H-ISAC İşbirliği ve MITRE ATT&CK Modeli
Sağlık ve Diğer Sektörlerde Proaktif Siber Savunma İçin Analitiği Kullanma
Çeşitli ISAC'lar artan sayıda siber tehdide karşı savunmalarını birleştirmeye devam ederken, MITRE siber tehdit istihbaratının izlenmesinde devrim yarattı. MITRE ATT&CK Modeli, günümüzün yüksek teknoloji siber suçluları tarafından kullanılan düşmanca taktikler için küresel olarak tanınan bilgi tabanı haline geldi.
Bu çerçeve siber tehdit istihbaratı toplamak için mükemmel bir başlangıç olsa da, siber suçlular sürekli olarak yeni taktikler geliştirdiğinden hiçbir şekilde tamamlanmış sayılmaz. Bu çerçevenin geleceği ve çeşitli Bilgi Paylaşımı ve Analiz Merkezleri (ISAC) için değeri, sürekli iyileştirmeye yönelik işbirlikçi bir yaklaşıma tamamen bağlıdır. Pfizer Güvenlik Çözümleri Kıdemli Direktörü William Barnes'ın yakın zamanda belirttiği gibi, "Hepimiz birlikteyiz."
ATT&CK Modeli Nasıl Çalışır?
ATT&CK çerçevesi, Adversarial Tactics, Techniques & Common Knowledge için bilgi sağlar, dolayısıyla kısaltması da buradan gelir. Bu matris, daha güvenli bir dünya uğruna sorunları çözmekle övünen kar amacı gütmeyen bir kuruluş olan MITRE Corporation'ın beyin çocuğudur. Federal olarak finanse edilen veri merkezleri küresel olarak erişilebilirdir ve siber güvenlik de dahil olmak üzere çok çeşitli veri odaklı araştırma çabaları gerçekleştirir.
2013 yılında başlatılan ATT&CK bilgi tabanı, modern siber saldırganlar tarafından kullanılan yaygın taktikleri ve teknikleri belgelemektedir. Bu modelin oluşturulmasının arkasındaki itici güç, bireysel taktiklerin belirli bir zaman diliminde anlaşılmasının aksine, saldırganların davranışlarını anlama ihtiyacıydı. Siber suçluların operasyonunun bir yöntemi vardır ve onları durdurmanın anahtarı, bir sonraki hareketlerini doğru bir şekilde tahmin etmektir.
ATT&CK modelinin bileşenleri taktikler ve teknikler olarak ayrılabilir. Taktikler, bir saldırganın belirli bir eylemi gerçekleştirmeyi "neden" seçeceğinin temsilcisidir. Teknikler, bir saldırganın taktiksel hedeflerine ulaşmak için "nasıl" girişimde bulunduğunun göstergesidir. Bu ikisinin birleşimi, bir siber suçlunun atabileceği olası davranışlar veya sonraki adımlar hakkında ışık tutmaya yardımcı olur.
ATT&CK Matrisi bu taktik ve tekniklerin görsel temsilidir. Bazı taktik örnekleri arasında Kalıcılık, Yanal Hareket ve Keşif bulunur. Bu ve diğer birçok taktik için matris, her biri için kullanılabilecek potansiyel teknikleri belirler. Örneğin, Yanal Hareket, Oturum Açma Komut Dosyaları ve Uzaktan Dosya Kopyalama gibi tanımlanmış 17 farklı tekniğe sahiptir.
Kuruluşlar ATT&CK Modelinden Nasıl Faydalanır?
ATT&CK Modelinden gelen bilgilerle donanmış kuruluşlar, siber savunmalarını proaktif bir şekilde oluşturmaya başlayabilir. Çevre savunmalarına karşı kullanılan belirli taktikleri tespit ettiklerinde, matrisi kullanarak düşmanın potansiyel teknikleri veya sonraki adımları için savunmalar hazırlayabilirler.
Birincil fayda, ATT&CK Modelinin proaktif doğasıdır. Dijital çağdaki tüm kuruluşlar bir tür siber güvenlik yazılımı ve çözümü kullanmaktadır. Çeşitli düzeylerde savunma duruşları sunarlar ve en azından temel düzeyde koruma sağlarlar. Ancak, başarılı bir ihlalin olasılığı yakındır.
Herhangi bir kuruluşun dijital varlıklarını başarıyla koruması için, rakiplerinin önünde kalma çabalarında dikkatli olmaları gerekir. William Barnes'a göre, birincil zorluk çok çeşitli kötü niyetli faaliyetlerin olmasıdır. Ayrıca, hem finansal hizmetler hem de sağlık hizmetleri sektörlerinin en büyük kuruluşlar olduğunu ve bu nedenle olası rakipler için hedef açısından zengin bir ortam sağladığını belirtti. "Finansal hizmetler en büyük ISAC'tır... ancak Sağlık Hizmetleri, paydaşlar açısından çok daha büyük bir kitle topluluğunu temsil eder."
