Skip to main content

H-ISAC თანამშრომლობა და MITER ATT&CK მოდელი


ანალიტიკის გამოყენება პროაქტიული კიბერ თავდაცვისთვის ჯანდაცვისა და სხვა სექტორებში

 

ვინაიდან სხვადასხვა ISAC-ები აგრძელებენ თავდაცვას კიბერ საფრთხეების მზარდი რაოდენობის წინააღმდეგ, MITER-მა მოახდინა რევოლუცია კიბერ საფრთხეების დაზვერვის თვალყურის დევნებაში. MITER ATT&CK მოდელი გახდა გლობალურად აღიარებული ცოდნის ბაზა მოწინააღმდეგე ტაქტიკებისთვის, რომლებსაც იყენებენ დღევანდელი მაღალტექნოლოგიური კიბერ კრიმინალები.

მიუხედავად იმისა, რომ ეს ჩარჩო შესანიშნავი დასაწყისია კიბერ საფრთხეების დაზვერვის შესაგროვებლად, ის არავითარ შემთხვევაში არ არის სრულყოფილი, რადგან კიბერკრიმინალები მუდმივად ავითარებენ ახალ ტაქტიკას. ამ ჩარჩოს მომავალი და მისი ღირებულება ინფორმაციის გაზიარებისა და ანალიზის სხვადასხვა ცენტრებისთვის (ISAC) მთლიანად დამოკიდებულია ერთობლივ მიდგომაზე უწყვეტი გაუმჯობესებისკენ. როგორც უილიამ ბარნსმა, Pfizer-ის უსაფრთხოების გადაწყვეტილებების უფროსმა დირექტორმა ცოტა ხნის წინ განაცხადა, „ჩვენ ყველანი ერთად ვართ ამაში“.

 

როგორ მუშაობს ATT&CK მოდელი?

ATT&CK ჩარჩო გთავაზობთ ინფორმაციას საპირისპირო ტაქტიკის, ტექნიკისა და საერთო ცოდნის შესახებ, აქედან გამომდინარეობს აკრონიმი. ეს მატრიცა არის MITER Corporation-ის ტვინის შვილი, არაკომერციული ორგანიზაცია, რომელიც ამაყობს პრობლემების გადაჭრით უსაფრთხო სამყაროს გულისთვის. მათი ფედერალური დაფინანსებული მონაცემთა ცენტრები გლობალურად ხელმისაწვდომია და ახორციელებენ მონაცემთა მრავალფეროვან კვლევას, მათ შორის კიბერუსაფრთხოებას.

2013 წელს დაწყებული, ATT&CK ცოდნის ბაზა ადასტურებს საერთო ტაქტიკასა და ტექნიკას, რომელსაც იყენებენ თანამედროვე კიბერ მოწინააღმდეგეები. ამ მოდელის შექმნის მამოძრავებელი ძალა იყო მოწინააღმდეგეების ქცევის გაგების აუცილებლობა, ვიდრე ინდივიდუალური ტაქტიკის დროული გაგება. არსებობს კიბერკრიმინალების მოქმედების მეთოდი და მათი შეჩერების გასაღები არის მათი შემდეგი ნაბიჯის ზუსტი პროგნოზირება.

ATT&CK მოდელის კომპონენტები შეიძლება დაიყოს ტაქტიკად და ტექნიკად. ტაქტიკა წარმოადგენს „რატომ“ აირჩევს მოწინააღმდეგე გარკვეული მოქმედების შესრულებას. ტექნიკა არის „როგორ“ ცდილობს მოწინააღმდეგე თავისი ტაქტიკური მიზნის მიღწევას. ამ ორის ერთობლიობა ხელს უწყობს კიბერდანაშაულის შესაძლო ქცევის ან შემდეგი ნაბიჯების გარკვევას.

ATT&CK Matrix არის ამ ტაქტიკისა და ტექნიკის ვიზუალური წარმოდგენა. ტაქტიკის ზოგიერთი მაგალითია გამძლეობა, გვერდითი მოძრაობა და აღმოჩენა. ამ და მრავალი სხვა ტაქტიკისთვის, მატრიცა განსაზღვრავს პოტენციურ ტექნიკას, რომელიც შეიძლება გამოყენებულ იქნას თითოეულისთვის. მაგალითად, Lateral Movement-ს აქვს 17 განსხვავებული ტექნიკა, რომლებიც იდენტიფიცირებულია, როგორიცაა Logon Scripts და Remote File Copy.

