H-ISAC Collaboration ומודל MITER ATT&CK
שימוש באנליטיקס להגנת סייבר יזומה בשירותי הבריאות ובמגזרים אחרים
בזמן שאנשי ה-ISAC השונים ממשיכים לגייס את ההגנות שלהם נגד המספר ההולך וגדל של איומי סייבר, MITER חוללה מהפכה במעקב אחר מודיעין איומי סייבר. מודל MITER ATT&CK הפך לבסיס הידע המוכר בעולם לטקטיקות יריבות המשמשות את פושעי הסייבר ההיי-טק של ימינו.
אמנם המסגרת הזו היא התחלה מצוינת לאיסוף מודיעין של איומי סייבר, אבל היא בשום אופן לא שלמה מכיוון שפושעי סייבר מפתחים כל הזמן טקטיקות חדשות. עתידה של מסגרת זו והערך שלה למרכזי שיתוף וניתוח המידע השונים (ISAC) תלויים לחלוטין בגישה שיתופית לשיפור מתמיד. כפי שוויליאם בארנס, מנהל בכיר של פתרונות אבטחה של פייזר הצהיר לאחרונה, "כולנו נמצאים בזה ביחד."
כיצד פועל דגם ATT&CK?
מסגרת ATT&CK מספקת מידע על טקטיקות, טכניקות וידע משותף, ומכאן ראשי התיבות. מטריקס זה הוא ילד המוח של תאגיד MITER, ארגון ללא מטרות רווח שמתגאה בפתרון בעיות למען עולם בטוח יותר. מרכזי הנתונים שלהם במימון פדרלי נגישים ברחבי העולם ומבצעים מגוון רחב של מאמצי מחקר מונעי נתונים, כולל אבטחת סייבר.
בסיס הידע של ATT&CK, שהחל ב-2013, מתעד את הטקטיקות והטכניקות הנפוצות המשמשות את יריבי הסייבר המודרניים. המניע מאחורי יצירת המודל הזה היה הצורך להבין את התנהגותם של יריבים לעומת הבנה בנקודת זמן של טקטיקות אינדיבידואליות. יש שיטה לפעולה של פושעי סייבר והמפתח לעצור אותם הוא לחזות במדויק את הצעד הבא שלהם.
ניתן לפרק את המרכיבים של מודל ATT&CK לטקטיקות וטכניקות. הטקטיקה מייצגת "למה" יריב יבחר לבצע פעולה מסוימת. טכניקות הן "איך" יריב מנסה להשיג את מטרתו הטקטית. השילוב של השניים עוזר לשפוך אור על התנהגויות אפשריות, או הצעדים הבאים, שעשוי לנקוט פושע רשת.
מטריצת ATT&CK היא הייצוג החזותי של הטקטיקות והטכניקות הללו. כמה דוגמאות לטקטיקות כוללות התמדה, תנועה לרוחב וגילוי. עבור טקטיקות אלו ורבות אחרות, המטריצה מזהה טכניקות פוטנציאליות שניתן להשתמש בהן עבור כל אחת מהן. לדוגמה, לתנועה לרוחב יש 17 טכניקות שונות שזוהו כמו סקריפטים לכניסה והעתקת קבצים מרחוק.
כיצד ארגונים מרוויחים ממודל ATT&CK
חמושים במידע ממודל ATT&CK, ארגונים יכולים להתחיל לבנות באופן יזום את הגנת הסייבר שלהם. כאשר הם מזהים טקטיקות מסוימות בשימוש נגד ההגנות ההיקפיות שלהם, הם יכולים להשתמש במטריצה כדי להכין הגנות לטכניקות הפוטנציאליות, או הצעדים הבאים, של היריב.
היתרון העיקרי הוא האופי הפרואקטיבי של מודל ATT&CK. כל הארגונים בעידן הדיגיטלי משתמשים בתוכנות ובפתרונות אבטחת סייבר בצורה כלשהי. הם מציעים רמות שונות של תנוחות הגנה ולכל הפחות מספקים רמות בסיסיות של הגנה. עם זאת, המקרה של הפרה מוצלחת קרובה.
כדי שכל ארגון יצליח להגן על הנכסים הדיגיטליים שלו, הוא צריך להישאר ערני במאמצים שלו להקדים את יריביו. לדברי ויליאם בארנס, האתגר העיקרי הוא שיש מגוון רחב של פעילויות זדוניות. בנוסף, הוא ציין את העובדה שגם תעשיית השירותים הפיננסיים וגם תעשיית הבריאות הם הישויות הגדולות ביותר ולכן מספקות סביבה עשירה ביעד עבור יריבים. "שירותים פיננסיים הם ה-ISAC הגדול ביותר... אבל שירותי הבריאות מייצגים קהילה המונית שהיא הרבה יותר גדולה מבחינת מחזיקי עניין."
