Ga naar hoofdinhoud

H-ISAC-samenwerking en het MITRE ATT&CK-model


Het gebruik van Analytics voor proactieve cyberverdediging in de gezondheidszorg en andere sectoren

 

Terwijl de verschillende ISAC's hun verdediging blijven verenigen tegen het groeiende aantal cyberbedreigingen, heeft MITRE de tracking van cyberbedreigingsinformatie gerevolutioneerd. Het MITRE ATT&CK-model is de wereldwijd erkende kennisbank geworden voor vijandige tactieken die worden gebruikt door de hightech cybercriminelen van vandaag.

Hoewel dit raamwerk een uitstekend begin is voor het verzamelen van cyberdreigingsinformatie, is het zeker niet compleet omdat cybercriminelen voortdurend nieuwe tactieken ontwikkelen. De toekomst van dit raamwerk en de waarde ervan voor de verschillende Information Sharing and Analysis Centers (ISAC) is volledig afhankelijk van een gezamenlijke aanpak voor continue verbetering. Zoals William Barnes, Senior Director of Security Solutions voor Pfizer onlangs zei: "We zitten hier allemaal samen in."

 

Hoe werkt het ATT&CK-model?

Het ATT&CK-framework biedt informatie voor Adversarial Tactics, Techniques & Common Knowledge, vandaar het acroniem. Deze matrix is ​​het geesteskind van de MITRE Corporation, een non-profitorganisatie die er trots op is problemen op te lossen ten behoeve van een veiligere wereld. Hun federaal gefinancierde datacenters zijn wereldwijd toegankelijk en voeren een breed scala aan datagedreven onderzoeksinspanningen uit, waaronder cybersecurity.

De ATT&CK-kennisbank, die in 2013 werd gestart, documenteert de gangbare tactieken en technieken die door moderne cybertegenstanders worden gebruikt. De drijfveer achter de creatie van dit model was de behoefte om het gedrag van tegenstanders te begrijpen in plaats van een punt-in-de-tijd-begrip van individuele tactieken. Er is een methode voor de werking van cybercriminelen en de sleutel tot het stoppen ervan is om hun volgende zet nauwkeurig te voorspellen.

De componenten van het ATT&CK-model kunnen worden onderverdeeld in tactieken en technieken. De tactieken zijn representatief voor "waarom" een tegenstander ervoor kiest om een ​​bepaalde actie uit te voeren. Technieken zijn "hoe" een tegenstander probeert om zijn tactische doel te bereiken. De combinatie van de twee helpt om licht te werpen op mogelijk gedrag, of volgende stappen, die een cybercrimineel kan nemen.

De ATT&CK Matrix is ​​de visuele weergave van deze tactieken en technieken. Enkele voorbeelden van tactieken zijn Persistence, Lateral Movement en Discovery. Voor deze en vele andere tactieken identificeert de matrix potentiële technieken die voor elk gebruikt kunnen worden. Bijvoorbeeld, Lateral Movement heeft 17 verschillende technieken die geïdentificeerd zijn zoals Logon Scripts en Remote File Copy.

 

Hoe organisaties profiteren van het ATT&CK-model

Gewapend met de informatie van het ATT&CK-model kunnen organisaties proactief beginnen met het bouwen van hun cyberverdediging. Wanneer ze detecteren dat bepaalde tactieken worden gebruikt tegen hun perimeterverdediging, kunnen ze de matrix gebruiken om verdedigingen voor te bereiden op de potentiële technieken of volgende stappen van de tegenstander.

Het belangrijkste voordeel is de proactieve aard van het ATT&CK-model. Alle organisaties in het digitale tijdperk gebruiken een vorm van cybersecuritysoftware en -oplossingen. Ze bieden verschillende niveaus van defensieve houdingen en bieden op zijn minst basisniveaus van bescherming. De eventualiteit van een succesvolle inbreuk is echter nabij.

Om hun digitale activa succesvol te beschermen, moeten organisaties waakzaam blijven in hun pogingen om hun tegenstanders voor te blijven. Volgens William Barnes is de grootste uitdaging dat er een breed scala aan kwaadaardige activiteiten is. Daarnaast noemde hij het feit dat zowel de financiële dienstverlening als de gezondheidszorg de grootste entiteiten zijn en daarom een ​​doelwitrijke omgeving vormen voor potentiële tegenstanders. "Financiële dienstverlening is de grootste ISAC... maar gezondheidszorg vertegenwoordigt een massagemeenschap die veel groter is in termen van belanghebbenden."

