Skip to main content

H-ISAC Collaboration at ang MITER ATT&CK Model


Paggamit ng Analytics para sa Proactive Cyber ​​Defense sa Healthcare at iba pang mga Sektor

 

Habang ang iba't ibang ISAC's ay patuloy na nagtitipon ng kanilang mga depensa laban sa dumaraming bilang ng mga banta sa cyber, binago ng MITER ang pagsubaybay sa cyber threat intelligence. Ang MITER ATT&CK Model ay naging kinikilalang globally knowledgebase para sa adversarial tactics na ginagamit ng mga high tech na cyber criminal ngayon.

Bagama't ang balangkas na ito ay isang mahusay na simula sa pagkolekta ng cyber threat intelligence, hindi ito kumpleto dahil ang mga cyber criminal ay patuloy na gumagawa ng mga bagong taktika. Ang hinaharap ng balangkas na ito at ang halaga nito sa iba't ibang Information Sharing and Analysis Centers (ISAC) ay ganap na nakadepende sa isang collaborative na diskarte sa patuloy na pagpapabuti. Tulad ng sinabi kamakailan ni William Barnes, Senior Director ng Security Solutions para sa Pfizer, "Lahat tayo ay magkasama dito."

 

Paano Gumagana ang Modelong ATT&CK?

Ang ATT&CK framework ay nagbibigay ng impormasyon para sa Adversarial Tactics, Techniques at Common Knowledge, kaya ang acronym. Ang matrix na ito ay brain child ng MITER Corporation, isang non-profit na organisasyon na ipinagmamalaki ang sarili sa paglutas ng mga problema para sa kapakanan ng isang mas ligtas na mundo. Ang kanilang mga sentro ng data na pinondohan ng pederal ay naa-access sa buong mundo at nagsasagawa ng malawak na pagkakaiba-iba ng mga pagsisikap sa pananaliksik na hinihimok ng data, kabilang ang cybersecurity.

Nagsimula noong 2013, ang base ng kaalaman ng ATT&CK ay nagdodokumento ng mga karaniwang taktika at diskarte na ginagamit ng mga modernong cyber adversaries. Ang nagmamaneho sa likod ng paglikha ng modelong ito ay ang pangangailangan na maunawaan ang pag-uugali ng mga kalaban bilang kabaligtaran sa isang punto sa oras na pag-unawa sa mga indibidwal na taktika. Mayroong paraan sa pagpapatakbo ng mga cybercriminal at ang susi sa pagpapahinto sa kanila ay ang tumpak na hulaan ang kanilang susunod na hakbang.

Ang mga bahagi ng modelong ATT&CK ay maaaring hatiin sa mga taktika at pamamaraan. Ang mga taktika ay kumakatawan sa "bakit" pipiliin ng isang kalaban na magsagawa ng isang partikular na aksyon. Ang mga diskarte ay "kung paano" sinusubukan ng isang kalaban na makamit ang kanilang taktikal na layunin. Ang kumbinasyon ng dalawa ay nakakatulong na magbigay liwanag sa mga posibleng pag-uugali, o mga susunod na hakbang, na maaaring gawin ng isang cybercriminal.

Ang ATT&CK Matrix ay ang visual na representasyon ng mga taktika at diskarteng ito. Ang ilang halimbawa ng mga taktika ay kinabibilangan ng Persistence, Lateral Movement, at Discovery. Para sa mga ito at sa maraming iba pang taktika, tinutukoy ng matrix ang mga potensyal na pamamaraan na maaaring magamit para sa bawat isa. Halimbawa, ang Lateral Movement ay may 17 iba't ibang diskarte na natukoy tulad ng Logon Scripts at Remote File Copy.

 

Paano Nakikinabang ang Mga Organisasyon mula sa Modelong ATT&CK

Gamit ang impormasyon mula sa ATT&CK Model, ang mga organisasyon ay maaaring magsimulang aktibong bumuo ng kanilang mga cyber defense. Kapag nakita nila ang ilang mga taktika na ginagamit laban sa kanilang mga panlaban sa perimeter, maaari nilang gamitin ang matrix upang maghanda ng mga depensa para sa mga potensyal na diskarte, o mga susunod na hakbang, ng kalaban.

Ang pangunahing benepisyo ay ang pagiging aktibo ng ATT&CK Model. Ang lahat ng organisasyon sa digital age ay gumagamit ng ilang anyo ng cybersecurity software at mga solusyon. Nag-aalok ang mga ito ng iba't ibang antas ng defensive posture at, sa pinakamababa, nagbibigay ng mga pangunahing antas ng proteksyon. Gayunpaman, ang posibilidad ng isang matagumpay na paglabag ay nalalapit.

Para sa anumang organisasyon na matagumpay na maprotektahan ang kanilang mga digital na asset, kailangan nilang manatiling mapagbantay sa kanilang mga pagsisikap na manatiling nangunguna sa kanilang mga kalaban. Ayon kay William Barnes, ang pangunahing hamon ay mayroong malawak na hanay ng mga malisyosong aktibidad. Bukod pa rito, binanggit niya ang katotohanan na ang parehong mga serbisyo sa pananalapi at industriya ng pangangalagang pangkalusugan ay ang pinakamalaking entidad at samakatuwid ay nagbibigay ng target na mayaman na kapaligiran para sa mga magiging kalaban. "Ang mga serbisyo sa pananalapi ay ang pinakamalaking ISAC... ngunit ang Healthcare ay kumakatawan sa isang mass community na mas malaki sa mga tuntunin ng mga stakeholder."

