Salt la conținutul principal

Colaborarea H-ISAC și modelul MITRE ATT&CK


Utilizarea analizei pentru apărarea cibernetică proactivă în asistența medicală și în alte sectoare

 

Pe măsură ce diferitele ISAC-uri continuă să-și apere apărarea împotriva numărului tot mai mare de amenințări cibernetice, MITRE a revoluționat urmărirea informațiilor despre amenințările cibernetice. Modelul MITRE ATT&CK a devenit baza de cunoștințe recunoscută la nivel global pentru tacticile adverse folosite de criminalii cibernetici de înaltă tehnologie de astăzi.

Deși acest cadru este un început excelent pentru colectarea informațiilor privind amenințările cibernetice, nu este în niciun caz complet, deoarece criminalii cibernetici dezvoltă constant noi tactici. Viitorul acestui cadru și valoarea acestuia pentru diferitele Centre de Partajare și Analiză a Informațiilor (ISAC) depinde pe deplin de o abordare colaborativă a îmbunătățirii continue. După cum a declarat recent William Barnes, director senior al soluțiilor de securitate pentru Pfizer, „Suntem cu toții împreună.”

 

Cum funcționează modelul ATT&CK?

Cadrul ATT&CK oferă informații pentru tactici adverse, tehnici și cunoștințe comune, de unde și acronimul. Această matrice este creierul corporației MITRE, o organizație non-profit care se mândrește cu rezolvarea problemelor de dragul unei lumi mai sigure. Centrele lor de date finanțate de la nivel federal sunt accesibile la nivel global și efectuează o mare varietate de eforturi de cercetare bazate pe date, inclusiv securitatea cibernetică.

Începută în 2013, baza de cunoștințe ATT&CK documentează tacticile și tehnicile comune care sunt utilizate de adversarii cibernetici moderni. Motorul din spatele creării acestui model a fost nevoia de a înțelege comportamentul adversarilor, spre deosebire de înțelegerea punctuală a tacticilor individuale. Există o metodă de operare a infractorilor cibernetici și cheia pentru a-i opri este de a prezice cu exactitate următoarea lor mișcare.

Componentele modelului ATT&CK pot fi împărțite în tactici și tehnici. Tacticile sunt reprezentative pentru „de ce” un adversar va alege să efectueze o anumită acțiune. Tehnicile sunt „cum” încearcă un adversar să-și atingă obiectivul tactic. Combinația celor două ajută la clarificarea posibilelor comportamente sau pașii următori pe care i-ar putea lua un criminal cibernetic.

Matricea ATT&CK este reprezentarea vizuală a acestor tactici și tehnici. Câteva exemple de tactici includ persistența, mișcarea laterală și descoperirea. Pentru acestea și multe alte tactici, matricea identifică tehnici potențiale care ar putea fi utilizate pentru fiecare. De exemplu, Mișcarea laterală are 17 tehnici diferite care au fost identificate, cum ar fi Scripturile de conectare și Copierea fișierelor la distanță.

 

Cum beneficiază organizațiile de pe urma modelului ATT&CK

Înarmate cu informațiile din modelul ATT&CK, organizațiile pot începe să-și construiască în mod proactiv apărarea cibernetică. Când detectează anumite tactici folosite împotriva apărării lor perimetrale, ei pot folosi matricea pentru a pregăti apărarea pentru tehnicile potențiale sau pașii următori ai adversarului.

Beneficiul principal este natura proactivă a modelului ATT&CK. Toate organizațiile din era digitală folosesc o anumită formă de software și soluții de securitate cibernetică. Ele oferă diferite niveluri de posturi defensive și, cel puțin, oferă niveluri de bază de protecție. Cu toate acestea, eventualitatea unei încălcări de succes este iminentă.

Pentru ca orice organizație să își protejeze cu succes activele digitale, trebuie să rămână vigilenți în eforturile lor de a rămâne în fața adversarilor. Potrivit lui William Barnes, principala provocare este că există o gamă largă de activități rău intenționate. În plus, el a menționat faptul că atât industria serviciilor financiare, cât și cea a sănătății sunt cele mai mari entități și, prin urmare, oferă un mediu țintă bogat pentru adversarii care ar putea fi. „Serviciile financiare sunt cel mai mare ISAC... dar asistența medicală reprezintă o comunitate de masă care este mult mai mare în ceea ce privește părțile interesate.”

