Prejsť k hlavnému obsahu

H-ISAC Collaboration a MITER ATT&CK Model


Používanie nástroja Analytics na proaktívnu kybernetickú obranu v zdravotníctve a iných sektoroch

 

Keďže rôzne ISAC naďalej zhromažďujú svoju obranu proti rastúcemu počtu kybernetických hrozieb, MITER spôsobil revolúciu v sledovaní informácií o kybernetických hrozbách. Model MITER ATT&CK sa stal celosvetovo uznávanou vedomostnou základňou pre taktiku protivníka, ktorú používajú dnešní špičkoví kybernetickí zločinci.

Aj keď je tento rámec vynikajúcim začiatkom zhromažďovania informácií o kybernetických hrozbách, v žiadnom prípade nie je úplný, pretože počítačoví zločinci neustále vyvíjajú nové taktiky. Budúcnosť tohto rámca a jeho hodnota pre rôzne centrá pre zdieľanie a analýzu informácií (ISAC) plne závisí od spoločného prístupu k neustálemu zlepšovaniu. Ako nedávno uviedol William Barnes, hlavný riaditeľ bezpečnostných riešení spoločnosti Pfizer: „Sme v tom všetci spoločne.“

 

Ako funguje model ATT&CK?

Rámec ATT&CK poskytuje informácie pre Adversarial Tactics, Techniques & Common Knowledge, odtiaľ skratka. Táto matrica je mozgom MITER Corporation, neziskovej organizácie, ktorá sa pýši riešením problémov v záujme bezpečnejšieho sveta. Ich federálne financované dátové centrá sú celosvetovo dostupné a vykonávajú širokú škálu výskumných snáh založených na údajoch vrátane kybernetickej bezpečnosti.

Znalostná základňa ATT&CK, ktorá sa začala v roku 2013, dokumentuje bežné taktiky a techniky, ktoré používajú moderní kybernetickí protivníci. Hnacou silou za vytvorením tohto modelu bola potreba porozumieť správaniu protivníkov v protiklade k časovému pochopeniu individuálnych taktík. Existuje spôsob fungovania kyberzločincov a kľúčom k ich zastaveniu je presne predpovedať ich ďalší krok.

Komponenty modelu ATT&CK je možné rozdeliť na taktiku a techniku. Taktika predstavuje „prečo“ sa protivník rozhodne vykonať určitú akciu. Techniky sú „ako“ sa protivník pokúša dosiahnuť svoj taktický cieľ. Kombinácia týchto dvoch pomáha objasniť možné správanie alebo ďalšie kroky, ktoré môže kyberzločinec podniknúť.

ATT&CK Matrix je vizuálnou reprezentáciou týchto taktík a techník. Niektoré príklady taktiky zahŕňajú vytrvalosť, bočný pohyb a objavovanie. Pre tieto a mnohé ďalšie taktiky matica identifikuje potenciálne techniky, ktoré by sa dali použiť pre každú z nich. Napríklad bočný pohyb má 17 rôznych techník, ktoré boli identifikované, ako sú prihlasovacie skripty a vzdialené kopírovanie súborov.

 

Ako organizácie profitujú z modelu ATT&CK

Vyzbrojené informáciami z modelu ATT&CK môžu organizácie začať proaktívne budovať svoju kybernetickú obranu. Keď zistia určité taktiky používané proti ich obvodovej obrane, môžu použiť matricu na prípravu obrany pre potenciálne techniky alebo ďalšie kroky protivníka.

Primárnou výhodou je proaktívny charakter modelu ATT&CK. Všetky organizácie v digitálnom veku používajú určitú formu softvéru a riešení v oblasti kybernetickej bezpečnosti. Ponúkajú rôzne úrovne obranných pozícií a prinajmenšom poskytujú základnú úroveň ochrany. Hrozí však možnosť úspešného porušenia.

Ak má každá organizácia úspešne chrániť svoje digitálne aktíva, musí byť ostražitá vo svojom úsilí udržať si náskok pred svojimi protivníkmi. Podľa Williama Barnesa je hlavnou výzvou to, že existuje široká škála škodlivých aktivít. Okrem toho uviedol skutočnosť, že finančné služby a zdravotníctvo sú najväčšími subjektmi, a preto poskytujú cieľové bohaté prostredie pre protivníkov. "Finančné služby sú najväčším ISAC, ale zdravotníctvo predstavuje masovú komunitu, ktorá je oveľa väčšia, pokiaľ ide o zainteresované strany."

