Hopp til hovedinnhold

H-ISAC-samarbeid og MITRE ATT&CK-modellen


Bruk av Analytics for proaktivt cyberforsvar i helsevesenet og andre sektorer

 

Ettersom de forskjellige ISAC-ene fortsetter å samle sitt forsvar mot det økende antallet cybertrusler, har MITER revolusjonert sporingen av cybertrusselsetterretning. MITRE ATT&CK-modellen har blitt den globalt anerkjente kunnskapsbasen for motstandstaktikk brukt av dagens høyteknologiske cyberkriminelle.

Selv om dette rammeverket er en utmerket start på å samle inn informasjon om cybertrussel, er det på ingen måte komplett fordi cyberkriminelle stadig utvikler nye taktikker. Fremtiden til dette rammeverket og dets verdi for de ulike informasjonsdelings- og analysesentrene (ISAC) er helt avhengig av en samarbeidstilnærming for kontinuerlig forbedring. Som William Barnes, seniordirektør for sikkerhetsløsninger for Pfizer uttalte nylig: "Vi er alle i dette sammen."

 

Hvordan fungerer ATT&CK-modellen?

ATT&CK-rammeverket gir informasjon for motstridende taktikker, teknikker og felles kunnskap, derav forkortelsen. Denne matrisen er hjernebarnet til MITER Corporation, en ideell organisasjon som er stolt av å løse problemer for en tryggere verden. Deres føderalt finansierte datasentre er globalt tilgjengelige og utfører et bredt utvalg av datadrevet forskningsinnsats, inkludert cybersikkerhet.

ATT&CK-kunnskapsbasen ble startet i 2013 og dokumenterer de vanlige taktikkene og teknikkene som brukes av moderne cybermotstandere. Drivkraften bak etableringen av denne modellen var behovet for å forstå oppførselen til motstandere i motsetning til en tidsforståelse av individuelle taktikker. Det finnes en metode for drift av nettkriminelle, og nøkkelen til å stoppe dem er å nøyaktig forutsi deres neste trekk.

Komponentene i ATT&CK-modellen kan brytes ned i taktikk og teknikker. Taktikken er representativ for "hvorfor" en motstander vil velge å utføre en bestemt handling. Teknikker er "hvordan" en motstander forsøker å oppnå sitt taktiske mål. Kombinasjonen av de to bidrar til å kaste lys over mulig atferd, eller neste skritt, som en nettkriminell kan ta.

ATT&CK-matrisen er den visuelle representasjonen av disse taktikkene og teknikkene. Noen eksempler på taktikk inkluderer utholdenhet, sidebevegelse og oppdagelse. For disse og mange andre taktikker identifiserer matrisen potensielle teknikker som kan brukes for hver. For eksempel har Lateral Movement 17 forskjellige teknikker som er identifisert, for eksempel påloggingsskript og ekstern filkopiering.

 

Hvordan organisasjoner drar nytte av ATT&CK-modellen

Bevæpnet med informasjonen fra ATT&CK-modellen kan organisasjoner begynne å proaktivt bygge sitt cyberforsvar. Når de oppdager visse taktikker som brukes mot perimeterforsvaret deres, kan de bruke matrisen til å forberede forsvar for motstanderens potensielle teknikker, eller neste trinn.

Den primære fordelen er den proaktive naturen til ATT&CK-modellen. Alle organisasjoner i den digitale tidsalderen bruker en eller annen form for cybersikkerhetsprogramvare og -løsninger. De tilbyr varierende nivåer av defensive stillinger og gir i det minste grunnleggende beskyttelsesnivåer. Eventualiteten av et vellykket brudd er imidlertid overhengende.

For at enhver organisasjon skal lykkes med å beskytte sine digitale eiendeler, må de være årvåkne i sine forsøk på å ligge i forkant av sine motstandere. Ifølge William Barnes er hovedutfordringen at det finnes et bredt spekter av ondsinnede aktiviteter. I tillegg siterte han det faktum at både finansnæringen og helsesektoren er de største enhetene og derfor gir et målrikt miljø for motstandere. "Finansielle tjenester er den største ISAC ... men Healthcare representerer et massesamfunn som er langt større når det gjelder interessenter."

