Pereiti į pagrindinį turinį

H-ISAC bendradarbiavimas ir MITER ATT&CK modelis


„Analytics“ naudojimas iniciatyviai kibernetinei gynybai sveikatos priežiūros ir kituose sektoriuose

 

Įvairioms ISAC grupuotėms toliau telkiant savo gynybą nuo didėjančio kibernetinių grėsmių skaičiaus, MITER sukėlė revoliuciją kibernetinių grėsmių žvalgybos stebėjime. MITER ATT&CK modelis tapo pasauliniu mastu pripažinta žinių baze apie varžovų taktiką, kurią naudoja šiuolaikiniai aukštųjų technologijų kibernetiniai nusikaltėliai.

Nors ši sistema yra puiki kibernetinių grėsmių žvalgybos duomenų rinkimo pradžia, ji jokiu būdu nėra baigta, nes kibernetiniai nusikaltėliai nuolat kuria naujas taktikas. Šios sistemos ateitis ir jos vertė įvairiems dalijimosi informacija ir analizės centrams (ISAC) visiškai priklauso nuo bendradarbiavimo požiūrio į nuolatinį tobulėjimą. Kaip neseniai pareiškė Williamas Barnesas, Pfizer saugumo sprendimų vyresnysis direktorius: „Mes visi kartu.

 

Kaip veikia ATT&CK modelis?

ATT&CK sistemoje pateikiama informacija apie varžovų taktiką, metodus ir bendrąsias žinias, taigi ir santrumpa. Ši matrica yra MITER korporacijos, ne pelno organizacijos, kuri didžiuojasi sprendžiant problemas vardan saugesnio pasaulio, smegenų vaikas. Jų federaliniu lygmeniu finansuojami duomenų centrai yra prieinami visame pasaulyje ir atlieka įvairius duomenimis pagrįstus tyrimus, įskaitant kibernetinį saugumą.

Pradėta 2013 m., ATT&CK žinių bazė dokumentuoja įprastas taktikas ir metodus, kuriuos naudoja šiuolaikiniai kibernetiniai priešai. Šio modelio sukūrimo variklis buvo poreikis suprasti priešininkų elgesį, o ne tam tikrą individualios taktikos supratimą. Egzistuoja kibernetinių nusikaltėlių veikimo metodas ir svarbiausia juos sustabdyti – tiksliai numatyti kitą jų žingsnį.

ATT&CK modelio komponentus galima suskirstyti į taktiką ir metodus. Taktika atspindi „kodėl“ priešininkas pasirinks atlikti tam tikrą veiksmą. Technika yra „kaip“ priešininkas bando pasiekti savo taktinį tikslą. Šių dviejų dalykų derinys padeda išsiaiškinti galimą elgesį arba tolesnius veiksmus, kurių gali imtis kibernetinis nusikaltėlis.

ATT&CK matrica yra vizualus šių taktikos ir technikų vaizdas. Kai kurie taktikos pavyzdžiai yra atkaklumas, šoninis judėjimas ir atradimas. Šioms ir daugeliui kitų taktikų matrica nurodo galimus metodus, kurie gali būti naudojami kiekvienam. Pavyzdžiui, šoninis judėjimas turi 17 skirtingų metodų, kurie buvo nustatyti, pavyzdžiui, prisijungimo scenarijai ir nuotolinio failo kopijavimas.

 

Kaip organizacijos gauna naudos iš ATT&CK modelio

Ginkluotos ATT&CK modelio informacija, organizacijos gali pradėti aktyviai kurti savo kibernetinę gynybą. Kai jie aptinka tam tikrą taktiką, naudojamą prieš jų perimetro gynybą, jie gali naudoti matricą, kad paruoštų gynybą potencialiems priešo technikoms arba kitiems žingsniams.

Pagrindinis pranašumas yra aktyvus ATT&CK modelio pobūdis. Visos organizacijos skaitmeniniame amžiuje naudoja tam tikrą kibernetinio saugumo programinę įrangą ir sprendimus. Jie siūlo įvairaus lygio gynybines pozas ir bent jau pagrindinį apsaugos lygį. Tačiau sėkmingo pažeidimo tikimybė yra neišvengiama.

Kad bet kuri organizacija galėtų sėkmingai apsaugoti savo skaitmeninį turtą, ji turi išlikti budri ir stengtis aplenkti savo priešus. Pasak Williamo Barneso, pagrindinis iššūkis yra tai, kad yra daugybė kenkėjiškų veiksmų. Be to, jis paminėjo faktą, kad tiek finansinių paslaugų, tiek sveikatos priežiūros pramonė yra didžiausi subjektai ir todėl sukuria turtingą aplinką priešininkams. „Finansinės paslaugos yra didžiausias ISAC... tačiau sveikatos priežiūra atstovauja masinei bendruomenei, kuri yra daug didesnė suinteresuotųjų šalių atžvilgiu.

