ການຮ່ວມມື H-ISAC ແລະຮູບແບບ MITER ATT&CK

ການນໍາໃຊ້ການວິເຄາະສໍາລັບການປ້ອງກັນ Cyber ​​Proactive ໃນການດູແລສຸຂະພາບແລະຂະແຫນງການອື່ນໆ

ໃນຂະນະທີ່ ISACs ຕ່າງໆຍັງສືບຕໍ່ຮວບຮວມການປ້ອງກັນຂອງພວກເຂົາຕໍ່ກັບຈໍານວນໄພຂົ່ມຂູ່ທາງອິນເຕີເນັດທີ່ເພີ່ມຂຶ້ນ, MITER ໄດ້ປະຕິວັດການຕິດຕາມການຂົ່ມຂູ່ທາງອິນເຕີເນັດ. ແບບຈຳລອງ MITER ATT&CK ໄດ້ກາຍເປັນພື້ນຖານຄວາມຮູ້ທີ່ຮັບຮູ້ທົ່ວໂລກສຳລັບຍຸດທະວິທີດ້ານສັດຕູທີ່ໃຊ້ໂດຍອາຊະຍາກຳທາງອິນເຕີເນັດຊັ້ນສູງໃນທຸກມື້ນີ້.

ໃນຂະນະທີ່ໂຄງຮ່າງການນີ້ແມ່ນການເລີ່ມຕົ້ນທີ່ດີເລີດໃນການເກັບກໍາຂໍ້ມູນໄພຂົ່ມຂູ່ທາງອິນເຕີເນັດ, ມັນບໍ່ສໍາເລັດສົມບູນເພາະວ່າອາຊະຍາກໍາທາງອິນເຕີເນັດກໍາລັງພັດທະນາກົນລະຍຸດໃຫມ່ຢ່າງຕໍ່ເນື່ອງ. ອະນາຄົດຂອງກອບວຽກນີ້ ແລະມູນຄ່າຂອງມັນຕໍ່ກັບສູນແບ່ງປັນຂໍ້ມູນ ແລະການວິເຄາະຕ່າງໆ (ISAC) ແມ່ນຂຶ້ນກັບວິທີການຮ່ວມມືໃນການປັບປຸງຢ່າງຕໍ່ເນື່ອງ. ດັ່ງທີ່ William Barnes, ຜູ້ອໍານວຍການອາວຸໂສຂອງການແກ້ໄຂຄວາມປອດໄພສໍາລັບ Pfizer ກ່າວໃນບໍ່ດົນມານີ້, "ພວກເຮົາທັງຫມົດນີ້ຮ່ວມກັນ."

ຕົວແບບ ATT&CK ເຮັດວຽກແນວໃດ?

ໂຄງຮ່າງການ ATT&CK ສະໜອງຂໍ້ມູນສຳລັບຍຸດທະວິທີຂອງຝ່າຍກົງກັນຂ້າມ, ເຕັກນິກ ແລະຄວາມຮູ້ທົ່ວໄປ, ດ້ວຍເຫດນີ້ຄຳຫຍໍ້. ມາຕຣິກເບື້ອງນີ້ແມ່ນເດັກນ້ອຍຂອງສະຫມອງຂອງບໍລິສັດ MITER, ອົງການຈັດຕັ້ງທີ່ບໍ່ຫວັງຜົນກໍາໄລທີ່ມີຄວາມພູມໃຈໃນການແກ້ໄຂບັນຫາເພື່ອຜົນປະໂຫຍດຂອງໂລກທີ່ປອດໄພກວ່າ. ສູນຂໍ້ມູນທີ່ໄດ້ຮັບທຶນຈາກລັດຖະບານກາງຂອງພວກເຂົາແມ່ນສາມາດເຂົ້າເຖິງໄດ້ທົ່ວໂລກ ແລະ ປະຕິບັດຄວາມພະຍາຍາມຄົ້ນຄ້ວາທີ່ຂັບເຄື່ອນດ້ວຍຂໍ້ມູນທີ່ຫຼາກຫຼາຍ, ລວມທັງຄວາມປອດໄພທາງອິນເຕີເນັດ.

