Оди до главна содржина

H-ISAC Collaboration и моделот MITER ATT&CK


Користење на аналитика за проактивна сајбер одбрана во здравството и другите сектори

 

Додека различните ISAC продолжуваат да ја собираат својата одбрана од зголемениот број сајбер закани, МИТЕР направи револуција во следењето на разузнавачките податоци за сајбер закани. Моделот MITER ATT&CK стана глобално призната база на знаење за противнички тактики што ги користат денешните високотехнолошки сајбер криминалци.

Иако оваа рамка е одличен почеток за собирање разузнавачки информации за сајбер закани, таа во никој случај не е комплетна бидејќи сајбер криминалците постојано развиваат нови тактики. Иднината на оваа рамка и нејзината вредност за различните Центри за споделување и анализа на информации (ISAC) целосно зависи од заедничкиот пристап за постојано подобрување. Како што неодамна изјави Вилијам Барнс, виш директор за безбедносни решенија за Pfizer, „Сите сме во ова заедно“.

 

Како работи моделот ATT&CK?

Рамката ATT&CK обезбедува информации за противнички тактики, техники и заедничко знаење, па оттука и кратенката. Оваа матрица е мозочно дете на корпорацијата МИТЕР, непрофитна организација која се гордее со решавање на проблемите заради побезбеден свет. Нивните федерално финансирани центри за податоци се глобално достапни и вршат широк спектар на истражувачки напори водени од податоци, вклучително и сајбер безбедноста.

Започна во 2013 година, базата на знаење ATT&CK ги документира заедничките тактики и техники што ги користат современите сајбер противници. Двигателот зад создавањето на овој модел беше потребата да се разбере однесувањето на противниците наспроти моменталното разбирање на индивидуалните тактики. Постои метод за работа на сајбер-криминалците и клучот за нивно запирање е точно да се предвиди нивниот следен потег.

Компонентите на моделот ATT&CK може да се поделат на тактики и техники. Тактиката е репрезентативна за „зошто“ противникот ќе избере да изврши одредена акција. Техниките се „како“ противникот се обидува да ја постигне својата тактичка цел. Комбинацијата на двете помага да се расветли можните однесувања или следните чекори што може да ги преземе сајбер-криминалецот.

Матрицата ATT&CK е визуелна претстава на овие тактики и техники. Некои примери на тактики вклучуваат истрајност, странично движење и откривање. За овие и многу други тактики, матрицата ги идентификува потенцијалните техники кои би можеле да се користат за секоја од нив. На пример, Латералното движење има 17 различни техники кои се идентификувани како што се скрипти за најавување и далечинско копирање на датотека.

 

Како организациите имаат корист од моделот ATT&CK

Вооружени со информациите од моделот ATT&CK, организациите можат да почнат проактивно да ја градат својата сајбер одбрана. Кога ќе откријат одредени тактики кои се користат против нивната периметарска одбрана, тие можат да ја користат матрицата за да подготват одбрана за потенцијалните техники или следните чекори на противникот.

Примарната придобивка е проактивната природа на моделот ATT&CK. Сите организации во дигиталната ера користат некаква форма на софтвер и решенија за сајбер-безбедност. Тие нудат различни нивоа на одбранбени положби и, во најмала рака, обезбедуваат основни нивоа на заштита. Сепак, евентуалното успешно прекршување е неизбежно.

За секоја организација успешно да ги заштити своите дигитални средства, тие треба да останат будни во напорите да останат пред своите противници. Според Вилијам Барнс, примарен предизвик е тоа што има широк спектар на малициозни активности. Дополнително, тој го наведе фактот дека и финансиските услуги и здравствените индустрии се најголеми субјекти и затоа обезбедуваат целна богата средина за кои би биле противници. „Финансиските услуги се најголемиот ISAC... но Здравството претставува масовна заедница која е далеку поголема во однос на засегнатите страни“.

 

Соработката е клучот

На неодамнешниот пролетен самит на H-ISAC, имаше звучна централна тема. Работењето заедно за борба против заканата од сајбер противниците е најдобриот пат напред не само за здравството, туку и за сите индустрии.

Ова е местото каде што моделот MITER ATT&CK и H-ISAC (Центар за споделување и анализа на здравствени информации) можат да направат најголем напредок. Самиот модел обезбедува рамка за идентификување тактики со придружните техники. Сепак, тоа е исто толку добро како и информациите што ги има моментално. Со тоа што организациите членки на H-ISAC ги споделуваат своите искуства, базата на знаење на MITER може постојано да се ажурира со најновите закани.

Организациите сега имаат конзистентна платформа која, според Барнс, може да се набави од толпата. Ова значи дека сите субјекти можат да имаат корист од искуствата на секој поединечен ентитет. Како резултат на тоа, тие можат да продолжат да градат проактивни безбедносни мерки кои ги држат пред противникот.

 

Кои се влијанијата на обелоденувањето

Се разбира, ова отворено споделување на информации предизвикува и одредени грижи. Некои организации не сакаат да го споделат фактот дека можеби доживеале прекршување бидејќи тоа го повредува нивниот кредибилитет на пазарот. Некои стравуваат дека други субјекти може да бидат намамени да ги користат овие информации против нивните конкуренти.

Според Барнс, H-ISAC го презеде овој проблем директно преку употреба на договори за необјавување за субјектите-членки. Овие НДА помагаат да се ублажат грижите за несоодветните информации кои се протекуваат во јавноста.

Барнс, исто така, истакна дека споделувањето информации не е нужно за вистински инцидент со прекршување. Со тоа што H-ISAC соработува со MITRE, споделените информации се повеќе за идентификација на сомнителни или злонамерни активности. Целта не е да се покажува со прст кон оние што биле прекршени, туку да се идентификуваат нови тактики и техники и да се споделат со членовите на заедницата за доброто на сите.

 

Предности и недостатоци на вклученоста на продавачите

Како што заедницата за соработка продолжува да расте, продавачите на сајбер безбедноста почнуваат да заземаат место на масата. Предноста на вклучувањето на овие играчи е тоа што тие се нурнати во тактиките и техниките на противниците и можат да донесат поглед на првата линија на ентитетите-членки на H-ISAC.

Според Барнс, секој продавач веројатно може да се справи со спектарот на тактики и техники; сепак, секој од нив има тенденција да се специјализира во одредени области. Со внесување на широк опсег на продавачи, членовите на H-ISAC и моделот MITER ATT&CK можат да имаат корист од нивните различни перспективи.

 

Иднината е светла

И покрај сите предизвици што постојат во модерната дигитална ера, Барнс останува оптимист. Еден од неговите најголеми резултати од пролетниот самит на H-ISAC е обновеното верување дека оваа работна група за анализа на сајбер безбедноста на H-ISAC може да постигне извонредни работи.

Постојаниот раст и развој на моделот MITER ATT&CK е возбудлива можност. Можноста позитивно да се влијае на организациите низ здравствениот спектар никогаш не била подобра. Покрај тоа, Барнс, исто така, истакна дека заедницата H-ISAC ги направи различноста и вклучувањето приоритет.

За повеќе информации за Анализата за сајбер безбедност и други работни групи, одете на https://h-isac.org/committees-working-groups/.

  • Поврзани ресурси и вести
Борба против сајбер заканите со глобалната заедница
Бела книга за безбедносни контроли на големи податоци