Hoppa till huvudinnehåll

H-ISAC-samarbete och MITRE ATT&CK-modellen


Använda Analytics för proaktivt cyberförsvar inom hälso- och sjukvård och andra sektorer

 

När de olika ISAC:erna fortsätter att samla sina försvar mot det växande antalet cyberhot, har MITER revolutionerat spårningen av cyberhotsunderrättelser. MITER ATT&CK-modellen har blivit den globalt erkända kunskapsbasen för kontradiktoriska taktiker som används av dagens högteknologiska cyberbrottslingar.

Även om detta ramverk är en utmärkt start på att samla in information om cyberhot, är det inte på något sätt komplett eftersom cyberbrottslingar ständigt utvecklar nya taktiker. Framtiden för detta ramverk och dess värde för de olika informationsdelnings- och analyscentren (ISAC) är helt beroende av en samarbetsstrategi för ständiga förbättringar. Som William Barnes, Senior Director of Security Solutions för Pfizer nyligen sa: "Vi är alla i det här tillsammans."

 

Hur fungerar ATT&CK-modellen?

ATT&CK-ramverket tillhandahåller information för Adversarial Tactics, Techniques & Common Knowledge, därav akronymen. Denna matris är hjärnbarnet till MITER Corporation, en ideell organisation som är stolt över att lösa problem för en säkrare värld. Deras federalt finansierade datacenter är globalt tillgängliga och utför en mängd olika datadrivna forskningsinsatser, inklusive cybersäkerhet.

ATT&CKs kunskapsbas, som startade 2013, dokumenterar de vanliga taktikerna och teknikerna som används av moderna cybermotståndare. Drivkraften bakom skapandet av denna modell var behovet av att förstå motståndarnas beteende i motsats till en tidpunktsförståelse av individuell taktik. Det finns en metod för cyberbrottslingar och nyckeln till att stoppa dem är att exakt förutsäga deras nästa drag.

Komponenterna i ATT&CK-modellen kan delas upp i taktik och tekniker. Taktiken är representativ för "varför" en motståndare väljer att utföra en viss handling. Tekniker är "hur" en motståndare försöker uppnå sitt taktiska mål. Kombinationen av de två hjälper till att belysa möjliga beteenden, eller nästa steg, som en cyberbrottsling kan ta.

ATT&CK-matrisen är den visuella representationen av dessa taktiker och tekniker. Några exempel på taktik inkluderar Persistens, laterala rörelser och upptäckt. För dessa och många andra taktiker identifierar matrisen potentiella tekniker som kan användas för var och en. Till exempel har Lateral Movement 17 olika tekniker som har identifierats som inloggningsskript och Remote File Copy.

 

Hur organisationer drar nytta av ATT&CK-modellen

Beväpnade med informationen från ATT&CK-modellen kan organisationer börja proaktivt bygga sina cyberförsvar. När de upptäcker att vissa taktiker används mot deras perimeterförsvar, kan de använda matrisen för att förbereda försvar för motståndarens potentiella tekniker, eller nästa steg.

Den främsta fördelen är ATT&CK-modellens proaktiva karaktär. Alla organisationer i den digitala tidsåldern använder någon form av mjukvara och lösningar för cybersäkerhet. De erbjuder olika nivåer av defensiva ställningar och ger åtminstone grundläggande skyddsnivåer. Eventualiteten av ett framgångsrikt brott är dock nära förestående.

För att alla organisationer ska kunna skydda sina digitala tillgångar måste de vara vaksamma i sina ansträngningar att ligga före sina motståndare. Enligt William Barnes är den främsta utmaningen att det finns ett brett utbud av skadliga aktiviteter. Dessutom citerade han det faktum att både de finansiella tjänsterna och sjukvårdsindustrin är de största enheterna och därför tillhandahåller en målrik miljö för skulle vara motståndare. "Finansiella tjänster är den största ISAC... men Healthcare representerar en massgemenskap som är mycket större när det gäller intressenter."

 

Samarbete är nyckeln

Vid H-ISAC-vårtoppmötet nyligen var det ett rungande centralt tema. Att arbeta tillsammans för att bekämpa hotet från cybermotståndare är den bästa vägen framåt för inte bara sjukvården utan för alla branscher.

Det är här MITER ATT&CK-modellen och H-ISAC (Health Information Sharing and Analysis Center) kan göra de största framstegen. Modellen i sig ger ett ramverk för att identifiera taktik med tillhörande tekniker. Den är dock bara så bra som den information den har för närvarande. Genom att låta H-ISAC-medlemsorganisationer dela med sig av sina erfarenheter kan MITER-kunskapsbasen kontinuerligt uppdateras med de senaste hoten.

Organisationer har nu en konsekvent plattform som, enligt Barnes, kan vara crowdsourcing. Detta innebär att alla enheter kan dra nytta av erfarenheterna från varje enskild enhet. Som ett resultat kan de fortsätta att bygga proaktiva säkerhetsåtgärder som håller dem före motståndaren.

 

Vilka är effekterna av avslöjande

Naturligtvis väcker detta öppna informationsutbyte också vissa farhågor. Vissa organisationer är ovilliga att dela det faktum att de kan ha upplevt ett intrång eftersom det skadar deras trovärdighet på marknaden. Vissa fruktar att andra enheter kan lockas att använda denna information mot sina konkurrenter.

Enligt Barnes har H-ISAC tagit detta problem direkt genom användningen av sekretessavtal för medlemsenheter. Dessa NDA:er hjälper till att lindra oron för att olämplig information läcker ut till allmänheten.

Barnes noterade också att informationsutbytet inte nödvändigtvis handlar om en faktisk intrångsincident. Genom att låta H-ISAC samarbeta med MITRE handlar informationen som delas mer om identifiering av misstänkt eller skadlig aktivitet. Målet är inte att peka fingrar åt dem som överträtts, utan att identifiera nya taktiker och tekniker och dela dem med medlemmar i samhället till gagn för alla.

 

Fördelar och nackdelar med leverantörsengagemang

När samarbetsgemenskapen fortsätter att växa, börjar cybersäkerhetsleverantörer ta plats vid bordet. Fördelen med att ta med dessa spelare ombord är att de är fördjupade i motståndarnas taktik och tekniker och kan ge H-ISAC-medlemsenheter en frontlinjesyn.

Enligt Barnes kan varje leverantör troligen hantera spektrumet av taktik och tekniker; var och en tenderar dock att specialisera sig inom vissa områden. Genom att ta in ett brett utbud av leverantörer kan H-ISAC-medlemmar och MITER ATT&CK-modellen dra nytta av deras olika perspektiv.

 

Framtiden är ljus

Trots alla utmaningar som finns i den moderna digitala tidsåldern är Barnes fortfarande optimistisk. En av hans största fördelar från H-ISAC Spring Summit är den förnyade övertygelsen om att denna H-ISAC Cybersecurity Analytics-arbetsgrupp kan åstadkomma anmärkningsvärda saker.

Den fortsatta tillväxten och utvecklingen av MITER ATT&CK-modellen är en spännande möjlighet. Möjligheten att positivt påverka organisationer över hela sjukvårdsspektrumet har aldrig varit bättre. Dessutom noterade Barnes också att H-ISAC-gemenskapen har gjort mångfald och inkludering till en prioritet.

För mer information om Cybersecurity Analytics och andra arbetsgrupper, gå till https://h-isac.org/committees-working-groups/.

  • Relaterade resurser och nyheter
Bekämpa cyberhot med ett globalt samhälle
Big Data Security Controls Whitepaper