 

Ang pakikipagtulungan ay ang Susi

Sa kamakailang H-ISAC Spring Summit, nagkaroon ng matunog na sentral na tema. Ang pagtutulungan upang labanan ang banta ng mga cyber adversaries ay ang pinakamahusay na landas para hindi lamang sa pangangalagang pangkalusugan kundi para sa lahat ng industriya.

Ito ay kung saan ang modelo ng MITRE ATT&CK at H-ISAC (Health Information Sharing and Analysis Center) ay maaaring gumawa ng pinakamalaking hakbang. Ang modelo mismo ay nagbibigay ng isang balangkas para sa pagtukoy ng mga taktika na may nauugnay na mga diskarte. Gayunpaman, ito ay kasing ganda lamang ng impormasyong mayroon ito sa kasalukuyan. Sa pamamagitan ng pagkakaroon ng mga organisasyong miyembro ng H-ISAC na magbahagi ng kanilang mga karanasan, ang base ng kaalaman sa MITRE ay maaaring patuloy na ma-update sa mga pinakabagong banta.

Ang mga organisasyon ay mayroon na ngayong pare-parehong plataporma na, ayon kay Barnes, ay maaaring pagkunan ng karamihan. Nangangahulugan ito na ang lahat ng entity ay maaaring makinabang mula sa mga karanasan ng bawat solong entity. Bilang resulta, maaari silang magpatuloy sa pagbuo ng mga proactive na hakbang sa seguridad na nagpapanatili sa kanila na nangunguna sa kalaban.

 

Ano ang mga Epekto ng Pagbubunyag

Siyempre, ang bukas na pagbabahagi ng impormasyon na ito ay nagtataas din ng ilang mga alalahanin. Ang ilang organisasyon ay nag-aatubili na ibahagi ang katotohanang maaaring nakaranas sila ng paglabag dahil nakakasama ito sa kanilang kredibilidad sa marketplace. Ang ilan ay natatakot na ang ibang mga entity ay maaaring maakit na gamitin ang impormasyong ito laban sa kanilang mga kakumpitensya.

Ayon kay Barnes, tinalakay ng H-ISAC ang problemang ito sa pamamagitan ng paggamit ng mga kasunduan sa Non-Disclosure para sa mga miyembrong entity. Ang mga NDA na ito ay tumutulong upang maibsan ang mga alalahanin ng hindi naaangkop na impormasyong ilalabas sa publiko.

Nabanggit din ni Barnes na ang pagbabahagi ng impormasyon ay hindi nangangahulugang tungkol sa isang aktwal na insidente ng paglabag. Sa pamamagitan ng pagkakaroon ng H-ISAC na makipagtulungan sa MITRE, ang impormasyong ibinahagi ay higit pa tungkol sa pagtukoy ng kahina-hinala o nakakahamak na aktibidad. Ang layunin ay hindi upang ituro ang mga daliri sa mga nalabag, ngunit upang tukuyin ang mga bagong taktika at diskarte at ibahagi ang mga ito sa mga miyembro ng komunidad para sa kapakinabangan ng lahat.

 

Mga Bentahe at Disadvantages ng Paglahok ng Vendor

Habang patuloy na lumalaki ang collaborative na komunidad, ang mga cybersecurity vendor ay nagsisimula nang umupo sa mesa. Ang bentahe ng pagdadala sa mga manlalarong ito sa board ay na sila ay nahuhulog sa mga taktika at diskarte ng mga kalaban at maaaring magdala ng front-line na view sa mga entity ng miyembro ng H-ISAC.

Ayon kay Barnes, malamang na kayang hawakan ng bawat vendor ang spectrum ng mga taktika at diskarte; gayunpaman, ang bawat isa ay may posibilidad din na magpakadalubhasa sa ilang mga lugar. Sa pamamagitan ng pagdadala ng malawak na hanay ng mga vendor, ang mga miyembro ng H-ISAC at ang MITER ATT&CK Model ay maaaring makinabang mula sa kanilang iba't ibang pananaw.

 

Ang Hinaharap ay Maliwanag

Sa kabila ng lahat ng mga hamon na umiiral sa modernong digital age, nananatiling optimistiko si Barnes. Isa sa kanyang pinakamalaking takeaways mula sa H-ISAC Spring Summit ay ang panibagong paniniwala na ang H-ISAC Cybersecurity Analytics working group na ito ay makakagawa ng mga kahanga-hangang bagay.

Ang patuloy na paglaki at pag-unlad ng MITRE ATT&CK Model ay isang kapana-panabik na pagkakataon. Ang posibilidad na magkaroon ng positibong epekto sa mga organisasyon sa buong saklaw ng pangangalagang pangkalusugan ay hindi kailanman naging mas mahusay. Bilang karagdagan, binanggit din ni Barnes na ginawang priyoridad ng komunidad ng H-ISAC ang pagkakaiba-iba at pagsasama.

Para sa higit pang impormasyon sa Cybersecurity Analytics at iba pang working group, pumunta sa https://h-isac.org/committees-working-groups/.

  • Mga Kaugnay na Mapagkukunan at Balita
Labanan ang mga banta sa cyber sa isang pandaigdigang komunidad
Whitepaper ng Big Data Security Controls