ເລີ່ມຕົ້ນໃນປີ 2013, ພື້ນຖານຄວາມຮູ້ ATT&CK ບັນທຶກຍຸດທະວິທີ ແລະ ເຕັກນິກທົ່ວໄປທີ່ຖືກນໍາໃຊ້ໂດຍສັດຕູທາງອິນເຕີເນັດທີ່ທັນສະໄຫມ. ຜູ້ຂັບຂີ່ທີ່ຢູ່ເບື້ອງຫລັງການສ້າງແບບຈໍາລອງນີ້ແມ່ນຄວາມຕ້ອງການທີ່ຈະເຂົ້າໃຈພຶດຕິກໍາຂອງສັດຕູທີ່ກົງກັນຂ້າມກັບຄວາມເຂົ້າໃຈທີ່ໃຊ້ເວລາຂອງການມີສິດເທົ່າທຽມສ່ວນບຸກຄົນ. ມີວິທີການປະຕິບັດງານຂອງອາຊະຍາກໍາທາງອິນເຕີເນັດແລະກຸນແຈເພື່ອຢຸດພວກມັນແມ່ນເພື່ອຄາດຄະເນການເຄື່ອນໄຫວຕໍ່ໄປຂອງພວກເຂົາຢ່າງຖືກຕ້ອງ.

ອົງປະກອບຂອງຮູບແບບ ATT&CK ສາມາດແບ່ງອອກເປັນຍຸດທະວິທີ ແລະເຕັກນິກ. ຍຸດທະວິທີແມ່ນເປັນຕົວແທນຂອງ "ເປັນຫຍັງ" ສັດຕູຈະເລືອກທີ່ຈະດໍາເນີນການສະເພາະໃດຫນຶ່ງ. ເຕັກນິກແມ່ນ "ວິທີການ" ສັດຕູພະຍາຍາມບັນລຸຈຸດປະສົງມີສິດເທົ່າທຽມຂອງພວກເຂົາ. ການປະສົມປະສານຂອງທັງສອງຊ່ວຍເຮັດໃຫ້ຄວາມສະຫວ່າງກ່ຽວກັບພຶດຕິກໍາທີ່ເປັນໄປໄດ້, ຫຼືຂັ້ນຕອນຕໍ່ໄປ, ທີ່ອາດຊະຍາກໍາທາງອິນເຕີເນັດ.

ATT&CK Matrix ແມ່ນການສະແດງພາບຂອງຍຸດທະວິທີ ແລະເຕັກນິກເຫຼົ່ານີ້. ບາງຕົວຢ່າງຂອງຍຸດທະວິທີລວມເຖິງຄວາມຄົງທົນ, ການເຄື່ອນໄຫວທາງຂ້າງ, ແລະການຄົ້ນພົບ. ສໍາລັບການເຫຼົ່ານີ້ແລະມີສິດເທົ່າທຽມອື່ນໆຈໍານວນຫຼາຍ, matrix ກໍານົດເຕັກນິກທີ່ມີທ່າແຮງທີ່ສາມາດຖືກນໍາໃຊ້ສໍາລັບແຕ່ລະຄົນ. ຕົວຢ່າງ, ການເຄື່ອນໄຫວຂ້າງຄຽງມີ 17 ເຕັກນິກທີ່ແຕກຕ່າງກັນທີ່ໄດ້ຮັບການກໍານົດເຊັ່ນ: Logon Scripts ແລະ Remote File Copy.

ອົງກອນໄດ້ຮັບຜົນປະໂຫຍດແນວໃດຈາກຕົວແບບ ATT&CK

ປະກອບອາວຸດດ້ວຍຂໍ້ມູນຈາກ ATT&CK Model, ອົງການຈັດຕັ້ງສາມາດເລີ່ມຕົ້ນສ້າງການປ້ອງກັນທາງອິນເຕີເນັດຂອງພວກເຂົາຢ່າງຕັ້ງຫນ້າ. ເມື່ອພວກເຂົາກວດພົບກົນລະຍຸດບາງຢ່າງທີ່ຖືກນໍາໃຊ້ຕໍ່ກັບການປ້ອງກັນ perimeter ຂອງພວກເຂົາ, ພວກເຂົາສາມາດໃຊ້ matrix ເພື່ອກະກຽມການປ້ອງກັນສໍາລັບເຕັກນິກທີ່ເປັນໄປໄດ້, ຫຼືຂັ້ນຕອນຕໍ່ໄປ, ຂອງສັດຕູ.