 

Colaborarea este cheia

La recentul Summit de primăvară H-ISAC, a existat o temă centrală răsunătoare. Lucrul împreună pentru a lupta împotriva amenințării adversarilor cibernetici este cea mai bună cale de urmat nu numai pentru asistența medicală, ci și pentru toate industriile.

Aici modelul MITRE ATT&CK și H-ISAC (Health Information Sharing and Analysis Center) pot face cele mai mari progrese. Modelul în sine oferă un cadru pentru identificarea tacticilor cu tehnici asociate. Cu toate acestea, este doar la fel de bun ca și informațiile pe care le are în prezent. Prin faptul că organizațiile membre H-ISAC își împărtășesc experiențele, baza de cunoștințe MITRE poate fi actualizată continuu cu cele mai recente amenințări.

Organizațiile au acum o platformă consecventă care, potrivit lui Barnes, poate fi adunată. Aceasta înseamnă că toate entitățile pot beneficia de experiențele fiecărei entități individuale. Drept urmare, ei pot continua să construiască măsuri de securitate proactive care să-i mențină înaintea adversarului.

 

Care sunt efectele dezvăluirii

Desigur, acest schimb deschis de informații ridică și unele preocupări. Unele organizații sunt reticente în a împărtăși faptul că ar fi putut experimenta o încălcare, deoarece aceasta le afectează credibilitatea pe piață. Unii se tem că alte entități pot fi atrase să folosească aceste informații împotriva concurenților lor.

Potrivit lui Barnes, H-ISAC a abordat această problemă direct prin utilizarea acordurilor de nedivulgare pentru entitățile membre. Aceste NDA ajută la atenuarea preocupărilor legate de informațiile neadecvate care se scurg către public.

Barnes a mai remarcat că schimbul de informații nu este neapărat despre un incident real de încălcare. Prin faptul că H-ISAC colaborează cu MITRE, informațiile partajate sunt mai mult despre identificarea activităților suspecte sau rău intenționate. Scopul nu este acela de a arăta cu degetul spre cele care au fost încălcate, ci de a identifica noi tactici și tehnici și de a le împărtăși membrilor comunității în beneficiul tuturor.

 

Avantajele și dezavantajele implicării furnizorului

Pe măsură ce comunitatea de colaborare continuă să crească, furnizorii de securitate cibernetică încep să ia loc la masă. Avantajul aducerii acestor jucători la bord este că sunt cufundați în tacticile și tehnicile adversarilor și pot aduce o viziune de primă linie entităților membre H-ISAC.

Potrivit lui Barnes, fiecare furnizor probabil se poate ocupa de spectrul de tactici și tehnici; totuși, fiecare tinde să se specializeze și în anumite domenii. Prin aducerea unei game largi de furnizori, membrii H-ISAC și modelul MITRE ATT&CK pot beneficia de diversele lor perspective.

 

Viitorul este luminos

În ciuda tuturor provocărilor care există în era digitală modernă, Barnes rămâne optimist. Una dintre cele mai mari concluzii ale sale de la H-ISAC Spring Summit este convingerea reînnoită că acest grup de lucru H-ISAC Cybersecurity Analytics poate realiza lucruri remarcabile.

Creșterea și dezvoltarea continuă a modelului MITRE ATT&CK este o oportunitate interesantă. Posibilitatea de a avea un impact pozitiv asupra organizațiilor din spectrul de asistență medicală nu a fost niciodată mai bună. În plus, Barnes a remarcat, de asemenea, că comunitatea H-ISAC a făcut din diversitate și incluziune o prioritate.

Pentru mai multe informații despre Cybersecurity Analytics și alte grupuri de lucru, accesați https://h-isac.org/committees-working-groups/.

  • Resurse și știri conexe
Combaterea amenințărilor cibernetice cu o comunitate globală
Document albă privind controalele de securitate a datelor mari