Bỏ qua nội dung chính

Sự hợp tác của H-ISAC và Mô hình MITRE ATT&CK


Sử dụng Phân tích để Phòng thủ Mạng Chủ động trong Y tế và các Ngành khác

 

Khi các ISAC khác nhau tiếp tục tăng cường phòng thủ chống lại số lượng ngày càng tăng của các mối đe dọa mạng, MITRE đã cách mạng hóa việc theo dõi tình báo về mối đe dọa mạng. Mô hình MITRE ATT&CK đã trở thành cơ sở kiến ​​thức được công nhận trên toàn cầu về các chiến thuật đối đầu được sử dụng bởi tội phạm mạng công nghệ cao ngày nay.

Mặc dù khuôn khổ này là một khởi đầu tuyệt vời để thu thập thông tin tình báo về mối đe dọa mạng, nhưng nó không có nghĩa là hoàn thiện vì tội phạm mạng liên tục phát triển các chiến thuật mới. Tương lai của khuôn khổ này và giá trị của nó đối với các Trung tâm Phân tích và Chia sẻ Thông tin (ISAC) khác nhau hoàn toàn phụ thuộc vào cách tiếp cận hợp tác để cải tiến liên tục. Như William Barnes, Giám đốc Cấp cao về Giải pháp Bảo mật của Pfizer đã tuyên bố gần đây, "Chúng ta cùng nhau làm điều này".

 

Mô hình ATT&CK hoạt động như thế nào?

Khung ATT&CK cung cấp thông tin cho Adversarial Tactics, Techniques & Common Knowledge, do đó có tên viết tắt là ATT&CK. Ma trận này là đứa con tinh thần của MITRE Corporation, một tổ chức phi lợi nhuận tự hào về việc giải quyết các vấn đề vì một thế giới an toàn hơn. Các trung tâm dữ liệu do liên bang tài trợ của họ có thể truy cập trên toàn cầu và thực hiện nhiều nỗ lực nghiên cứu dựa trên dữ liệu, bao gồm cả an ninh mạng.

Bắt đầu vào năm 2013, cơ sở kiến ​​thức ATT&CK ghi lại các chiến thuật và kỹ thuật phổ biến được các đối thủ mạng hiện đại sử dụng. Động lực đằng sau việc tạo ra mô hình này là nhu cầu hiểu hành vi của đối thủ trái ngược với việc hiểu từng chiến thuật riêng lẻ tại một thời điểm. Có một phương pháp hoạt động của tội phạm mạng và chìa khóa để ngăn chặn chúng là dự đoán chính xác động thái tiếp theo của chúng.

Các thành phần của mô hình ATT&CK có thể được chia thành các chiến thuật và kỹ thuật. Các chiến thuật đại diện cho "lý do" tại sao kẻ thù sẽ chọn thực hiện một hành động nhất định. Các kỹ thuật là "cách" kẻ thù cố gắng đạt được mục tiêu chiến thuật của chúng. Sự kết hợp của cả hai giúp làm sáng tỏ các hành vi có thể xảy ra hoặc các bước tiếp theo mà tội phạm mạng có thể thực hiện.

Ma trận ATT&CK là biểu diễn trực quan của các chiến thuật và kỹ thuật này. Một số ví dụ về chiến thuật bao gồm Persistence, Lateral Movement và Discovery. Đối với những chiến thuật này và nhiều chiến thuật khác, ma trận xác định các kỹ thuật tiềm năng có thể được sử dụng cho từng chiến thuật. Ví dụ, Lateral Movement có 17 kỹ thuật khác nhau đã được xác định như Logon Scripts và Remote File Copy.

 

Các tổ chức được hưởng lợi như thế nào từ mô hình ATT&CK

Được trang bị thông tin từ Mô hình ATT&CK, các tổ chức có thể bắt đầu chủ động xây dựng hệ thống phòng thủ mạng của mình. Khi phát hiện ra một số chiến thuật nhất định đang được sử dụng chống lại hệ thống phòng thủ ngoại vi của mình, họ có thể sử dụng ma trận để chuẩn bị phòng thủ cho các kỹ thuật tiềm ẩn hoặc các bước tiếp theo của đối thủ.

Lợi ích chính là bản chất chủ động của Mô hình ATT&CK. Tất cả các tổ chức trong thời đại kỹ thuật số đều sử dụng một số dạng phần mềm và giải pháp an ninh mạng. Chúng cung cấp nhiều cấp độ phòng thủ khác nhau và ít nhất là cung cấp các cấp độ bảo vệ cơ bản. Tuy nhiên, khả năng vi phạm thành công là điều không thể tránh khỏi.

Để bất kỳ tổ chức nào bảo vệ thành công tài sản kỹ thuật số của mình, họ cần phải luôn cảnh giác trong nỗ lực đi trước đối thủ. Theo William Barnes, thách thức chính là có rất nhiều hoạt động độc hại. Ngoài ra, ông còn trích dẫn thực tế là cả ngành dịch vụ tài chính và chăm sóc sức khỏe đều là những thực thể lớn nhất và do đó tạo ra môi trường mục tiêu phong phú cho những kẻ thù tiềm năng. “Dịch vụ tài chính là ISAC lớn nhất… nhưng Chăm sóc sức khỏe đại diện cho một cộng đồng lớn hơn nhiều về mặt các bên liên quan.”