 

როგორ სარგებლობენ ორგანიზაციები ATT&CK მოდელიდან

ATT&CK მოდელის ინფორმაციით, ორგანიზაციებს შეუძლიათ დაიწყონ თავიანთი კიბერთავდაცვების პროაქტიულად შექმნა. როდესაც ისინი აღმოაჩენენ, რომ გარკვეული ტაქტიკა გამოიყენება მათი პერიმეტრის დაცვის წინააღმდეგ, მათ შეუძლიათ გამოიყენონ მატრიცა, რათა მოამზადონ დაცვა მოწინააღმდეგის პოტენციური ტექნიკისთვის ან შემდეგი ნაბიჯებისთვის.

ძირითადი სარგებელი არის ATT&CK მოდელის პროაქტიული ბუნება. ციფრული ეპოქის ყველა ორგანიზაცია იყენებს კიბერუსაფრთხოების პროგრამულ უზრუნველყოფას და გადაწყვეტილებებს. ისინი გვთავაზობენ თავდაცვითი პოზების სხვადასხვა დონეს და, სულ მცირე, უზრუნველყოფენ დაცვის ძირითად დონეებს. თუმცა, წარმატებული დარღვევის შესაძლებლობა გარდაუვალია.

იმისათვის, რომ ნებისმიერმა ორგანიზაციამ წარმატებით დაიცვას თავისი ციფრული აქტივები, ისინი უნდა იყვნენ ფხიზლად თავიანთ მცდელობებში, დარჩნენ წინ მოწინააღმდეგეებზე. უილიამ ბარნსის თქმით, უპირველესი გამოწვევა ის არის, რომ არსებობს მავნე მოქმედებების ფართო სპექტრი. გარდა ამისა, მან დაასახელა ის ფაქტი, რომ როგორც ფინანსური სერვისები, ასევე ჯანდაცვის ინდუსტრიები ყველაზე მსხვილი სუბიექტებია და, შესაბამისად, უზრუნველყოფენ სამიზნე მდიდარ გარემოს მოწინააღმდეგეებისთვის. ”ფინანსური სერვისები არის ყველაზე დიდი ISAC… მაგრამ ჯანდაცვა წარმოადგენს მასობრივ საზოგადოებას, რომელიც ბევრად უფრო დიდია დაინტერესებული მხარეების თვალსაზრისით.”

 

თანამშრომლობა არის გასაღები

ბოლო H-ISAC-ის საგაზაფხულო სამიტზე იყო ხმამაღალი ცენტრალური თემა. კიბერ მოწინააღმდეგეების საფრთხის წინააღმდეგ საბრძოლველად ერთობლივი მუშაობა საუკეთესო გზაა არა მხოლოდ ჯანდაცვის, არამედ ყველა ინდუსტრიისთვის.

ეს არის ის, სადაც MITER ATT&CK მოდელმა და H-ISAC (ჯანმრთელობის ინფორმაციის გაზიარებისა და ანალიზის ცენტრმა) შეიძლება უდიდესი ნაბიჯის გადადგმა. თავად მოდელი იძლევა ჩარჩოს ტაქტიკის იდენტიფიცირებისთვის ასოცირებულ ტექნიკასთან. თუმცა, ეს მხოლოდ ისეთივე კარგია, როგორც ის ინფორმაცია, რაც მას ამჟამად აქვს. H-ISAC წევრი ორგანიზაციების გამოცდილების გაზიარებით, MITER-ის ცოდნის ბაზა შეიძლება მუდმივად განახლდეს უახლესი საფრთხეებით.

ახლა ორგანიზაციებს აქვთ თანმიმდევრული პლატფორმა, რომელიც, ბარნსის თქმით, შეიძლება იყოს ბრბოს წყარო. ეს ნიშნავს, რომ ყველა ერთეულს შეუძლია ისარგებლოს თითოეული სუბიექტის გამოცდილებით. შედეგად, მათ შეუძლიათ გააგრძელონ უსაფრთხოების პროაქტიული ზომების შექმნა, რაც მათ მოწინააღმდეგეზე წინ უსწრებს.

