Farðu á aðalefni

H-ISAC samstarf og MITER ATT&CK líkanið


Notkun greiningar fyrir fyrirbyggjandi netvarnir í heilbrigðisþjónustu og öðrum geirum

 

Þar sem hin ýmsu ISAC-samtök halda áfram að safna vörnum gegn vaxandi fjölda netógna, hefur MITER gjörbylt eftirliti með upplýsingaöflun um netógn. MITER ATT&CK líkanið er orðið alþjóðlegt viðurkenndur þekkingargrunnur fyrir andstæðingsaðferðir sem hátækni netglæpamenn nútímans nota.

Þó að þessi rammi sé frábær byrjun á því að safna upplýsingum um netógn, er hann alls ekki fullkominn vegna þess að netglæpamenn eru stöðugt að þróa nýjar aðferðir. Framtíð þessa ramma og gildi hans fyrir hinar ýmsu upplýsingamiðlunar- og greiningarmiðstöðvar (ISAC) er algjörlega háð samstarfsnálgun til stöðugra umbóta. Eins og William Barnes, yfirmaður öryggislausna hjá Pfizer sagði nýlega: „Við erum öll í þessu saman.

 

Hvernig virkar ATT&CK líkanið?

ATT&CK ramminn veitir upplýsingar um andstæðingstaktík, tækni og almenna þekkingu, þess vegna skammstöfunin. Þetta fylki er heilabarn MITER Corporation, sjálfseignarstofnunar sem leggur metnað sinn í að leysa vandamál í þágu öruggari heims. Sambandsfjármögnuð gagnaver þeirra eru aðgengileg á heimsvísu og framkvæma margs konar gagnastýrð rannsóknarverkefni, þar á meðal netöryggi.

ATT&CK þekkingargrunnurinn, sem byrjaði árið 2013, skráir algengar aðferðir og tækni sem eru notaðar af nútíma netandstæðingum. Drifkrafturinn á bak við gerð þessa líkans var þörfin á að skilja hegðun andstæðinga í stað þess að skilja einstaka aðferðafræði á tímapunkti. Það er aðferð við rekstur netglæpamanna og lykillinn að því að stöðva þá er að spá nákvæmlega fyrir um næstu hreyfingu þeirra.

Hægt er að skipta íhlutum ATT&CK líkansins niður í taktík og tækni. Aðferðirnar eru dæmigerðar fyrir „af hverju“ andstæðingur velur að framkvæma ákveðna aðgerð. Tækni er „hvernig“ andstæðingur reynir að ná taktískum markmiðum sínum. Samsetning þessara tveggja hjálpar til við að varpa ljósi á hugsanlega hegðun, eða næstu skref, sem netglæpamaður gæti tekið.

ATT&CK Matrix er sjónræn framsetning þessara aðferða og tækni. Nokkur dæmi um tækni eru þrautseigja, hliðarhreyfing og uppgötvun. Fyrir þessar og margar aðrar aðferðir, greinir fylkið mögulegar aðferðir sem gætu verið notaðar fyrir hverja. Til dæmis hefur Lateral Movement 17 mismunandi aðferðir sem hafa verið auðkenndar eins og innskráningarforskriftir og fjarskrárafritun.

 

Hvernig stofnanir njóta góðs af ATT&CK líkaninu

Vopnaðir upplýsingum frá ATT&CK líkaninu geta stofnanir byrjað að byggja upp netvarnir sínar fyrirbyggjandi. Þegar þeir uppgötva að ákveðnar aðferðir eru notaðar gegn jaðarvörnum þeirra, geta þeir notað fylkið til að undirbúa varnir fyrir hugsanlega tækni, eða næstu skref, andstæðingsins.

Helsti ávinningurinn er fyrirbyggjandi eðli ATT&CK líkansins. Allar stofnanir á stafrænni aldri nota einhvers konar netöryggishugbúnað og -lausnir. Þeir bjóða upp á mismunandi varnarstöður og veita að minnsta kosti grunnstig af vernd. Hins vegar er möguleikinn á farsælu broti yfirvofandi.