 

Samenwerking is de sleutel

Tijdens de recente H-ISAC Spring Summit was er een doorslaand centraal thema. Samenwerken om de dreiging van cybertegenstanders te bestrijden is de beste weg vooruit, niet alleen voor de gezondheidszorg, maar voor alle sectoren.

Dit is waar het MITRE ATT&CK-model en H-ISAC (Health Information Sharing and Analysis Center) de grootste stappen kunnen maken. Het model zelf biedt een raamwerk voor het identificeren van tactieken met bijbehorende technieken. Het is echter alleen zo goed als de informatie die het momenteel heeft. Door H-ISAC-lidorganisaties hun ervaringen te laten delen, kan de MITRE-kennisbank voortdurend worden bijgewerkt met de nieuwste bedreigingen.

Organisaties hebben nu een consistent platform dat, volgens Barnes, crowdsourced kan worden. Dit betekent dat alle entiteiten kunnen profiteren van de ervaringen van elke afzonderlijke entiteit. Als gevolg hiervan kunnen ze doorgaan met het bouwen van proactieve beveiligingsmaatregelen die hen een voorsprong op de tegenstander geven.

 

Wat zijn de gevolgen van openbaarmaking?

Natuurlijk roept dit open delen van informatie ook wat zorgen op. Sommige organisaties aarzelen om het feit te delen dat ze mogelijk een inbreuk hebben meegemaakt, omdat het hun geloofwaardigheid op de markt schaadt. Sommigen vrezen dat andere entiteiten verleid kunnen worden om deze informatie tegen hun concurrenten te gebruiken.

Volgens Barnes heeft H-ISAC dit probleem rechtstreeks aangepakt door het gebruik van geheimhoudingsverklaringen voor aangesloten entiteiten. Deze geheimhoudingsverklaringen helpen de zorgen weg te nemen dat ongepaste informatie naar het publiek wordt gelekt.

Barnes merkte ook op dat het delen van informatie niet per se gaat over een daadwerkelijk inbreukincident. Door H-ISAC te laten samenwerken met MITRE, gaat de gedeelde informatie meer over het identificeren van verdachte of kwaadaardige activiteiten. Het doel is niet om de vinger te wijzen naar degenen die zijn geschonden, maar om nieuwe tactieken en technieken te identificeren en deze te delen met leden van de community ten behoeve van iedereen.

 

Voordelen en nadelen van leveranciersbetrokkenheid

Naarmate de collaboratieve community blijft groeien, beginnen cybersecurity-leveranciers een plek aan tafel te krijgen. Het voordeel van het aan boord halen van deze spelers is dat ze ondergedompeld zijn in de tactieken en technieken van tegenstanders en een frontlinie-visie kunnen bieden aan H-ISAC-lidentiteiten.

Volgens Barnes kan elke leverancier waarschijnlijk het hele spectrum aan tactieken en technieken aan; maar ze specialiseren zich ook allemaal in bepaalde gebieden. Door een breed scala aan leveranciers binnen te halen, kunnen H-ISAC-leden en het MITRE ATT&CK-model profiteren van hun verschillende perspectieven.

 

De toekomst is helder

Ondanks alle uitdagingen die er zijn in het moderne digitale tijdperk, blijft Barnes optimistisch. Een van zijn grootste inzichten van de H-ISAC Spring Summit is het hernieuwde geloof dat deze H-ISAC Cybersecurity Analytics-werkgroep opmerkelijke dingen kan bereiken.

De voortdurende groei en ontwikkeling van het MITRE ATT&CK-model is een opwindende kans. De mogelijkheid om organisaties in het hele gezondheidszorgspectrum positief te beïnvloeden is nog nooit zo groot geweest. Daarnaast merkte Barnes ook op dat de H-ISAC-community diversiteit en inclusie tot een prioriteit heeft gemaakt.

Voor meer informatie over Cybersecurity Analytics en andere werkgroepen, ga naar https://h-isac.org/committees-working-groups/.

  • Gerelateerde bronnen en nieuws
Cyberdreigingen bestrijden met een wereldwijde gemeenschap
Whitepaper over Big Data-beveiligingscontroles