Търсене
Close this search box.

Как да приложите MITRE ATT&CK във вашата организация

Открийте всички начини, по които MITRE ATT&CK може да ви помогне да защитите организацията си. Изградете своята стратегия и политики за сигурност, като се възползвате максимално от тази важна рамка.

Какво представлява рамката MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge – тактики, техники и общи познания на противника) е широко приета рамка и база знания, която очертава и категоризира тактиките, техниките и процедурите (TTPs), използвани при кибератаки. Създадена от организацията с нестопанска цел MITRE, тази рамка предоставя на специалистите по сигурността прозрения и контекст, които могат да им помогнат да разберат, идентифицират и смекчат ефективно киберзаплахите.

Техниките и тактиките в рамката са организирани в динамична матрица. Това улеснява навигацията и също така осигурява цялостен поглед върху целия спектър от поведения на противника. В резултат на това рамката е по-приложима и използваема, отколкото ако представляваше статичен списък.

Рамката MITRE ATT&CK може да бъде намерена тук: https://attack.mitre.org/

Внимавайте: MITRE ATT&CK Framework Biases

Според Етай Маор, старши директор на отдел „Стратегия за сигурност“ в Cato Networks, „знанията, предоставени в рамката MITRE ATT&CK, са извлечени от реални доказателства за поведението на нападателите. Това я прави податлива на определени пристрастия, с които специалистите по сигурността трябва да са наясно. Важно е да се разберат тези ограничения.“

  • Предразсъдъци за новост – техниките или заплахите, които са нови или интересни, се докладват, докато техниките, които се използват отново и отново, не се докладват.
  • Пристрастие към видимостта – издателите на доклади на Intel имат пристрастия към видимостта, които се основават на начина, по който събират данни, което води до видимост на някои техники, а не на други. Освен това техниките се разглеждат по различен начин по време на инциденти и след това.
  • Пристрастие на производителя – Докладите, публикувани от някои организации, може да не отразяват по-широката индустрия или света като цяло.
  • Пристрастие към жертвите – Някои организации на жертви са по-склонни да докладват или да бъдат докладвани, отколкото други.
  • Предразсъдъци, свързани с наличността – Авторите на доклади често включват в докладите си техники, които бързо идват на ум.

Случаи на употреба на MITRE ATT&CK Defender

Рамката MITRE ATT&CK помага на специалистите по сигурността да изследват и анализират различни атаки и процедури. Това може да помогне при разузнаването на заплахи, откриването и анализа, симулациите, както и при оценката и инженеринга. MITRE ATT&CK Navigator е инструмент, който може да помогне за проучване и визуализиране на матрицата, като подобри анализа за защитно покритие, планиране на сигурността, честота на техниките и др.

Етай Маор добавя: „Рамката може да бъде толкова дълбока, колкото искате, или да бъде на толкова високо ниво, колкото искате. Тя може да се използва като инструмент за показване на картографирането и дали сме добри или лоши в определени области, но може да се задълбочи до разбирането на много специфичната процедура и дори на реда от кода, който е бил използван при конкретна атака.“

Ето няколко примера за това как могат да се използват рамката и Навигаторът:

Анализ на  заплаха

 

Специалистите по сигурността могат да използват MITRE ATT&CK, за да разследват конкретни  заплахи. Например, те могат да навлязат в матрицата и да научат кои техники се използват от различните групи, как се изпълняват, какви инструменти използват и т.н. Тази информация помага за разследването на определени атаки. Тя също така разширява знанията и начина на мислене на изследователите, като ги запознава с допълнителни начини на действие, които предприемат нападателите.

На по-високо ниво рамката може да се използва, за да се отговори на въпроси от ниво С относно пробиви или заплахи. Например, ако се зададе въпросът – „Смятаме, че може да сме цел на ирански национални държавни  заплахи“. Рамката дава възможност за задълбочаване в иранските участници в заплахи като APT33, като показва кои техники използват, идентификатори на атаки и др.

 

Анализ на множество заплахи

 

Освен изследването на конкретни заплахи, рамката MITRE ATT&CK позволява и анализ на множество заплахи. Например, ако е изразена загриженост, че „Поради неотдавнашните политически и военни събития в Иран смятаме, че ще има ответна реакция под формата на кибератака. Какви са общите тактики за атака на иранските  заплахи?“, рамката може да се използва за идентифициране на общите тактики, използвани от редица заплахи от националната държава.

Ето как би могъл да изглежда един визуализиран анализ на множество заплахи, като червеното и жълтото представляват техники, използвани от различни групи, а зеленото – припокриване.

 

Анализ на пропуските

Рамката на MITRE ATT&CK също така помага да се анализират съществуващите пропуски в защитата. Това позволява на защитниците да идентифицират, визуализират и сортират кои от тях организацията не покрива.

Ето как може да изглежда това, като цветовете се използват за приоритизиране.

 

Atomic Testing

Накрая, Atomic Red Team е библиотека с отворен код от тестове, съпоставени с рамката MITRE ATT&CK. Тези тестове могат да се използват за тестване на вашата инфраструктура и системи, базирани на рамката, за да помогнат за идентифициране и намаляване на пропуските в покритието.

Центърът за информирана за заплахите отбрана (MITRE CTID)

MITRE CTID (Center for Threat-Informed Defense) е център за научноизследователска и развойна дейност, финансиран от частни организации, който си сътрудничи както с организации от частния сектор, така и с организации с нестопанска цел. Тяхната цел е да революционизират подхода към противниците чрез обединяване на ресурсите и наблягане на проактивното реагиране на инциденти, а не на реактивните мерки. Тази мисия се ръководи от убеждението, вдъхновено от Джон Ламбърт, че защитниците трябва да преминат от мислене в списъци към мислене в графики, ако искат да преодолеят предимствата на нападателите.

Етай Маор коментира: „Това е много важно. Трябва да улесним сътрудничеството между защитниците на различни нива. Ние сме много запалени по този въпрос.“

Важна инициатива в този контекст е проектът „Поток на атаката“. Проектът „Attack Flow“ се занимава с предизвикателството, пред което са изправени защитниците, които често се фокусират върху индивидуално, атомно поведение на нападателите. Вместо това „Attack Flow“ използва нов език и инструменти за описване на потока от техники на ATT&CK. След това тези техники се комбинират в модели на поведение. Този подход позволява на защитниците и лидерите да получат по-дълбоко разбиране за начина, по който действат противниците, за да могат да усъвършенстват съответно своите стратегии.

Тук можете да видите как изглежда потокът на атаката.

С помощта на тези потоци от атаки защитниците могат да отговорят на въпроси като:

  • Какво са правили противниците?
  • Как се променят противниците?

Отговорите могат да им помогнат да уловят, споделят и анализират моделите на атака.

Тогава те ще могат да отговорят на най-важните въпроси:

  • Какво е следващото най-вероятно нещо, което те ще направят?
  • Какво сме пропуснали?

CTID приканва общността да участва в нейните дейности и да допринася за обогатяването на нейната база от знания. Можете да се свържете с тях в LinkedIn.

За да научите повече за рамката MITRE ATT&CK, гледайте целия майсторски клас тук.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!