ความร่วมมือ H-ISAC และโมเดล MITRE ATT&CK
การใช้การวิเคราะห์เพื่อการป้องกันไซเบอร์เชิงรุกในด้านการดูแลสุขภาพและภาคส่วนอื่นๆ
ในขณะที่ ISAC ต่างๆ ยังคงรวบรวมการป้องกันเพื่อรับมือกับภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้น MITRE ได้ปฏิวัติการติดตามข่าวกรองภัยคุกคามทางไซเบอร์ โมเดล ATT&CK ของ MITRE ได้กลายเป็นฐานความรู้ที่ได้รับการยอมรับทั่วโลกสำหรับกลวิธีต่อต้านที่ใช้โดยอาชญากรทางไซเบอร์ไฮเทคในปัจจุบัน
แม้ว่ากรอบงานนี้จะเป็นจุดเริ่มต้นที่ดีเยี่ยมในการรวบรวมข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามทางไซเบอร์ แต่ก็ยังไม่ถือว่าสมบูรณ์แบบ เนื่องจากอาชญากรทางไซเบอร์กำลังพัฒนากลยุทธ์ใหม่ๆ อย่างต่อเนื่อง อนาคตของกรอบงานนี้และคุณค่าของกรอบงานนี้ต่อศูนย์แบ่งปันและวิเคราะห์ข้อมูล (ISAC) ต่างๆ ขึ้นอยู่กับแนวทางการทำงานร่วมกันเพื่อปรับปรุงอย่างต่อเนื่อง ดังที่วิลเลียม บาร์นส์ ผู้อำนวยการอาวุโสฝ่ายโซลูชันความปลอดภัยของไฟเซอร์กล่าวเมื่อไม่นานนี้ว่า "เราทุกคนอยู่ในสถานการณ์นี้ด้วยกัน"
โมเดล ATT&CK ทำงานอย่างไร?
กรอบงาน ATT&CK ให้ข้อมูลสำหรับกลยุทธ์เชิงปฏิปักษ์ เทคนิค และความรู้ทั่วไป ดังนั้นจึงมีคำย่อนี้ เมทริกซ์นี้เป็นผลงานของ MITRE Corporation ซึ่งเป็นองค์กรไม่แสวงหากำไรที่ภาคภูมิใจในการแก้ปัญหาเพื่อประโยชน์ของโลกที่ปลอดภัยยิ่งขึ้น ศูนย์ข้อมูลที่ได้รับทุนจากรัฐบาลกลางสามารถเข้าถึงได้ทั่วโลกและดำเนินการวิจัยที่ขับเคลื่อนด้วยข้อมูลหลากหลายประเภท รวมถึงความปลอดภัยทางไซเบอร์
ฐานข้อมูลความรู้ของ ATT&CK ซึ่งเริ่มต้นในปี 2013 รวบรวมกลวิธีและเทคนิคทั่วไปที่ผู้ต่อต้านทางไซเบอร์ในปัจจุบันใช้ แรงผลักดันเบื้องหลังการสร้างแบบจำลองนี้คือความจำเป็นในการทำความเข้าใจพฤติกรรมของผู้ต่อต้าน แทนที่จะต้องทำความเข้าใจกลวิธีของแต่ละคนในแต่ละช่วงเวลา การทำงานของผู้ก่ออาชญากรรมทางไซเบอร์มีวิธีการ และกุญแจสำคัญในการหยุดยั้งพวกเขาคือการคาดการณ์การเคลื่อนไหวครั้งต่อไปของพวกเขาอย่างแม่นยำ
ส่วนประกอบของโมเดล ATT&CK สามารถแบ่งย่อยออกเป็นกลวิธีและเทคนิค กลวิธีเป็นตัวแทนของ “เหตุผล” ที่ผู้โจมตีจะเลือกดำเนินการบางอย่าง เทคนิคคือ “วิธี” ที่ผู้โจมตีพยายามบรรลุวัตถุประสงค์เชิงกลยุทธ์ การผสมผสานทั้งสองอย่างเข้าด้วยกันจะช่วยให้เข้าใจพฤติกรรมที่เป็นไปได้หรือขั้นตอนต่อไปที่ผู้ก่ออาชญากรรมทางไซเบอร์อาจดำเนินการ
เมทริกซ์ ATT&CK คือการแสดงภาพกลยุทธ์และเทคนิคเหล่านี้ ตัวอย่างกลยุทธ์บางส่วน ได้แก่ Persistence, Lateral Movement และ Discovery สำหรับกลยุทธ์เหล่านี้และกลยุทธ์อื่นๆ อีกมากมาย เมทริกซ์จะระบุเทคนิคที่อาจนำไปใช้กับแต่ละกลยุทธ์ได้ ตัวอย่างเช่น Lateral Movement มีเทคนิคที่แตกต่างกัน 17 แบบที่ได้รับการระบุ เช่น Logon Scripts และ Remote File Copy