 

Kľúčom je spolupráca

Na nedávnom jarnom summite H-ISAC bola zvučná ústredná téma. Spolupráca v boji proti hrozbe kybernetických protivníkov je najlepšou cestou vpred nielen pre zdravotníctvo, ale pre všetky odvetvia.

Práve tu môžu model MITER ATT&CK a H-ISAC (Centrum pre zdieľanie a analýzu zdravotných informácií) dosiahnuť najväčší pokrok. Samotný model poskytuje rámec na identifikáciu taktiky s pridruženými technikami. Je však len taká dobrá, ako sú informácie, ktoré v súčasnosti má. Tým, že členské organizácie H-ISAC zdieľajú svoje skúsenosti, môže byť vedomostná základňa MITER neustále aktualizovaná o najnovšie hrozby.

Organizácie majú teraz konzistentnú platformu, ktorú podľa Barnesa možno získavať z davu. To znamená, že všetky subjekty môžu ťažiť zo skúseností každého jedného subjektu. Vďaka tomu môžu pokračovať v budovaní proaktívnych bezpečnostných opatrení, ktoré ich udržia pred protivníkom.

 

Aké sú dopady zverejnenia

Samozrejme, toto otvorené zdieľanie informácií vyvoláva aj určité obavy. Niektoré organizácie sa zdráhajú zdieľať skutočnosť, že mohli zažiť porušenie, pretože to poškodzuje ich dôveryhodnosť na trhu. Niektorí sa obávajú, že iné subjekty môžu byť zlákané použiť tieto informácie proti svojim konkurentom.

Podľa Barnesa sa H-ISAC chopil tohto problému pomocou dohôd o mlčanlivosti pre členské subjekty. Tieto NDA pomáhajú zmierniť obavy z úniku nevhodných informácií na verejnosť.

Barnes tiež poznamenal, že zdieľanie informácií nie je nevyhnutne o skutočnom incidente narušenia. Tým, že H-ISAC spolupracuje s MITRE, zdieľané informácie sú skôr o identifikácii podozrivej alebo škodlivej aktivity. Cieľom nie je ukazovať prstom na tie, ktoré boli porušené, ale identifikovať nové taktiky a techniky a zdieľať ich s členmi komunity v prospech všetkých.

 

Výhody a nevýhody zapojenia predajcov

Spolupracujúca komunita sa neustále rozrastá a dodávatelia kybernetickej bezpečnosti si začínajú sadnúť za stôl. Výhodou zapojenia týchto hráčov je, že sú ponorení do taktiky a techník protivníkov a môžu priniesť pohľad z prvej línie na členské entity H-ISAC.

Podľa Barnesa každý predajca pravdepodobne zvládne široké spektrum taktík a techník; každý má však tendenciu sa špecializovať na určité oblasti. Privedením širokej škály predajcov môžu členovia H-ISAC a model MITER ATT&CK profitovať z ich rôznych perspektív.

 

Budúcnosť je svetlá

Napriek všetkým výzvam, ktoré v modernom digitálnom veku existujú, zostáva Barnes optimistom. Jedným z jeho najväčších poznatkov z jarného summitu H-ISAC je obnovené presvedčenie, že táto pracovná skupina H-ISAC Cybersecurity Analytics dokáže dosiahnuť pozoruhodné veci.

Neustály rast a vývoj modelu MITER ATT&CK je vzrušujúcou príležitosťou. Možnosť pozitívne ovplyvniť organizácie v celom spektre zdravotnej starostlivosti nebola nikdy lepšia. Okrem toho Barnes tiež poznamenal, že komunita H-ISAC stanovila rozmanitosť a inklúziu za prioritu.

Viac informácií o Cybersecurity Analytics a ďalších pracovných skupinách nájdete na https://h-isac.org/committees-working-groups/.

  • Súvisiace zdroje a správy
Boj proti kybernetickým hrozbám s globálnou komunitou
Biela kniha o kontrole bezpečnosti veľkých údajov