İşbirliği Anahtardır
Son H-ISAC Bahar Zirvesi'nde yankılanan bir merkezi tema vardı. Siber saldırganların tehdidiyle mücadele etmek için birlikte çalışmak, yalnızca sağlık hizmetleri için değil, tüm sektörler için ileriye doğru en iyi yoldur.
MITRE ATT&CK modeli ve H-ISAC (Sağlık Bilgi Paylaşımı ve Analiz Merkezi) en büyük ilerlemeyi burada sağlayabilir. Modelin kendisi, ilişkili tekniklerle taktikleri belirlemek için bir çerçeve sağlar. Ancak, yalnızca şu anda sahip olduğu bilgiler kadar iyidir. H-ISAC üye kuruluşlarının deneyimlerini paylaşmasıyla, MITRE bilgi tabanı en son tehditlerle sürekli olarak güncellenebilir.
Kuruluşlar artık Barnes'a göre kitle kaynaklı olabilen tutarlı bir platforma sahip. Bu, tüm varlıkların her bir varlığın deneyimlerinden faydalanabileceği anlamına geliyor. Sonuç olarak, onları saldırganın önünde tutan proaktif güvenlik önlemleri oluşturmaya devam edebilirler.
Açıklamanın Etkileri Nelerdir?
Elbette, bu açık bilgi paylaşımı bazı endişeleri de beraberinde getiriyor. Bazı kuruluşlar, pazardaki itibarlarını zedeleyeceği için bir ihlal yaşamış olabilecekleri gerçeğini paylaşmaktan çekiniyor. Bazıları ise diğer kuruluşların bu bilgileri rakiplerine karşı kullanmaya teşvik edilebileceğinden korkuyor.
Barnes'a göre, H-ISAC üye kuruluşlar için Gizlilik Anlaşmaları kullanarak bu sorunu doğrudan ele aldı. Bu NDA'lar, uygunsuz bilgilerin kamuoyuna sızdırılması endişelerini hafifletmeye yardımcı olur.
Barnes ayrıca bilgi paylaşımının mutlaka gerçek bir ihlal olayıyla ilgili olmadığını belirtti. H-ISAC'ın MITRE ile iş birliği yapmasıyla, paylaşılan bilgi daha çok şüpheli veya kötü niyetli faaliyetlerin belirlenmesiyle ilgilidir. Amaç, ihlal edilenleri suçlamak değil, yeni taktikler ve teknikler belirlemek ve bunları herkesin yararına olacak şekilde topluluk üyeleriyle paylaşmaktır.
Tedarikçi Katılımının Avantajları ve Dezavantajları
İşbirlikçi topluluk büyümeye devam ederken, siber güvenlik satıcıları masaya oturmaya başlıyor. Bu oyuncuları gemiye almanın avantajı, rakiplerin taktik ve tekniklerine dalmış olmaları ve H-ISAC üyesi kuruluşlara ön cepheden bir bakış açısı getirebilmeleridir.
Barnes'a göre, her satıcı muhtemelen taktik ve teknik yelpazesini idare edebilir; ancak her biri aynı zamanda belirli alanlarda uzmanlaşma eğilimindedir. Geniş bir yelpazede satıcı getirerek, H-ISAC üyeleri ve MITRE ATT&CK Modeli çeşitli bakış açılarından faydalanabilir.
Gelecek parlak
Modern dijital çağda var olan tüm zorluklara rağmen Barnes iyimserliğini koruyor. H-ISAC Bahar Zirvesi'nden edindiği en büyük kazanımlardan biri, bu H-ISAC Siber Güvenlik Analitiği çalışma grubunun olağanüstü şeyler başarabileceğine olan yenilenen inancıdır.
MITRE ATT&CK Modelinin sürekli büyümesi ve gelişmesi heyecan verici bir fırsattır. Sağlık hizmetleri yelpazesindeki kuruluşları olumlu yönde etkileme olasılığı hiç bu kadar iyi olmamıştı. Ayrıca Barnes, H-ISAC topluluğunun çeşitliliği ve kapsayıcılığı bir öncelik haline getirdiğini de belirtti.
Siber Güvenlik Analitiği ve diğer çalışma grupları hakkında daha fazla bilgi için şuraya gidin: https://h-isac.org/committees-working-groups/.
- İlgili Kaynaklar ve Haberler