Vai al contenuto principale

Collaborazione H-ISAC e modello MITRE ATT&CK


Utilizzo dell'analisi per la difesa informatica proattiva nel settore sanitario e in altri settori

 

Mentre i vari ISAC continuano a radunare le loro difese contro il crescente numero di minacce informatiche, MITRE ha rivoluzionato il tracciamento dell'intelligence sulle minacce informatiche. Il modello MITRE ATT&CK è diventato la knowledge base riconosciuta a livello mondiale per le tattiche avversarie utilizzate dagli odierni criminali informatici high tech.

Sebbene questo framework sia un ottimo inizio per raccogliere informazioni sulle minacce informatiche, non è affatto completo perché i criminali informatici sviluppano costantemente nuove tattiche. Il futuro di questo framework e il suo valore per i vari Information Sharing and Analysis Centers (ISAC) dipendono completamente da un approccio collaborativo al miglioramento continuo. Come ha affermato di recente William Barnes, Senior Director of Security Solutions per Pfizer, "Siamo tutti sulla stessa barca".

 

Come funziona il modello ATT&CK?

Il framework ATT&CK fornisce informazioni per Adversarial Tactics, Techniques & Common Knowledge, da cui l'acronimo. Questa matrice è frutto del cervello della MITRE Corporation, un'organizzazione non-profit che si vanta di risolvere i problemi per il bene di un mondo più sicuro. I loro data center finanziati a livello federale sono accessibili a livello globale e svolgono un'ampia gamma di attività di ricerca basate sui dati, tra cui la sicurezza informatica.

Avviata nel 2013, la knowledge base ATT&CK documenta le tattiche e le tecniche comuni utilizzate dai moderni cyber-avversari. Il motore dietro la creazione di questo modello è stata la necessità di comprendere il comportamento degli avversari, in contrapposizione a una comprensione puntuale delle singole tattiche. Esiste un metodo per l'operato dei criminali informatici e la chiave per fermarli è prevedere con precisione la loro mossa successiva.

I componenti del modello ATT&CK possono essere suddivisi in tattiche e tecniche. Le tattiche sono rappresentative del "perché" un avversario sceglierà di eseguire una determinata azione. Le tecniche sono "come" un avversario tenta di raggiungere il suo obiettivo tattico. La combinazione dei due aiuta a far luce sui possibili comportamenti, o passaggi successivi, che un criminale informatico potrebbe adottare.

La matrice ATT&CK è la rappresentazione visiva di queste tattiche e tecniche. Alcuni esempi di tattiche includono Persistence, Lateral Movement e Discovery. Per queste e molte altre tattiche, la matrice identifica potenziali tecniche che potrebbero essere utilizzate per ciascuna. Ad esempio, Lateral Movement ha 17 tecniche diverse che sono state identificate come Logon Scripts e Remote File Copy.

 

Come le organizzazioni traggono vantaggio dal modello ATT&CK

Armate delle informazioni del modello ATT&CK, le organizzazioni possono iniziare a costruire in modo proattivo le proprie difese informatiche. Quando rilevano determinate tattiche utilizzate contro le loro difese perimetrali, possono usare la matrice per preparare le difese per le potenziali tecniche, o i prossimi passi, dell'avversario.

Il vantaggio principale è la natura proattiva del modello ATT&CK. Tutte le organizzazioni nell'era digitale utilizzano una qualche forma di software e soluzioni di sicurezza informatica. Offrono vari livelli di posture difensive e, come minimo, forniscono livelli di protezione di base. Tuttavia, l'eventualità di una violazione riuscita è imminente.

Per qualsiasi organizzazione che voglia proteggere con successo i propri asset digitali, è necessario rimanere vigili nei propri sforzi per stare un passo avanti rispetto ai propri avversari. Secondo William Barnes, la sfida principale è che esiste un'ampia gamma di attività dannose. Inoltre, ha citato il fatto che sia i servizi finanziari che il settore sanitario sono le entità più grandi e quindi forniscono un ambiente ricco di obiettivi per i potenziali avversari. "I servizi finanziari sono il più grande ISAC... ma l'assistenza sanitaria rappresenta una comunità di massa che è molto più ampia in termini di stakeholder".

