Sodelovanje H-ISAC in model MITER ATT&CK
Uporaba analitike za proaktivno kibernetsko obrambo v zdravstvu in drugih sektorjih
Medtem ko različni ISAC še naprej krepijo svojo obrambo pred naraščajočim številom kibernetskih groženj, je MITER revolucioniral sledenje obveščevalnih podatkov o kibernetskih grožnjah. Model MITER ATT&CK je postal svetovno priznana baza znanja za kontradiktorne taktike, ki jih uporabljajo današnji visokotehnološki kiber kriminalci.
Čeprav je ta okvir odličen začetek zbiranja podatkov o kibernetskih grožnjah, nikakor ni popoln, saj kibernetski kriminalci nenehno razvijajo nove taktike. Prihodnost tega ogrodja in njegova vrednost za različne centre za izmenjavo informacij in analizo (ISAC) je v celoti odvisna od sodelovalnega pristopa k nenehnim izboljšavam. Kot je nedavno izjavil William Barnes, višji direktor varnostnih rešitev za Pfizer, "vsi smo v tem skupaj."
Kako deluje model ATT&CK?
Ogrodje ATT&CK zagotavlja informacije za kontradiktorne taktike, tehnike in splošno znanje, od tod tudi akronim. Ta matrica je možganski otrok korporacije MITER, neprofitne organizacije, ki se ponaša z reševanjem problemov za varnejši svet. Njihovi podatkovni centri, ki jih financira zvezna država, so globalno dostopni in izvajajo široko paleto raziskav, ki temeljijo na podatkih, vključno s kibernetsko varnostjo.
Baza znanja ATT&CK, ki se je začela leta 2013, dokumentira običajne taktike in tehnike, ki jih uporabljajo sodobni kibernetski nasprotniki. Gonilna sila za ustvarjanje tega modela je bila potreba po razumevanju vedenja nasprotnikov v nasprotju z razumevanjem posameznih taktik v določenem trenutku. Obstaja metoda za delovanje kibernetskih kriminalcev in ključ do njihovega zaustavljanja je natančno predvidevanje njihove naslednje poteze.
Sestavne dele modela ATT&CK lahko razdelimo na taktike in tehnike. Taktika predstavlja "zakaj" se bo nasprotnik odločil izvesti določeno dejanje. Tehnike so "kako" poskuša nasprotnik doseči svoj taktični cilj. Kombinacija obeh pomaga osvetliti možna vedenja ali naslednje korake, ki bi jih lahko sprejel kibernetski kriminalec.
Matrika ATT&CK je vizualna predstavitev teh taktik in tehnik. Nekateri primeri taktik vključujejo vztrajnost, bočno gibanje in odkritje. Za te in mnoge druge taktike matrika identificira možne tehnike, ki bi jih lahko uporabili za vsako. Na primer, Lateral Movement ima 17 različnih tehnik, ki so bile identificirane, kot so prijavni skripti in oddaljeno kopiranje datoteke.
Kako imajo organizacije koristi od modela ATT&CK
Oborožene s podatki iz modela ATT&CK lahko organizacije začnejo proaktivno graditi svojo kibernetsko obrambo. Ko zaznajo določene taktike, ki se uporabljajo proti obrambi njihovega perimetra, lahko uporabijo matriko za pripravo obrambe za potencialne tehnike ali naslednje korake nasprotnika.
Glavna prednost je proaktivna narava modela ATT&CK. Vse organizacije v digitalni dobi uporabljajo neko obliko programske opreme in rešitev za kibernetsko varnost. Ponujajo različne ravni obrambne drže in zagotavljajo vsaj osnovno raven zaščite. Vendar pa je možnost uspešne kršitve neizbežna.
Da bi katera koli organizacija uspešno zaščitila svoja digitalna sredstva, mora ostati pozorna pri svojih prizadevanjih, da ostane pred svojimi nasprotniki. Po mnenju Williama Barnesa je glavni izziv, da obstaja širok spekter zlonamernih dejavnosti. Poleg tega je navedel dejstvo, da sta panogi finančnih storitev in zdravstvenega varstva največji entiteti in zato nudita ciljno bogato okolje za morebitne nasprotnike. "Finančne storitve so največji ISAC ... toda zdravstvo predstavlja množično skupnost, ki je veliko večja v smislu deležnikov."