องค์กรได้รับประโยชน์จากโมเดล ATT&CK อย่างไร
องค์กรต่างๆ สามารถเริ่มสร้างระบบป้องกันทางไซเบอร์เชิงรุกได้เมื่อมีข้อมูลจากโมเดล ATT&CK เมื่อตรวจพบว่ามีการใช้กลวิธีบางอย่างกับการป้องกันรอบนอก องค์กรสามารถใช้เมทริกซ์เพื่อเตรียมการป้องกันสำหรับเทคนิคที่อาจเกิดขึ้นหรือขั้นตอนต่อไปของฝ่ายตรงข้าม
ประโยชน์หลักคือลักษณะเชิงรุกของโมเดล ATT&CK องค์กรต่างๆ ในยุคดิจิทัลล้วนใช้ซอฟต์แวร์และโซลูชันด้านความปลอดภัยทางไซเบอร์ในรูปแบบใดรูปแบบหนึ่ง ซอฟต์แวร์และโซลูชันเหล่านี้มีมาตรการป้องกันในระดับต่างๆ และอย่างน้อยที่สุดก็ให้การป้องกันในระดับพื้นฐาน อย่างไรก็ตาม โอกาสที่การโจมตีจะประสบความสำเร็จนั้นใกล้จะเกิดขึ้นแล้ว
องค์กรใดก็ตามที่ต้องการปกป้องสินทรัพย์ดิจิทัลของตนได้สำเร็จ จำเป็นต้องเฝ้าระวังความพยายามที่จะก้าวล้ำหน้าศัตรูอยู่เสมอ ตามที่วิลเลียม บาร์นส์กล่าว ความท้าทายหลักคือมีกิจกรรมที่เป็นอันตรายมากมาย นอกจากนี้ เขายังยกตัวอย่างข้อเท็จจริงที่ว่าทั้งอุตสาหกรรมบริการทางการเงินและการดูแลสุขภาพเป็นองค์กรที่ใหญ่ที่สุด และด้วยเหตุนี้จึงสร้างสภาพแวดล้อมที่อุดมสมบูรณ์สำหรับศัตรูที่อาจเกิดขึ้นได้ “บริการทางการเงินเป็น ISAC ที่ใหญ่ที่สุด… แต่การดูแลสุขภาพเป็นตัวแทนของชุมชนขนาดใหญ่ซึ่งมีผู้มีส่วนได้ส่วนเสียมากกว่ามาก”
ความร่วมมือคือกุญแจสำคัญ
ในการประชุม H-ISAC Spring Summit เมื่อเร็วๆ นี้ มีประเด็นสำคัญที่ได้รับความสนใจอย่างมาก นั่นก็คือ การร่วมมือกันต่อสู้กับภัยคุกคามจากผู้ต่อต้านทางไซเบอร์ถือเป็นแนวทางที่ดีที่สุดสำหรับไม่เพียงแต่ด้านการดูแลสุขภาพเท่านั้น แต่รวมถึงทุกอุตสาหกรรมด้วย
นี่คือจุดที่โมเดล MITRE ATT&CK และ H-ISAC (Health Information Sharing and Analysis Center) สามารถก้าวหน้าได้มากที่สุด โมเดลนี้เองเป็นกรอบงานสำหรับการระบุกลยุทธ์ที่มีเทคนิคที่เกี่ยวข้อง อย่างไรก็ตาม โมเดลนี้จะดีได้ก็ต่อเมื่อมีข้อมูลที่มีอยู่ในปัจจุบันเท่านั้น การให้องค์กรสมาชิก H-ISAC แบ่งปันประสบการณ์ของตนจะทำให้ฐานความรู้ของ MITRE สามารถอัปเดตด้วยภัยคุกคามล่าสุดได้อย่างต่อเนื่อง
ปัจจุบัน องค์กรต่างๆ มีแพลตฟอร์มที่สอดคล้องกัน ซึ่งตามที่บาร์นส์กล่าวไว้ว่าสามารถระดมทรัพยากรจากมวลชนได้ ซึ่งหมายความว่าหน่วยงานทั้งหมดสามารถได้รับประโยชน์จากประสบการณ์ของแต่ละหน่วยงานได้ ด้วยเหตุนี้ หน่วยงานต่างๆ จึงสามารถสร้างมาตรการรักษาความปลอดภัยเชิงรุกที่ช่วยให้พวกเขาก้าวล้ำหน้าฝ่ายตรงข้ามได้อย่างต่อเนื่อง