 

La collaborazione è la chiave

Al recente H-ISAC Spring Summit, è emerso un tema centrale clamoroso. Lavorare insieme per combattere la minaccia degli avversari informatici è la strada migliore da seguire non solo per l'assistenza sanitaria, ma per tutti i settori.

È qui che il modello MITRE ATT&CK e H-ISAC (Health Information Sharing and Analysis Center) possono fare i passi più grandi. Il modello stesso fornisce un framework per identificare tattiche con tecniche associate. Tuttavia, è valido solo quanto le informazioni che ha attualmente. Facendo sì che le organizzazioni membri di H-ISAC condividano le loro esperienze, la knowledge base MITRE può essere costantemente aggiornata con le minacce più recenti.

Le organizzazioni ora hanno una piattaforma coerente che, secondo Barnes, può essere crowd-sourcing. Ciò significa che tutte le entità possono trarre vantaggio dalle esperienze di ogni singola entità. Di conseguenza, possono continuare a creare misure di sicurezza proattive che le mantengano un passo avanti rispetto all'avversario.

 

Quali sono gli impatti della divulgazione?

Naturalmente, questa condivisione aperta di informazioni solleva anche alcune preoccupazioni. Alcune organizzazioni sono riluttanti a condividere il fatto che potrebbero aver subito una violazione, poiché ciò danneggia la loro credibilità sul mercato. Alcune temono che altre entità possano essere indotte a usare queste informazioni contro i loro concorrenti.

Secondo Barnes, H-ISAC ha affrontato questo problema di petto tramite l'uso di accordi di non divulgazione per le entità membri. Questi NDA aiutano ad alleviare le preoccupazioni relative alla fuga di informazioni inappropriate al pubblico.

Barnes ha anche osservato che la condivisione di informazioni non riguarda necessariamente un incidente di violazione effettivo. Facendo collaborare H-ISAC con MITRE, le informazioni condivise riguardano maggiormente l'identificazione di attività sospette o dannose. L'obiettivo non è puntare il dito contro coloro che sono stati violati, ma identificare nuove tattiche e tecniche e condividerle con i membri della comunità a beneficio di tutti.

 

Vantaggi e svantaggi del coinvolgimento del fornitore

Mentre la comunità collaborativa continua a crescere, i vendor di sicurezza informatica stanno iniziando a sedersi al tavolo. Il vantaggio di portare a bordo questi attori è che sono immersi nelle tattiche e nelle tecniche degli avversari e possono offrire una visione in prima linea alle entità membri di H-ISAC.

Secondo Barnes, ogni fornitore può probabilmente gestire lo spettro di tattiche e tecniche; tuttavia, ognuno tende anche a specializzarsi in determinate aree. Coinvolgendo un'ampia gamma di fornitori, i membri H-ISAC e il modello MITRE ATT&CK possono trarre vantaggio dalle loro diverse prospettive.

 

Il futuro è luminoso

Nonostante tutte le sfide che esistono nell'era digitale moderna, Barnes rimane ottimista. Una delle sue più grandi conclusioni dall'H-ISAC Spring Summit è la rinnovata convinzione che questo gruppo di lavoro H-ISAC Cybersecurity Analytics possa realizzare cose straordinarie.

La continua crescita e sviluppo del modello MITRE ATT&CK rappresentano un'entusiasmante opportunità. La possibilità di avere un impatto positivo sulle organizzazioni in tutto lo spettro sanitario non è mai stata così grande. Inoltre, Barnes ha anche osservato che la comunità H-ISAC ha reso la diversità e l'inclusione una priorità.

Per ulteriori informazioni su Cybersecurity Analytics e altri gruppi di lavoro, visitare https://h-isac.org/committees-working-groups/.

  • Risorse e notizie correlate
Combattere le minacce informatiche con una comunità globale
Whitepaper sui controlli di sicurezza dei Big Data