Przejdź do głównej zawartości

Współpraca H-ISAC i model MITRE ATT&CK


Wykorzystanie analityki do proaktywnej cyberobrony w opiece zdrowotnej i innych sektorach

 

Podczas gdy różne ISAC-i nadal gromadzą swoje środki obrony przed rosnącą liczbą cyberzagrożeń, MITRE zrewolucjonizował śledzenie informacji wywiadowczych o cyberzagrożeniach. Model MITRE ATT&CK stał się globalnie uznaną bazą wiedzy dla taktyk adwersarskich stosowanych przez dzisiejszych cyberprzestępców high-tech.

Chociaż te ramy są doskonałym początkiem gromadzenia informacji o zagrożeniach cybernetycznych, nie są one w żadnym wypadku kompletne, ponieważ cyberprzestępcy nieustannie opracowują nowe taktyki. Przyszłość tych ram i ich wartość dla różnych Centrów Udostępniania i Analizowania Informacji (ISAC) w pełni zależą od podejścia opartego na współpracy w celu ciągłego doskonalenia. Jak niedawno stwierdził William Barnes, starszy dyrektor ds. rozwiązań bezpieczeństwa w firmie Pfizer, „Jesteśmy w tym wszyscy razem”.

 

Jak działa model ATT&CK?

Struktura ATT&CK dostarcza informacji na temat Adversarial Tactics, Techniques & Common Knowledge, stąd akronim. Ta macierz jest pomysłem MITRE Corporation, organizacji non-profit, która szczyci się rozwiązywaniem problemów w imię bezpieczniejszego świata. Ich finansowane przez rząd federalny centra danych są dostępne globalnie i wykonują szeroki zakres badań opartych na danych, w tym cyberbezpieczeństwo.

Baza wiedzy ATT&CK, która powstała w 2013 r., dokumentuje powszechne taktyki i techniki stosowane przez współczesnych cyberprzeciwników. Siłą napędową stworzenia tego modelu była potrzeba zrozumienia zachowań przeciwników w przeciwieństwie do zrozumienia poszczególnych taktyk w danym momencie. Istnieje metoda działania cyberprzestępców, a kluczem do ich zatrzymania jest dokładne przewidzenie ich następnego ruchu.

Składniki modelu ATT&CK można podzielić na taktyki i techniki. Taktyki są reprezentatywne dla „dlaczego” przeciwnik zdecyduje się wykonać określone działanie. Techniki są „jak” przeciwnik próbuje osiągnąć swój cel taktyczny. Połączenie tych dwóch pomaga rzucić światło na możliwe zachowania lub kolejne kroki, jakie może podjąć cyberprzestępca.

Matryca ATT&CK jest wizualną reprezentacją tych taktyk i technik. Niektóre przykłady taktyk obejmują Persistence, Lateral Movement i Discovery. W przypadku tych i wielu innych taktyk matryca identyfikuje potencjalne techniki, które można wykorzystać dla każdej z nich. Na przykład Lateral Movement ma 17 różnych technik, które zostały zidentyfikowane, takich jak Logon Scripts i Remote File Copy.

 

Jakie korzyści organizacje czerpią z modelu ATT&CK

Uzbrojone w informacje z modelu ATT&CK organizacje mogą zacząć proaktywnie budować swoje cyberobrony. Gdy wykryją pewne taktyki stosowane przeciwko ich obronie obwodowej, mogą użyć macierzy, aby przygotować obronę na potencjalne techniki lub kolejne kroki przeciwnika.

Podstawową korzyścią jest proaktywny charakter modelu ATT&CK. Wszystkie organizacje w erze cyfrowej korzystają z jakiejś formy oprogramowania i rozwiązań cyberbezpieczeństwa. Oferują one różne poziomy postaw obronnych i, co najmniej, zapewniają podstawowe poziomy ochrony. Jednak ewentualność udanego naruszenia jest nieuchronna.

Aby każda organizacja mogła skutecznie chronić swoje zasoby cyfrowe, musi zachować czujność w swoich wysiłkach, aby wyprzedzić swoich przeciwników. Według Williama Barnesa, głównym wyzwaniem jest szeroki zakres złośliwych działań. Ponadto przytoczył fakt, że zarówno sektor usług finansowych, jak i opieki zdrowotnej są największymi podmiotami, a zatem zapewniają środowisko bogate w cele dla potencjalnych przeciwników. „Usługi finansowe są największym ISAC… ale opieka zdrowotna reprezentuje masową społeczność, która jest znacznie większa pod względem interesariuszy”.