שיתוף פעולה הוא המפתח
בפסגת האביב האחרונה של H-ISAC, היה נושא מרכזי מהדהד. עבודה משותפת כדי להילחם באיום של יריבי סייבר היא הדרך הטובה ביותר קדימה לא רק עבור שירותי הבריאות אלא עבור כל התעשיות.
זה המקום שבו מודל MITER ATT&CK ו-H-ISAC (מרכז שיתוף וניתוח מידע בריאותי) יכולים לעשות את הצעדים הגדולים ביותר. המודל עצמו מספק מסגרת לזיהוי טקטיקות עם טכניקות נלוות. עם זאת, זה טוב רק כמו המידע שיש לו כרגע. על ידי שיתוף הארגונים החברים ב-H-ISAC בחוויותיהם, ניתן לעדכן את בסיס הידע של MITER ללא הרף באיומים האחרונים.
לארגונים יש כעת פלטפורמה עקבית, שלפי בארנס, ניתן לקבל מקורות המונים. המשמעות היא שכל הישויות יכולות להפיק תועלת מהחוויות של כל ישות בודדת. כתוצאה מכך, הם יכולים להמשיך ולבנות אמצעי אבטחה פרואקטיביים שישאירו אותם לפני היריב.
מהן ההשפעות של חשיפה
כמובן, שיתוף מידע פתוח זה מעורר גם כמה חששות. חלק מהארגונים נרתעים מלחלוק את העובדה שייתכן שהם חוו פריצה מכיוון שהיא פוגעת באמינותם בשוק. חלקם חוששים שגורמים אחרים עלולים להתפתות להשתמש במידע זה נגד המתחרים שלהם.
לדברי בארנס, H-ISAC לקחה את הבעיה הזו קדימה באמצעות שימוש בהסכמי סודיות עבור גופים חברים. NDAs אלה עוזרים להפיג את החששות מדליפות מידע בלתי הולם לציבור.
בארנס גם ציין כי שיתוף המידע אינו בהכרח על אירוע הפרה ממשי. בכך ש-H-ISAC ישתף פעולה עם MITRE, המידע המשותף נוגע יותר לזיהוי של פעילות חשודה או זדונית. המטרה היא לא להפנות אצבעות לעבר אלו שנפרצו, אלא לזהות טקטיקות וטכניקות חדשות ולשתף אותן עם חברי הקהילה לטובת כולם.
יתרונות וחסרונות של מעורבות ספקים
ככל שהקהילה השיתופית ממשיכה לצמוח, ספקי אבטחת סייבר מתחילים לתפוס מקום ליד השולחן. היתרון בהבאת שחקנים אלו לסיפון הוא שהם שקועים בטקטיקות ובטכניקות של יריבים ויכולים להביא מבט חזיתי לישויות החברים ב-H-ISAC.
לדברי בארנס, כל ספק יכול להתמודד עם ספקטרום הטקטיקות והטכניקות; עם זאת, כל אחד מהם גם נוטה להתמחות בתחומים מסוימים. על ידי הבאת מגוון רחב של ספקים, חברי H-ISAC ומודל MITER ATT&CK יכולים להפיק תועלת מנקודות המבט השונות שלהם.
העתיד בהיר
למרות כל האתגרים הקיימים בעידן הדיגיטלי המודרני, בארנס נשאר אופטימי. אחת הנקודות החשובות ביותר שלו מפסגת האביב של H-ISAC היא האמונה המחודשת שקבוצת העבודה הזו של H-ISAC Cybersecurity Analytics יכולה להשיג דברים יוצאי דופן.
המשך הצמיחה והפיתוח של דגם MITER ATT&CK הוא הזדמנות מרגשת. האפשרות להשפיע באופן חיובי על ארגונים על פני קשת הבריאות מעולם לא הייתה טובה יותר. בנוסף, בארנס גם ציין כי קהילת H-ISAC שמה את הגיוון וההכלה בראש סדר העדיפויות.
למידע נוסף על Cybersecurity Analytics וקבוצות עבודה אחרות, עבור אל https://h-isac.org/committees-working-groups/.
- משאבים וחדשות קשורים