ຜົນປະໂຫຍດຕົ້ນຕໍແມ່ນລັກສະນະການເຄື່ອນໄຫວຂອງ ATT&CK Model. ອົງການຈັດຕັ້ງທັງຫມົດໃນຍຸກດິຈິຕອນກໍາລັງໃຊ້ບາງຮູບແບບຂອງຊອບແວຄວາມປອດໄພທາງອິນເຕີເນັດແລະວິທີແກ້ໄຂ. ພວກເຂົາເຈົ້າສະຫນອງລະດັບທີ່ແຕກຕ່າງກັນຂອງ postures ປ້ອງກັນແລະ, ຢ່າງຫນ້ອຍ, ໃຫ້ລະດັບພື້ນຖານຂອງການປ້ອງກັນ. ຢ່າງໃດກໍຕາມ, ໃນທີ່ສຸດຂອງການລະເມີດສົບຜົນສໍາເລັດແມ່ນໃກ້ເຂົ້າມາ.

ສໍາລັບອົງການຈັດຕັ້ງໃດຫນຶ່ງທີ່ຈະປະສົບຜົນສໍາເລັດໃນການປົກປ້ອງຊັບສິນດິຈິຕອນຂອງພວກເຂົາ, ພວກເຂົາຕ້ອງມີຄວາມລະມັດລະວັງໃນຄວາມພະຍາຍາມຂອງພວກເຂົາເພື່ອຢູ່ຂ້າງຫນ້າຂອງສັດຕູຂອງພວກເຂົາ. ອີງຕາມ William Barnes, ສິ່ງທ້າທາຍຕົ້ນຕໍແມ່ນວ່າມີກິດຈະກໍາທີ່ເປັນອັນຕະລາຍຫຼາຍ. ນອກຈາກນັ້ນ, ລາວໄດ້ອ້າງເຖິງຄວາມຈິງທີ່ວ່າທັງການບໍລິການທາງດ້ານການເງິນແລະອຸດສາຫະກໍາການດູແລສຸຂະພາບແມ່ນຫນ່ວຍງານທີ່ໃຫຍ່ທີ່ສຸດແລະດັ່ງນັ້ນຈຶ່ງສະຫນອງສະພາບແວດລ້ອມທີ່ອຸດົມສົມບູນເປົ້າຫມາຍທີ່ຈະເປັນສັດຕູ. "ການບໍລິການດ້ານການເງິນແມ່ນ ISAC ທີ່ໃຫຍ່ທີ່ສຸດ ... ແຕ່ການດູແລສຸຂະພາບເປັນຕົວແທນຂອງຊຸມຊົນທີ່ມີຂະຫນາດໃຫຍ່ກວ່າໃນແງ່ຂອງພາກສ່ວນກ່ຽວຂ້ອງ."

ການຮ່ວມມືແມ່ນກຸນແຈ

ໃນກອງປະຊຸມສຸດຍອດລະດູໃບໄມ້ປົ່ງ H-ISAC ທີ່ຜ່ານມາ, ມີຫົວຂໍ້ສູນກາງທີ່ດັງຂຶ້ນ. ການ​ເຮັດ​ວຽກ​ຮ່ວມ​ກັນ​ເພື່ອ​ຕໍ່​ສູ້​ກັບ​ໄພ​ຂົ່ມ​ຂູ່​ຂອງ​ສັດ​ຕູ​ທາງ​ອິນ​ເຕີ​ເນັດ​ເປັນ​ເສັ້ນ​ທາງ​ທີ່​ດີ​ທີ່​ສຸດ​ຕໍ່​ຫນ້າ​ບໍ່​ພຽງ​ແຕ່​ການ​ດູ​ແລ​ສຸ​ຂະ​ພາບ​ແຕ່​ສໍາ​ລັບ​ທຸກ​ອຸດ​ສາ​ຫະ​ກໍາ​.