 

Hợp tác là chìa khóa

Tại Hội nghị thượng đỉnh mùa xuân H-ISAC gần đây, có một chủ đề trung tâm vang dội. Hợp tác cùng nhau để chống lại mối đe dọa của kẻ thù mạng là con đường tốt nhất không chỉ cho ngành chăm sóc sức khỏe mà còn cho tất cả các ngành công nghiệp.

Đây là nơi mô hình MITRE ATT&CK và H-ISAC (Trung tâm chia sẻ và phân tích thông tin y tế) có thể đạt được những bước tiến lớn nhất. Bản thân mô hình cung cấp một khuôn khổ để xác định các chiến thuật với các kỹ thuật liên quan. Tuy nhiên, nó chỉ tốt bằng thông tin mà nó hiện có. Bằng cách để các tổ chức thành viên H-ISAC chia sẻ kinh nghiệm của họ, cơ sở kiến ​​thức MITRE có thể được cập nhật liên tục với các mối đe dọa mới nhất.

Các tổ chức hiện có một nền tảng nhất quán mà theo Barnes, có thể huy động cộng đồng. Điều này có nghĩa là tất cả các thực thể đều có thể hưởng lợi từ kinh nghiệm của từng thực thể. Do đó, họ có thể tiếp tục xây dựng các biện pháp bảo mật chủ động giúp họ đi trước đối thủ.

 

Tác động của việc tiết lộ là gì

Tất nhiên, việc chia sẻ thông tin công khai này cũng gây ra một số lo ngại. Một số tổ chức không muốn chia sẻ sự thật rằng họ có thể đã gặp phải vi phạm vì điều đó làm tổn hại đến uy tín của họ trên thị trường. Một số lo ngại các thực thể khác có thể bị dụ dỗ sử dụng thông tin này để chống lại đối thủ cạnh tranh của họ.

Theo Barnes, H-ISAC đã giải quyết vấn đề này bằng cách sử dụng các thỏa thuận không tiết lộ thông tin cho các thực thể thành viên. Các NDA này giúp giảm bớt mối lo ngại về việc thông tin không phù hợp bị rò rỉ ra công chúng.

Barnes cũng lưu ý rằng việc chia sẻ thông tin không nhất thiết là về một sự cố vi phạm thực tế. Bằng cách để H-ISAC hợp tác với MITRE, thông tin được chia sẻ sẽ tập trung nhiều hơn vào việc xác định hoạt động đáng ngờ hoặc có ác ý. Mục tiêu không phải là chỉ trích những người đã bị vi phạm, mà là xác định các chiến thuật và kỹ thuật mới và chia sẻ chúng với các thành viên trong cộng đồng vì lợi ích của tất cả mọi người.

 

Ưu điểm và nhược điểm của sự tham gia của nhà cung cấp

Khi cộng đồng hợp tác tiếp tục phát triển, các nhà cung cấp an ninh mạng đang bắt đầu tham gia. Lợi thế của việc đưa những người chơi này vào cuộc là họ đắm mình vào các chiến thuật và kỹ thuật của đối thủ và có thể mang lại góc nhìn tuyến đầu cho các thực thể thành viên H-ISAC.

Theo Barnes, mỗi nhà cung cấp có thể xử lý được nhiều chiến thuật và kỹ thuật; tuy nhiên, mỗi nhà cung cấp cũng có xu hướng chuyên môn hóa trong một số lĩnh vực nhất định. Bằng cách đưa vào nhiều nhà cung cấp, các thành viên H-ISAC và Mô hình MITRE ATT&CK có thể hưởng lợi từ nhiều góc nhìn khác nhau của họ.

 

Tương lai tươi sáng

Bất chấp mọi thách thức tồn tại trong thời đại kỹ thuật số hiện đại, Barnes vẫn lạc quan. Một trong những điều ông rút ra được nhiều nhất từ ​​Hội nghị thượng đỉnh mùa xuân H-ISAC là niềm tin mới rằng nhóm làm việc Phân tích an ninh mạng H-ISAC này có thể đạt được những điều đáng kinh ngạc.

Sự phát triển và tăng trưởng liên tục của Mô hình MITRE ATT&CK là một cơ hội thú vị. Khả năng tác động tích cực đến các tổ chức trong toàn bộ quang phổ chăm sóc sức khỏe chưa bao giờ tốt hơn thế. Ngoài ra, Barnes cũng lưu ý rằng cộng đồng H-ISAC đã ưu tiên tính đa dạng và hòa nhập.

Để biết thêm thông tin về Cybersecurity Analytics và các nhóm làm việc khác, hãy truy cập https://h-isac.org/committees-working-groups/.

  • Tài nguyên liên quan & Tin tức