaikból.

 

A jövő fényes

A modern digitális kor minden kihívása ellenére Barnes továbbra is optimista. A H-ISAC tavaszi csúcstalálkozójának egyik legnagyobb hozadéka az a megújult meggyőződés, hogy ez a H-ISAC Cybersecurity Analytics munkacsoport figyelemre méltó dolgokat tud elérni.

A MITER ATT&CK modell folyamatos növekedése és fejlesztése izgalmas lehetőség. Soha nem volt jobb az a lehetőség, hogy pozitív hatást gyakoroljunk a szervezetekre az egészségügyi ellátás spektrumában. Ezenkívül Barnes azt is megjegyezte, hogy a H-ISAC közösség prioritássá tette a sokszínűséget és a befogadást.

A kiberbiztonsági elemzésekkel és más munkacsoportokkal kapcsolatos további információkért látogasson el ide https://h-isac.org/committees-working-groups/.

  • Kapcsolódó források és hírek