 

Samarbeid er nøkkelen

På det nylige H-ISAC Spring Summit var det et rungende sentralt tema. Å jobbe sammen for å bekjempe trusselen fra cybermotstandere er den beste veien videre for ikke bare helsevesenet, men for alle bransjer.

Det er her MITER ATT&CK-modellen og H-ISAC (Health Information Sharing and Analysis Center) kan gjøre de største fremskritt. Selve modellen gir et rammeverk for å identifisere taktikk med tilhørende teknikker. Imidlertid er den bare så god som informasjonen den har for øyeblikket. Ved å la H-ISAC-medlemsorganisasjoner dele sine erfaringer, kan MITER-kunnskapsbasen kontinuerlig oppdateres med de siste truslene.

Organisasjoner har nå en konsistent plattform som, ifølge Barnes, kan hentes fra publikum. Dette betyr at alle enheter kan dra nytte av erfaringene til hver enkelt enhet. Som et resultat kan de fortsette å bygge proaktive sikkerhetstiltak som holder dem foran motstanderen.

 

Hva er virkningene av avsløring

Selvfølgelig vekker denne åpne delingen av informasjon også noen bekymringer. Noen organisasjoner er motvillige til å dele det faktum at de kan ha opplevd et brudd da det skader deres troverdighet på markedet. Noen frykter at andre enheter kan bli lokket til å bruke denne informasjonen mot sine konkurrenter.

I følge Barnes har H-ISAC tatt dette problemet på strak arm gjennom bruk av fortrolighetsavtaler for medlemsenheter. Disse NDAene bidrar til å lindre bekymringene for at upassende informasjon lekkes ut til offentligheten.

Barnes bemerket også at deling av informasjon ikke nødvendigvis handler om en faktisk bruddhendelse. Ved å få H-ISAC til å samarbeide med MITRE, handler informasjonen som deles mer om identifisering av mistenkelig eller ondsinnet aktivitet. Målet er ikke å peke fingre på de som ble brutt, men å identifisere nye taktikker og teknikker og dele dem med medlemmer av fellesskapet til fordel for alle.

 

Fordeler og ulemper ved leverandørinvolvering

Etter hvert som samarbeidsfellesskapet fortsetter å vokse, begynner nettsikkerhetsleverandører å ta plass ved bordet. Fordelen med å ta med disse spillerne om bord er at de er fordypet i taktikken og teknikkene til motstandere og kan bringe et frontlinjesyn til H-ISAC-medlemsenheter.

Ifølge Barnes kan hver leverandør sannsynligvis håndtere spekteret av taktikk og teknikker; Men hver og en har også en tendens til å spesialisere seg på visse områder. Ved å bringe inn et bredt spekter av leverandører, kan H-ISAC-medlemmer og MITER ATT&CK-modellen dra nytte av deres ulike perspektiver.

 

Fremtiden er lys

Til tross for alle utfordringene som finnes i den moderne digitale tidsalderen, er Barnes fortsatt optimistisk. En av hans største fordeler fra H-ISAC Spring Summit er den fornyede troen på at denne H-ISAC Cybersecurity Analytics-arbeidsgruppen kan utrette bemerkelsesverdige ting.

Den fortsatte veksten og utviklingen av MITRE ATT&CK-modellen er en spennende mulighet. Muligheten til å påvirke organisasjoner positivt på tvers av helsespekteret har aldri vært bedre. I tillegg bemerket Barnes også at H-ISAC-samfunnet har gjort mangfold og inkludering til en prioritet.

For mer informasjon om Cybersecurity Analytics og andre arbeidsgrupper, gå til https://h-isac.org/committees-working-groups/.

  • Relaterte ressurser og nyheter