 

რა გავლენას ახდენს გამჟღავნება

რა თქმა უნდა, ინფორმაციის ღია გაზიარება გარკვეულ შეშფოთებას იწვევს. ზოგიერთ ორგანიზაციას არ სურს გაიზიაროს ის ფაქტი, რომ მათ შესაძლოა განიცადეს დარღვევა, რადგან ეს აზიანებს მათ სანდოობას ბაზარზე. ზოგიერთი შიშობს, რომ სხვა სუბიექტებმა შეიძლება აიძულონ გამოიყენონ ეს ინფორმაცია მათი კონკურენტების წინააღმდეგ.

ბარნსის თქმით, H-ISAC-მა ეს პრობლემა გაათავისუფლა წევრი სუბიექტებისთვის არა-გამჟღავნების ხელშეკრულებების გამოყენებით. ეს NDA ხელს უწყობს საზოგადოებისთვის არასათანადო ინფორმაციის გაჟონვის შეშფოთების შემსუბუქებას.

ბარნსმა ასევე აღნიშნა, რომ ინფორმაციის გაზიარება არ არის აუცილებელი დარღვევის ფაქტის შესახებ. H-ISAC MITRE-თან თანამშრომლობით, გაზიარებული ინფორმაცია უფრო მეტად ეხება საეჭვო ან მავნე აქტივობის იდენტიფიკაციას. მიზანი არ არის თითების გაშლა მათზე, რომლებიც დაირღვა, არამედ ახალი ტაქტიკისა და ტექნიკის იდენტიფიცირება და საზოგადოების წევრებთან მათი გაზიარება ყველას სასარგებლოდ.

 

გამყიდველის ჩართულობის უპირატესობები და უარყოფითი მხარეები

როდესაც თანამშრომლობითი საზოგადოება აგრძელებს ზრდას, კიბერუსაფრთხოების გამყიდველები იწყებენ მაგიდასთან ჯდომას. ამ მოთამაშეების ბორტზე მიყვანის უპირატესობა არის ის, რომ ისინი ჩაძირულები არიან მოწინააღმდეგეების ტაქტიკასა და ტექნიკაში და შეუძლიათ წინა ხაზის ხედვა H-ISAC-ის წევრ სუბიექტებს.

ბარნსის თქმით, თითოეულ გამყიდველს, სავარაუდოდ, შეუძლია გაუმკლავდეს ტაქტიკისა და ტექნიკის სპექტრს; თუმცა, თითოეული მათგანი ასევე სპეციალიზირებულია გარკვეულ სფეროებში. მომწოდებლების ფართო სპექტრის შემოყვანით, H-ISAC წევრებს და MITER ATT&CK მოდელს შეუძლიათ ისარგებლონ თავიანთი სხვადასხვა პერსპექტივიდან.

 

მომავალი არის ნათელი

მიუხედავად ყველა გამოწვევისა, რომელიც არსებობს თანამედროვე ციფრულ ეპოქაში, ბარნსი ოპტიმისტურად რჩება. H-ISAC საგაზაფხულო სამიტიდან მისი ერთ-ერთი ყველაზე დიდი მიღწევაა განახლებული რწმენა, რომ ამ H-ISAC კიბერუსაფრთხოების ანალიტიკის სამუშაო ჯგუფს შეუძლია შესანიშნავი რამის მიღწევა.

MITER ATT&CK მოდელის უწყვეტი ზრდა და განვითარება საინტერესო შესაძლებლობაა. ჯანდაცვის სპექტრის მასშტაბით ორგანიზაციებზე დადებითი ზემოქმედების შესაძლებლობა არასდროს ყოფილა უკეთესი. გარდა ამისა, ბარნსმა ასევე აღნიშნა, რომ H-ISAC საზოგადოებამ მრავალფეროვნება და ჩართვა პრიორიტეტად აქცია.

დამატებითი ინფორმაციისთვის კიბერუსაფრთხოების ანალიტიკისა და სხვა სამუშაო ჯგუფების შესახებ, გადადით https://h-isac.org/committees-working-groups/.

  • დაკავშირებული რესურსები და სიახლეები
კიბერ საფრთხეებთან ბრძოლა გლობალურ საზოგადოებასთან
დიდი მონაცემთა უსაფრთხოების კონტროლის Whitepaper