ນີ້ແມ່ນບ່ອນທີ່ຕົວແບບ MITER ATT&CK ແລະ H-ISAC (ສູນແບ່ງປັນ ແລະວິເຄາະຂໍ້ມູນສຸຂະພາບ) ສາມາດກ້າວໄປສູ່ຄວາມກ້າວຫນ້າສູງສຸດ. ຮູບແບບຕົວມັນເອງສະຫນອງກອບສໍາລັບການກໍານົດມີສິດເທົ່າທຽມກັບເຕັກນິກທີ່ກ່ຽວຂ້ອງ. ຢ່າງໃດກໍ່ຕາມ, ມັນເປັນພຽງແຕ່ຂໍ້ມູນທີ່ດີເທົ່າທີ່ມັນມີຢູ່ໃນປະຈຸບັນ. ໂດຍການໃຫ້ອົງການຈັດຕັ້ງສະມາຊິກ H-ISAC ແບ່ງປັນປະສົບການຂອງເຂົາເຈົ້າ, ພື້ນຖານຄວາມຮູ້ MITER ສາມາດຖືກປັບປຸງຢ່າງຕໍ່ເນື່ອງກັບໄພຂົ່ມຂູ່ຫຼ້າສຸດ.

ອົງການຈັດຕັ້ງໃນປັດຈຸບັນມີເວທີທີ່ສອດຄ່ອງ, ອີງຕາມການ Barnes, ສາມາດເປັນແຫຼ່ງຝູງຊົນ. ນີ້ຫມາຍຄວາມວ່າຫນ່ວຍງານທັງຫມົດສາມາດໄດ້ຮັບຜົນປະໂຫຍດຈາກປະສົບການຂອງແຕ່ລະຫນ່ວຍງານດຽວ. ດ້ວຍເຫດນີ້, ເຂົາເຈົ້າສາມາດສືບຕໍ່ສ້າງມາດຕະການຮັກສາຄວາມປອດໄພຢ່າງຕັ້ງໜ້າ ເຊິ່ງເຮັດໃຫ້ພວກເຂົາຢູ່ຕໍ່ໜ້າສັດຕູ.

ຜົນກະທົບຂອງການເປີດເຜີຍແມ່ນຫຍັງ

ແນ່ນອນ, ການແບ່ງປັນຂໍ້ມູນເປີດນີ້ຍັງເຮັດໃຫ້ເກີດຄວາມກັງວົນບາງຢ່າງ. ບາງອົງການຈັດຕັ້ງບໍ່ເຕັມໃຈທີ່ຈະແບ່ງປັນຄວາມຈິງທີ່ວ່າພວກເຂົາອາດຈະປະສົບກັບການລະເມີດຍ້ອນວ່າມັນເຮັດໃຫ້ຄວາມຫນ້າເຊື່ອຖືຂອງພວກເຂົາເຈັບປວດໃນຕະຫຼາດ. ບາງຄົນຢ້ານວ່າຫນ່ວຍງານອື່ນໆອາດຈະຖືກຊັກຊວນໃຫ້ໃຊ້ຂໍ້ມູນນີ້ຕໍ່ກັບຄູ່ແຂ່ງຂອງພວກເຂົາ.

ອີງຕາມການ Barnes, H-ISAC ໄດ້ເອົາບັນຫານີ້ເປັນຫົວຫນ້າໂດຍຜ່ານການນໍາໃຊ້ຂໍ້ຕົກລົງທີ່ບໍ່ເປີດເຜີຍຂໍ້ມູນສໍາລັບຫນ່ວຍງານສະມາຊິກ. NDAs ເຫຼົ່ານີ້ຊ່ວຍບັນເທົາຄວາມກັງວົນຂອງຂໍ້ມູນທີ່ບໍ່ເຫມາະສົມທີ່ຈະຮົ່ວໄຫລອອກສູ່ສາທາລະນະ.

Barnes ຍັງໄດ້ສັງເກດເຫັນວ່າການແບ່ງປັນຂໍ້ມູນແມ່ນບໍ່ຈໍາເປັນກ່ຽວກັບເຫດການການລະເມີດຕົວຈິງ. ໂດຍການໃຫ້ H-ISAC ຮ່ວມມືກັບ MITRE, ຂໍ້ມູນທີ່ແບ່ງປັນແມ່ນເພີ່ມເຕີມກ່ຽວກັບການກໍານົດກິດຈະກໍາທີ່ຫນ້າສົງໄສຫຼືເປັນອັນຕະລາຍ. ເປົ້າໝາຍບໍ່ແມ່ນການຊີ້ມືໃສ່ຜູ້ທີ່ຖືກລະເມີດ, ແຕ່ເພື່ອກຳນົດຍຸດທະວິທີ ແລະເຕັກນິກໃໝ່ ແລະແບ່ງປັນໃຫ້ກັບສະມາຊິກຂອງຊຸມຊົນເພື່ອຜົນປະໂຫຍດຂອງທຸກຄົນ.