ผลกระทบของการเปิดเผยข้อมูลคืออะไร
แน่นอนว่าการแบ่งปันข้อมูลอย่างเปิดเผยนี้ยังสร้างความกังวลอีกด้วย องค์กรบางแห่งไม่เต็มใจที่จะเปิดเผยข้อเท็จจริงที่ว่าพวกเขาอาจประสบกับการละเมิดเนื่องจากจะส่งผลกระทบต่อความน่าเชื่อถือในตลาด องค์กรบางแห่งกลัวว่าหน่วยงานอื่นอาจถูกชักจูงให้ใช้ข้อมูลนี้เพื่อโจมตีคู่แข่ง
ตามที่บาร์นส์กล่าว H-ISAC ได้ดำเนินการแก้ไขปัญหานี้โดยตรงโดยใช้ข้อตกลงไม่เปิดเผยข้อมูลสำหรับนิติบุคคลสมาชิก ข้อตกลงไม่เปิดเผยข้อมูลเหล่านี้ช่วยบรรเทาความกังวลเกี่ยวกับข้อมูลที่ไม่เหมาะสมที่อาจรั่วไหลออกสู่สาธารณะ
นอกจากนี้ Barnes ยังตั้งข้อสังเกตว่าการแบ่งปันข้อมูลไม่จำเป็นต้องเกี่ยวกับเหตุการณ์การละเมิดที่เกิดขึ้นจริง การให้ H-ISAC ร่วมมือกับ MITRE ทำให้ข้อมูลที่แบ่งปันมีเนื้อหาเกี่ยวกับการระบุกิจกรรมที่น่าสงสัยหรือเป็นอันตรายมากขึ้น เป้าหมายไม่ใช่เพื่อตำหนิผู้ที่ถูกละเมิด แต่เพื่อระบุกลวิธีและเทคนิคใหม่ๆ และแบ่งปันกับสมาชิกในชุมชนเพื่อประโยชน์ของทุกคน
ข้อดีและข้อเสียของการมีส่วนร่วมของผู้ขาย
เนื่องจากชุมชนที่ทำงานร่วมกันเติบโตขึ้นเรื่อยๆ ผู้จำหน่ายด้านความปลอดภัยทางไซเบอร์จึงเริ่มเข้ามามีส่วนร่วม ข้อดีของการนำผู้เล่นเหล่านี้เข้ามาร่วมก็คือ พวกเขาจะได้สัมผัสกับกลวิธีและเทคนิคของฝ่ายตรงข้าม และสามารถนำมุมมองแนวหน้ามาสู่หน่วยงานสมาชิก H-ISAC ได้
ตามที่ Barnes กล่าว ผู้จำหน่ายแต่ละรายน่าจะสามารถจัดการกับกลยุทธ์และเทคนิคต่างๆ ได้ อย่างไรก็ตาม ผู้จำหน่ายแต่ละรายยังมีแนวโน้มที่จะเชี่ยวชาญในบางพื้นที่อีกด้วย โดยการนำผู้จำหน่ายที่หลากหลายเข้ามา สมาชิก H-ISAC และ MITRE ATT&CK Model สามารถได้รับประโยชน์จากมุมมองที่หลากหลายของพวกเขา
อนาคตสดใส
แม้ว่าจะต้องเผชิญกับความท้าทายต่างๆ มากมายในยุคดิจิทัลสมัยใหม่ บาร์นส์ก็ยังคงมองโลกในแง่ดี สิ่งหนึ่งที่เขาได้เรียนรู้มากที่สุดจากการประชุมสุดยอดฤดูใบไม้ผลิของ H-ISAC ก็คือความเชื่อมั่นใหม่ที่เกิดขึ้นว่ากลุ่มงานการวิเคราะห์ความปลอดภัยทางไซเบอร์ของ H-ISAC สามารถทำสิ่งที่น่าทึ่งได้สำเร็จ
การเติบโตและการพัฒนาอย่างต่อเนื่องของโมเดล MITRE ATT&CK ถือเป็นโอกาสที่น่าตื่นเต้น โอกาสในการสร้างผลกระทบเชิงบวกต่อองค์กรต่างๆ ทั่วทั้งกลุ่มการดูแลสุขภาพไม่เคยดีเท่านี้มาก่อน นอกจากนี้ Barnes ยังตั้งข้อสังเกตว่าชุมชน H-ISAC ได้ให้ความสำคัญกับความหลากหลายและการรวมกลุ่ม
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการวิเคราะห์ความปลอดภัยทางไซเบอร์และกลุ่มการทำงานอื่นๆ โปรดไปที่ https://h-isac.org/committees-working-groups/.
- แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง