Ir para o conteúdo principal

Colaboração H-ISAC e o modelo MITRE ATT&CK


Usando Analytics para Defesa Cibernética Proativa em Saúde e outros Setores

 

À medida que os vários ISACs continuam a reunir suas defesas contra o crescente número de ameaças cibernéticas, o MITRE revolucionou o rastreamento de inteligência de ameaças cibernéticas. O MITRE ATT&CK Model se tornou a base de conhecimento globalmente reconhecida para táticas adversárias usadas pelos criminosos cibernéticos de alta tecnologia de hoje.

Embora esta estrutura seja um excelente começo para coletar inteligência de ameaças cibernéticas, ela não está completa porque os criminosos cibernéticos estão constantemente desenvolvendo novas táticas. O futuro desta estrutura e seu valor para os vários Centros de Análise e Compartilhamento de Informações (ISAC) depende totalmente de uma abordagem colaborativa para melhoria contínua. Como William Barnes, Diretor Sênior de Soluções de Segurança da Pfizer declarou recentemente, "Estamos todos juntos nisso".

 

Como funciona o modelo ATT&CK?

A estrutura ATT&CK fornece informações para Adversarial Tactics, Techniques & Common Knowledge, daí a sigla. Esta matriz é fruto do cérebro da MITRE Corporation, uma organização sem fins lucrativos que se orgulha de resolver problemas em prol de um mundo mais seguro. Seus data centers financiados pelo governo federal são globalmente acessíveis e realizam uma ampla variedade de esforços de pesquisa orientados a dados, incluindo segurança cibernética.

Iniciada em 2013, a base de conhecimento ATT&CK documenta as táticas e técnicas comuns que são usadas por adversários cibernéticos modernos. O motivador por trás da criação deste modelo foi a necessidade de entender o comportamento dos adversários em oposição a um ponto no tempo de compreensão de táticas individuais. Existe um método para a operação de criminosos cibernéticos e a chave para detê-los é prever com precisão seu próximo movimento.

Os componentes do modelo ATT&CK podem ser divididos em táticas e técnicas. As táticas são representativas do “porquê” um adversário escolherá executar uma determinada ação. As técnicas são “como” um adversário tenta atingir seu objetivo tático. A combinação dos dois ajuda a lançar luz sobre possíveis comportamentos, ou próximos passos, que um criminoso cibernético pode tomar.

A Matriz ATT&CK é a representação visual dessas táticas e técnicas. Alguns exemplos de táticas incluem Persistência, Movimento Lateral e Descoberta. Para essas e muitas outras táticas, a matriz identifica técnicas potenciais que podem ser usadas para cada uma. Por exemplo, o Movimento Lateral tem 17 técnicas diferentes que foram identificadas, como Scripts de Logon e Cópia Remota de Arquivo.

 

Como as organizações se beneficiam do modelo ATT&CK

Armadas com as informações do Modelo ATT&CK, as organizações podem começar a construir proativamente suas defesas cibernéticas. Quando detectam certas táticas sendo usadas contra suas defesas de perímetro, elas podem usar a matriz para preparar defesas para as técnicas potenciais, ou próximos passos, do adversário.

O principal benefício é a natureza proativa do Modelo ATT&CK. Todas as organizações na era digital estão usando alguma forma de software e soluções de segurança cibernética. Elas oferecem vários níveis de posturas defensivas e, no mínimo, fornecem níveis básicos de proteção. No entanto, a eventualidade de uma violação bem-sucedida é iminente.

Para qualquer organização proteger com sucesso seus ativos digitais, ela precisa permanecer vigilante em seus esforços para ficar à frente de seus adversários. De acordo com William Barnes, o principal desafio é que há uma ampla gama de atividades maliciosas. Além disso, ele citou o fato de que tanto os serviços financeiros quanto os setores de saúde são as maiores entidades e, portanto, fornecem um ambiente rico em alvos para possíveis adversários. “Os serviços financeiros são o maior ISAC… mas a saúde representa uma comunidade de massa que é muito maior em termos de partes interessadas.”

 

Colaboração é a chave

No recente H-ISAC Spring Summit, houve um tema central retumbante. Trabalhar juntos para combater a ameaça de adversários cibernéticos é o melhor caminho a seguir não apenas para a área da saúde, mas para todas as indústrias.

É aqui que o modelo MITRE ATT&CK e o H-ISAC (Health Information Sharing and Analysis Center) podem fazer os maiores avanços. O modelo em si fornece uma estrutura para identificar táticas com técnicas associadas. No entanto, ele é tão bom quanto as informações que ele tem atualmente. Ao fazer com que as organizações membros do H-ISAC compartilhem suas experiências, a base de conhecimento do MITRE pode ser continuamente atualizada com as ameaças mais recentes.

As organizações agora têm uma plataforma consistente que, de acordo com Barnes, pode ser crowdsourcing. Isso significa que todas as entidades podem se beneficiar das experiências de cada entidade individual. Como resultado, elas podem continuar a construir medidas de segurança proativas que as mantenham à frente do adversário.

 

Quais são os impactos da divulgação

Claro, esse compartilhamento aberto de informações também levanta algumas preocupações. Algumas organizações relutam em compartilhar o fato de que podem ter sofrido uma violação, pois isso prejudica sua credibilidade no mercado. Algumas temem que outras entidades possam ser atraídas a usar essas informações contra seus concorrentes.

De acordo com Barnes, o H-ISAC enfrentou esse problema de frente por meio do uso de acordos de Não Divulgação para entidades membros. Esses NDAs ajudam a aliviar as preocupações de informações inapropriadas vazando para o público.

Barnes também observou que o compartilhamento de informações não é necessariamente sobre um incidente de violação real. Ao ter o H-ISAC colaborando com o MITRE, as informações compartilhadas são mais sobre a identificação de atividades suspeitas ou maliciosas. O objetivo não é apontar o dedo para aqueles que foram violados, mas identificar novas táticas e técnicas e compartilhá-las com os membros da comunidade para o benefício de todos.

 

Vantagens e desvantagens do envolvimento do fornecedor

À medida que a comunidade colaborativa continua a crescer, os fornecedores de segurança cibernética estão começando a tomar um assento à mesa. A vantagem de trazer esses jogadores a bordo é que eles estão imersos nas táticas e técnicas dos adversários e podem trazer uma visão de linha de frente para as entidades membros do H-ISAC.

De acordo com Barnes, cada fornecedor provavelmente pode lidar com o espectro de táticas e técnicas; no entanto, cada um também tende a se especializar em certas áreas. Ao trazer uma ampla gama de fornecedores, os membros do H-ISAC e o MITRE ATT&CK Model podem se beneficiar de suas várias perspectivas.

 

O futuro é brilhante

Apesar de todos os desafios que existem na era digital moderna, Barnes continua otimista. Uma das suas maiores conclusões do H-ISAC Spring Summit é a crença renovada de que este grupo de trabalho H-ISAC Cybersecurity Analytics pode realizar coisas notáveis.

O crescimento e desenvolvimento contínuos do modelo MITRE ATT&CK são uma oportunidade empolgante. A possibilidade de impactar positivamente organizações em todo o espectro de assistência médica nunca foi tão boa. Além disso, Barnes também observou que a comunidade H-ISAC fez da diversidade e inclusão uma prioridade.

Para obter mais informações sobre o Cybersecurity Analytics e outros grupos de trabalho, acesse https://h-isac.org/committees-working-groups/.

  • Recursos e notícias relacionados
Combatendo ameaças cibernéticas com uma comunidade global
Whitepaper sobre controles de segurança de Big Data