Til að hvaða stofnun sem er til að vernda stafrænar eignir sínar með góðum árangri þurfa þau að vera vakandi í viðleitni sinni til að vera á undan andstæðingum sínum. Samkvæmt William Barnes er aðal áskorunin sú að það er mikið úrval af illgjarnri starfsemi. Auk þess vitnaði hann í þá staðreynd að bæði fjármálaþjónustan og heilbrigðisgeirinn eru stærstu aðilarnir og því bjóða upp á ríkt umhverfi fyrir andstæðinga. „Fjármálaþjónusta er stærsti ISAC… en Heilbrigðisþjónusta táknar fjöldasamfélag sem er mun stærra hvað varðar hagsmunaaðila.“

 

Samvinna er lykillinn

Á nýafstöðnu vorráðstefnu H-ISAC var stórt þema. Að vinna saman að því að berjast gegn ógn af netandstæðingum er besta leiðin fram á við fyrir ekki aðeins heilbrigðisþjónustu heldur fyrir allar atvinnugreinar.

Þetta er þar sem MITER ATT&CK líkanið og H-ISAC (Health Information Sharing and Analysis Center) geta náð mestum árangri. Líkanið sjálft veitir ramma til að bera kennsl á tækni með tilheyrandi tækni. Hins vegar er það aðeins eins gott og þær upplýsingar sem það hefur nú. Með því að láta H-ISAC aðildarsamtök deila reynslu sinni er hægt að uppfæra MITER þekkingargrunninn stöðugt með nýjustu ógnunum.

Stofnanir hafa nú samræmdan vettvang sem, samkvæmt Barnes, er hægt að fá mannfjöldann. Þetta þýðir að allar einingar geta notið góðs af reynslu hvers og eins. Fyrir vikið geta þeir haldið áfram að byggja upp fyrirbyggjandi öryggisráðstafanir sem halda þeim á undan andstæðingnum.

 

Hver eru áhrif upplýsingagjafar

Auðvitað vekur þessi opna miðlun upplýsinga einnig nokkrar áhyggjur. Sumar stofnanir eru treg til að deila þeirri staðreynd að þeir gætu hafa orðið fyrir broti þar sem það skaðar trúverðugleika þeirra á markaðnum. Sumir óttast að aðrir aðilar geti verið tældir til að nota þessar upplýsingar gegn keppinautum sínum.

Samkvæmt Barnes hefur H-ISAC tekið á þessu vandamáli með því að nota þagnarskyldusamninga fyrir aðildaraðila. Þessar NDAs hjálpa til við að draga úr áhyggjum af óviðeigandi upplýsingum sem leki út til almennings.

Barnes benti einnig á að miðlun upplýsinga snýst ekki endilega um raunverulegt brotatvik. Með því að láta H-ISAC vinna með MITRE snúast þær upplýsingar sem deilt er meira um að bera kennsl á grunsamlega eða illgjarna virkni. Markmiðið er ekki að benda fingrum á þá sem brotið var á, heldur að finna nýjar aðferðir og tækni og deila þeim með meðlimum samfélagsins til hagsbóta fyrir alla.

 

Kostir og gallar við þátttöku söluaðila

Þegar samstarfssamfélagið heldur áfram að vaxa eru netöryggisframleiðendur farnir að taka sæti við borðið. Kosturinn við að koma þessum leikmönnum um borð er að þeir eru á kafi í taktík og tækni andstæðinga og geta komið með framlínusýn til H-ISAC aðildareininga.

Samkvæmt Barnes getur hver söluaðili líklega séð um svið tækni og tækni; hver og einn hefur þó tilhneigingu til að sérhæfa sig á ákveðnum sviðum. Með því að koma með fjölbreytt úrval af söluaðilum geta H-ISAC meðlimir og MITER ATT&CK líkanið notið góðs af ýmsum sjónarmiðum þeirra.

 

Framtíðin er björt

Þrátt fyrir allar áskoranirnar sem eru til staðar á nútíma stafrænni öld er Barnes enn bjartsýnn. Einn af stærstu hlutum hans frá H-ISAC vorráðstefnunni er endurnýjuð trú á að þessi H-ISAC Cybersecurity Analytics vinnuhópur geti áorkað ótrúlegum hlutum.

Áframhaldandi vöxtur og þróun MITER ATT&CK líkansins er spennandi tækifæri. Möguleikinn á að hafa jákvæð áhrif á stofnanir á öllu heilbrigðissviðinu hefur aldrei verið betri. Að auki benti Barnes einnig á að H-ISAC samfélagið hafi sett fjölbreytileika og þátttöku í forgang.

Fyrir frekari upplýsingar um netöryggisgreininguna og aðra vinnuhópa, farðu á https://h-isac.org/committees-working-groups/.

  • Tengdar heimildir og fréttir
Að berjast gegn netógnum með alþjóðlegu samfélagi
Whitepaper um öryggisstjórnun stórgagna