ຂໍ້ດີແລະຂໍ້ເສຍຂອງການມີສ່ວນຮ່ວມຂອງຜູ້ຂາຍ

ໃນຂະນະທີ່ຊຸມຊົນຮ່ວມມືສືບຕໍ່ຂະຫຍາຍຕົວ, ຜູ້ຂາຍຄວາມປອດໄພທາງອິນເຕີເນັດກໍາລັງເລີ່ມຕົ້ນທີ່ຈະນັ່ງຢູ່ໃນໂຕະ. ປະໂຫຍດຂອງການນໍາຜູ້ຫຼິ້ນເຫຼົ່ານີ້ຢູ່ໃນເຮືອແມ່ນວ່າພວກເຂົາຖືກ immersed ໃນມີສິດເທົ່າທຽມແລະເຕັກນິກຂອງສັດຕູແລະສາມາດນໍາເອົາທັດສະນະທາງຫນ້າໃຫ້ກັບຫນ່ວຍງານສະມາຊິກ H-ISAC.

ອີງຕາມການ Barnes, ຜູ້ຂາຍແຕ່ລະຄົນມີແນວໂນ້ມທີ່ຈະຈັດການກັບ spectrum ຂອງມີສິດເທົ່າທຽມແລະເຕັກນິກ; ຢ່າງໃດກໍຕາມ, ແຕ່ລະຄົນຍັງມີແນວໂນ້ມທີ່ຈະຊ່ຽວຊານໃນບາງຂົງເຂດ. ໂດຍການນໍາເອົາຜູ້ຂາຍທີ່ຫລາກຫລາຍ, ສະມາຊິກ H-ISAC ແລະ MITER ATT&CK Model ສາມາດໄດ້ຮັບຜົນປະໂຫຍດຈາກທັດສະນະຕ່າງໆຂອງພວກເຂົາ.

ອະນາຄົດຈະສົດໃສ

ເຖິງວ່າຈະມີສິ່ງທ້າທາຍທັງຫມົດທີ່ມີຢູ່ໃນຍຸກດິຈິຕອນທີ່ທັນສະໄຫມ, Barnes ຍັງຄົງຢູ່ໃນແງ່ດີ. ຫນຶ່ງໃນການເອົາໄປທີ່ໃຫຍ່ທີ່ສຸດຂອງລາວຈາກກອງປະຊຸມ H-ISAC Spring Summit ແມ່ນຄວາມເຊື່ອໃຫມ່ວ່າທີມງານ H-ISAC Cybersecurity Analytics ນີ້ສາມາດເຮັດສິ່ງທີ່ໂດດເດັ່ນໄດ້.

ການຂະຫຍາຍຕົວຢ່າງຕໍ່ເນື່ອງແລະການພັດທະນາຂອງ MITER ATT&CK Model ເປັນໂອກາດທີ່ຫນ້າຕື່ນເຕັ້ນ. ຄວາມເປັນໄປໄດ້ທີ່ມີຜົນກະທົບທາງບວກຂອງອົງການຈັດຕັ້ງໃນທົ່ວ spectrum ການດູແລສຸຂະພາບບໍ່ເຄີຍດີກວ່າ. ນອກຈາກນັ້ນ, Barnes ຍັງສັງເກດເຫັນວ່າຊຸມຊົນ H-ISAC ໄດ້ເຮັດໃຫ້ຄວາມຫຼາກຫຼາຍແລະການລວມເອົາຄວາມສໍາຄັນ.

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ Cybersecurity Analytics ແລະກຸ່ມເຮັດວຽກອື່ນໆ, ໃຫ້ໄປທີ່ https://h-isac.org/committees-working-groups/.

• ຊັບພະຍາກອນທີ່ກ່ຽວຂ້ອງ & ຂ່າວ