Співпраця H-ISAC і модель MITRE ATT&CK
Використання аналітики для проактивного кіберзахисту в охороні здоров’я та інших секторах
Оскільки різні ISAC продовжують об’єднувати свій захист від зростаючої кількості кіберзагроз, MITRE здійснив революцію у відстеженні розвідувальних даних про кіберзагрози. Модель MITRE ATT&CK стала всесвітньо визнаною базою знань про змагальні тактики, які використовують сучасні високотехнологічні кіберзлочинці.
Хоча ця структура є чудовим початком збору даних про кіберзагрози, вона аж ніяк не є завершеною, оскільки кіберзлочинці постійно розробляють нові тактики. Майбутнє цієї структури та її цінність для різних Центрів обміну інформацією та аналізу (ISAC) повністю залежить від спільного підходу до постійного вдосконалення. Як нещодавно заявив Вільям Барнс, старший директор із рішень безпеки компанії Pfizer: «Ми всі в цьому разом».
Як працює модель ATT&CK?
Структура ATT&CK надає інформацію про тактику змагання, техніку та загальні знання, звідки і акронім. Ця матриця є нащадком корпорації MITRE, некомерційної організації, яка пишається тим, що вирішує проблеми заради безпечнішого світу. Їхні центри обробки даних, що фінансуються з федерального бюджету, є доступними в усьому світі та проводять різноманітні дослідження на основі даних, зокрема кібербезпеки.
Започаткована в 2013 році база знань ATT&CK документує загальні тактики та прийоми, які використовують сучасні кіберсупротивники. Рушійною силою створення цієї моделі була потреба зрозуміти поведінку супротивників на відміну від розуміння індивідуальної тактики на певний момент часу. Існує метод роботи кіберзлочинців, і ключ до їх зупинки полягає в тому, щоб точно передбачити їхній наступний крок.
Компоненти моделі ATT&CK можна розбити на тактику та техніку. Тактика відображає «чому» супротивник вирішить виконати певну дію. Прийоми — це те, як противник намагається досягти своєї тактичної мети. Поєднання цих двох допомагає пролити світло на можливу поведінку або наступні кроки, які може зробити кіберзлочинець.
Матриця ATT&CK є візуальним представленням цих тактик і технік. Деякі приклади тактик включають наполегливість, бічний рух і відкриття. Для цих та багатьох інших тактик матриця визначає потенційні методи, які можна використовувати для кожної з них. Наприклад, Lateral Movement має 17 різних методів, які були ідентифіковані, наприклад сценарії входу та віддалене копіювання файлів.
Які переваги організації отримують від моделі ATT&CK
Озброївшись інформацією з моделі ATT&CK, організації можуть почати проактивно будувати свій кіберзахист. Коли вони виявляють певну тактику, яка використовується проти захисту периметра, вони можуть використовувати матрицю, щоб підготувати захист до потенційних прийомів або наступних кроків супротивника.
Основною перевагою є проактивний характер моделі ATT&CK. Усі організації в епоху цифрових технологій використовують певну форму програмного забезпечення та рішень для кібербезпеки. Вони пропонують різні рівні захисних позицій і, принаймні, забезпечують базові рівні захисту. Однак можливість успішного порушення неминуча.
Щоб будь-яка організація могла успішно захистити свої цифрові активи, вона повинна бути пильною у своїх зусиллях, щоб випередити своїх супротивників. За словами Вільяма Барнса, головна проблема полягає в тому, що існує широкий спектр шкідливих дій. Крім того, він посилався на той факт, що як фінансові послуги, так і галузь охорони здоров’я є найбільшими суб’єктами і, отже, забезпечують цільове багате середовище для потенційних супротивників. «Фінансові послуги є найбільшим ISAC… але охорона здоров’я представляє масову спільноту, яка є набагато більшою за кількістю зацікавлених сторін».
Співпраця – це ключ
На нещодавньому весняному саміті H-ISAC центральна тема була гучною. Спільна робота для боротьби із загрозою кіберзловмисників є найкращим шляхом не лише для охорони здоров’я, а й для всіх галузей.
Саме тут модель MITRE ATT&CK і H-ISAC (Центр обміну та аналізу інформації про здоров’я) можуть досягти найбільших успіхів. Сама модель забезпечує структуру для визначення тактики з пов’язаними техніками. Однак він є настільки хорошим, як і інформація, яку він має на даний момент. Завдяки тому, що організації-члени H-ISAC діляться своїм досвідом, база знань MITER може постійно оновлюватися останніми загрозами.
Зараз організації мають узгоджену платформу, яка, за словами Барнса, може бути краудсорсингом. Це означає, що всі суб’єкти можуть скористатися досвідом кожного окремого суб’єкта. У результаті вони можуть продовжувати розробляти профілактичні заходи безпеки, які тримають їх попереду супротивника.
Які наслідки розголошення
Звичайно, цей відкритий обмін інформацією також викликає певні занепокоєння. Деякі організації неохоче розповідають про те, що вони могли зазнати злому, оскільки це шкодить довірі до них на ринку. Деякі побоюються, що інші організації можуть спокусити використовувати цю інформацію проти своїх конкурентів.
За словами Барнса, H-ISAC впорався з цією проблемою шляхом використання угод про нерозголошення для організацій-членів. Ці NDA допомагають пом’якшити занепокоєння щодо витоку неналежної інформації.
Барнс також зазначив, що обмін інформацією не обов’язково стосується фактичного інциденту порушення. Завдяки тому, що H-ISAC співпрацює з MITRE, інформація, що надсилається, більше стосується виявлення підозрілої чи зловмисної діяльності. Мета полягає не в тому, щоб вказувати пальцем на тих, кого було порушено, а в тому, щоб визначити нові тактики та методи та поділитися ними з членами спільноти на благо всіх.
Переваги та недоліки залучення постачальників
У міру того як співтовариство продовжує зростати, постачальники засобів кібербезпеки починають займати місце за столом. Перевага залучення цих гравців полягає в тому, що вони занурені в тактику та техніку супротивників і можуть надати передовий погляд організаціям-членам H-ISAC.
За словами Барнса, кожен постачальник, ймовірно, може впоратися зі спектром тактик і прийомів; однак кожен з них також має тенденцію спеціалізуватися в певних областях. Залучаючи широкий спектр постачальників, члени H-ISAC і модель MITRE ATT&CK можуть отримати вигоду з різних точок зору.
Майбутнє світле
Незважаючи на всі виклики, які існують у сучасну цифрову епоху, Барнс залишається оптимістом. Одним із його найбільших висновків із весняного саміту H-ISAC є оновлена віра в те, що ця робоча група з аналітики кібербезпеки H-ISAC може досягти надзвичайних речей.
Постійне зростання та розвиток моделі MITRE ATT&CK — це чудова можливість. Можливість позитивно вплинути на організації в усьому спектрі охорони здоров’я ніколи не була кращою. Крім того, Барнс також зазначив, що спільнота H-ISAC зробила пріоритетом різноманітність та інклюзивність.
Для отримання додаткової інформації про аналітику кібербезпеки та інші робочі групи перейдіть за адресою https://h-isac.org/committees-working-groups/.
- Пов’язані ресурси та новини