Sodelovanje je ključ
Na nedavnem spomladanskem vrhu H-ISAC je bila odmevna osrednja tema. Skupno delo v boju proti grožnjam kibernetskih nasprotnikov je najboljša pot naprej ne le za zdravstvo, ampak za vse industrije.
Tu lahko model MITER ATT&CK in H-ISAC (Center za izmenjavo in analizo zdravstvenih informacij) naredita največji korak. Sam model zagotavlja okvir za prepoznavanje taktike s pripadajočimi tehnikami. Vendar pa je dober le toliko, kolikor so dobri podatki, ki jih trenutno ima. Če organizacije članice H-ISAC delijo svoje izkušnje, se lahko baza znanja MITER nenehno posodablja z najnovejšimi grožnjami.
Organizacije imajo zdaj dosledno platformo, ki jo je po Barnesovih besedah mogoče pridobiti iz množic. To pomeni, da lahko vse entitete izkoristijo izkušnje vsake posamezne entitete. Posledično lahko še naprej gradijo proaktivne varnostne ukrepe, ki jih držijo pred nasprotnikom.
Kakšni so učinki razkritja
Seveda pa ta odprta izmenjava informacij vzbuja tudi nekaj skrbi. Nekatere organizacije nerade delijo dejstvo, da so morda doživele kršitev, saj to škodi njihovi verodostojnosti na trgu. Nekateri se bojijo, da bi lahko druge subjekte premamili, da bi te podatke uporabili proti svojim konkurentom.
Po besedah Barnesa se je H-ISAC lotil tega problema z uporabo sporazumov o nerazkritju podatkov za članske subjekte. Te pogodbe o nerazkrivanju podatkov pomagajo ublažiti pomisleke, da bi neprimerne informacije pricurljale v javnost.
Barnes je tudi opozoril, da pri izmenjavi informacij ne gre nujno za dejanski incident kršitve. Ker H-ISAC sodeluje z MITRE, so informacije v skupni rabi bolj namenjene prepoznavanju sumljive ali zlonamerne dejavnosti. Cilj ni kazati s prstom na tiste, ki so bili kršeni, ampak identificirati nove taktike in tehnike ter jih deliti s člani skupnosti v dobro vseh.
Prednosti in slabosti vključevanja prodajalca
Ko sodelovalna skupnost še naprej raste, se prodajalci kibernetske varnosti začenjajo uveljavljati za mizo. Prednost vključevanja teh igralcev je, da so potopljeni v taktike in tehnike nasprotnikov in lahko subjektom članom H-ISAC prinesejo prvi pogled.
Po Barnesu lahko vsak prodajalec verjetno obvlada spekter taktik in tehnik; vendar se vsak nagiba tudi k specializaciji na določenih področjih. Z vključitvijo širokega nabora prodajalcev lahko člani H-ISAC in model MITER ATT&CK izkoristijo svoje različne perspektive.
Prihodnost je svetla
Kljub vsem izzivom, ki obstajajo v sodobni digitalni dobi, Barnes ostaja optimističen. Eden njegovih največjih zaključkov spomladanskega vrha H-ISAC je ponovno prepričanje, da lahko ta delovna skupina H-ISAC za analizo kibernetske varnosti doseže izjemne stvari.
Nadaljnja rast in razvoj modela MITER ATT&CK je vznemirljiva priložnost. Možnost pozitivnega vpliva na organizacije v celotnem zdravstvenem spektru še nikoli ni bila boljša. Poleg tega je Barnes tudi opozoril, da je skupnost H-ISAC raznolikost in vključenost postavila za prednostno nalogo.
Za več informacij o analitiki kibernetske varnosti in drugih delovnih skupinah pojdite na https://h-isac.org/committees-working-groups/.
- Sorodni viri in novice