 

Współpraca jest kluczem

Na niedawnym szczycie H-ISAC Spring Summit donośnym tematem przewodnim było: Współpraca w walce z zagrożeniem ze strony cyberprzeciwników to najlepsza droga naprzód nie tylko dla opieki zdrowotnej, ale dla wszystkich branż.

To właśnie tutaj model MITRE ATT&CK i H-ISAC (Health Information Sharing and Analysis Center) mogą poczynić największe postępy. Sam model zapewnia ramy do identyfikacji taktyk z powiązanymi technikami. Jednak jest on tak dobry, jak informacje, którymi obecnie dysponuje. Dzięki temu, że organizacje członkowskie H-ISAC dzielą się swoimi doświadczeniami, baza wiedzy MITRE może być stale aktualizowana o najnowsze zagrożenia.

Organizacje mają teraz spójną platformę, która według Barnesa może być pozyskiwana przez społeczność. Oznacza to, że wszystkie podmioty mogą korzystać z doświadczeń każdego pojedynczego podmiotu. W rezultacie mogą nadal budować proaktywne środki bezpieczeństwa, które utrzymują je przed przeciwnikiem.

 

Jakie są skutki ujawnienia informacji

Oczywiście, takie otwarte udostępnianie informacji również budzi pewne obawy. Niektóre organizacje niechętnie dzielą się faktem, że mogły doświadczyć naruszenia, ponieważ szkodzi to ich wiarygodności na rynku. Niektórzy obawiają się, że inne podmioty mogą być skłonne do wykorzystania tych informacji przeciwko swoim konkurentom.

Według Barnesa, H-ISAC podjęło ten problem bezpośrednio, stosując umowy o zachowaniu poufności dla podmiotów członkowskich. Te umowy NDA pomagają złagodzić obawy przed wyciekiem nieodpowiednich informacji do opinii publicznej.

Barnes zauważył również, że udostępnianie informacji niekoniecznie dotyczy faktycznego incydentu naruszenia. Dzięki współpracy H-ISAC z MITRE udostępniane informacje dotyczą raczej identyfikacji podejrzanej lub złośliwej aktywności. Celem nie jest wskazywanie palcami na osoby, które zostały naruszone, ale identyfikacja nowych taktyk i technik oraz dzielenie się nimi z członkami społeczności dla dobra wszystkich.

 

Zalety i wady zaangażowania dostawcy

W miarę jak społeczność współpracujących nadal się rozrasta, dostawcy rozwiązań cyberbezpieczeństwa zaczynają zajmować miejsce przy stole. Zaletą włączenia tych graczy jest to, że są oni zanurzeni w taktyce i technikach przeciwników i mogą wnieść perspektywę frontu do podmiotów członkowskich H-ISAC.

Według Barnesa każdy dostawca prawdopodobnie poradzi sobie ze spektrum taktyk i technik; jednak każdy z nich ma tendencję do specjalizacji w określonych obszarach. Poprzez włączenie szerokiego zakresu dostawców członkowie H-ISAC i MITRE ATT&CK Model mogą skorzystać z ich różnych perspektyw.

 

Przyszłość jest jasna

Pomimo wszystkich wyzwań, jakie istnieją w nowoczesnej erze cyfrowej, Barnes pozostaje optymistą. Jednym z jego największych wniosków z H-ISAC Spring Summit jest odnowione przekonanie, że ta grupa robocza H-ISAC Cybersecurity Analytics może dokonać niezwykłych rzeczy.

Ciągły wzrost i rozwój modelu MITRE ATT&CK to ekscytująca okazja. Możliwość pozytywnego oddziaływania na organizacje w całym spektrum opieki zdrowotnej nigdy nie była lepsza. Ponadto Barnes zauważył również, że społeczność H-ISAC uczyniła różnorodność i inkluzywność priorytetem.

Aby uzyskać więcej informacji na temat Cybersecurity Analytics i innych grup roboczych, przejdź do https://h-isac.org/committees-working-groups/.

  • Powiązane zasoby i wiadomości