 

Bendradarbiavimas yra raktas

Neseniai vykusiame H-ISAC pavasario aukščiausiojo lygio susitikime buvo skambi pagrindinė tema. Darbas kartu kovojant su kibernetinių priešų grėsme yra geriausias kelias į priekį ne tik sveikatos priežiūrai, bet ir visoms pramonės šakoms.

Čia MITER ATT&CK modelis ir H-ISAC (Sveikatos informacijos dalijimosi ir analizės centras) gali pasiekti didžiausią pažangą. Pats modelis suteikia pagrindą, leidžiantį nustatyti taktiką su susijusiomis technikomis. Tačiau tai tik tiek gerai, kiek šiuo metu turima informacija. Jei H-ISAC organizacijos narės dalijasi savo patirtimi, MITER žinių bazė gali būti nuolat atnaujinama atsižvelgiant į naujausias grėsmes.

Dabar organizacijos turi nuoseklią platformą, kuri, pasak Barneso, gali būti gaunama iš minios. Tai reiškia, kad visi subjektai gali pasinaudoti kiekvieno atskiro subjekto patirtimi. Dėl to jie gali toliau kurti aktyvias saugumo priemones, kurios aplenks priešą.

 

Koks yra atskleidimo poveikis

Žinoma, toks atviras dalijimasis informacija taip pat kelia tam tikrų rūpesčių. Kai kurios organizacijos nenori pasidalyti faktu, kad galėjo būti patyrusios pažeidimą, nes tai kenkia jų patikimumui rinkoje. Kai kurie baiminasi, kad kiti subjektai gali būti suvilioti panaudoti šią informaciją prieš savo konkurentus.

Pasak Barneso, H-ISAC ėmėsi šios problemos, naudodamasi neatskleidimo susitarimais nariams. Šios NDA padeda sumažinti susirūpinimą dėl netinkamos informacijos nutekėjimo visuomenei.

Barnesas taip pat pažymėjo, kad dalijimasis informacija nebūtinai yra apie tikrą pažeidimo incidentą. Kai H-ISAC bendradarbiauja su MITRE, dalijamasi informacija yra daugiau apie įtartinos ar kenkėjiškos veiklos nustatymą. Tikslas yra ne rodyti pirštais į tuos, kurie buvo pažeisti, o nustatyti naujas taktikas ir būdus ir pasidalinti jais su bendruomenės nariais visų labui.

 

Pardavėjo įtraukimo privalumai ir trūkumai

Bendradarbiaujančiai bendruomenei ir toliau augant, kibernetinio saugumo pardavėjai pradeda sėsti prie stalo. Šių žaidėjų įtraukimo į laivą pranašumas yra tas, kad jie yra pasinėrę į priešininkų taktiką ir metodus ir gali suteikti H-ISAC narių subjektams tiesioginį vaizdą.

Pasak Barneso, kiekvienas pardavėjas gali susidoroti su įvairiomis taktikomis ir technikomis; tačiau kiekvienas iš jų taip pat linkęs specializuotis tam tikrose srityse. Pritraukę platų pardavėjų asortimentą, H-ISAC nariai ir MITER ATT&CK modelis gali pasinaudoti įvairiomis jų perspektyvomis.

 

Ateitis yra šviesi

Nepaisant visų šiuolaikiniame skaitmeniniame amžiuje kylančių iššūkių, Barnesas išlieka optimistiškas. Vienas didžiausių H-ISAC pavasario aukščiausiojo lygio susitikimo pasiekimų yra atnaujintas įsitikinimas, kad ši H-ISAC kibernetinio saugumo analizės darbo grupė gali nuveikti nuostabių dalykų.

Nuolatinis MITER ATT&CK modelio augimas ir tobulinimas yra puiki galimybė. Galimybė daryti teigiamą poveikį viso sveikatos priežiūros organizacijoms dar niekada nebuvo geresnė. Be to, Barnesas taip pat pažymėjo, kad H-ISAC bendruomenė prioritetu laiko įvairovę ir įtrauktį.

Norėdami gauti daugiau informacijos apie kibernetinio saugumo analizę ir kitas darbo grupes, eikite į https://h-isac.org/committees-working-groups/.

  • Susiję šaltiniai ir naujienos
Kova su kibernetinėmis grėsmėmis kartu su pasauline bendruomene
Didelių duomenų saugumo kontrolės baltoji knyga