Открийте всички начини, по които MITRE ATT&CK може да ви помогне да защитите организацията си. Изградете своята стратегия и политики за сигурност, като се възползвате максимално от тази важна рамка.
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge – тактики, техники и общи познания на противника) е широко приета рамка и база знания, която очертава и категоризира тактиките, техниките и процедурите (TTPs), използвани при кибератаки. Създадена от организацията с нестопанска цел MITRE, тази рамка предоставя на специалистите по сигурността прозрения и контекст, които могат да им помогнат да разберат, идентифицират и смекчат ефективно киберзаплахите.
Техниките и тактиките в рамката са организирани в динамична матрица. Това улеснява навигацията и също така осигурява цялостен поглед върху целия спектър от поведения на противника. В резултат на това рамката е по-приложима и използваема, отколкото ако представляваше статичен списък.
Рамката MITRE ATT&CK може да бъде намерена тук: https://attack.mitre.org/
Според Етай Маор, старши директор на отдел „Стратегия за сигурност“ в Cato Networks, „знанията, предоставени в рамката MITRE ATT&CK, са извлечени от реални доказателства за поведението на нападателите. Това я прави податлива на определени пристрастия, с които специалистите по сигурността трябва да са наясно. Важно е да се разберат тези ограничения.“
Рамката MITRE ATT&CK помага на специалистите по сигурността да изследват и анализират различни атаки и процедури. Това може да помогне при разузнаването на заплахи, откриването и анализа, симулациите, както и при оценката и инженеринга. MITRE ATT&CK Navigator е инструмент, който може да помогне за проучване и визуализиране на матрицата, като подобри анализа за защитно покритие, планиране на сигурността, честота на техниките и др.
Етай Маор добавя: „Рамката може да бъде толкова дълбока, колкото искате, или да бъде на толкова високо ниво, колкото искате. Тя може да се използва като инструмент за показване на картографирането и дали сме добри или лоши в определени области, но може да се задълбочи до разбирането на много специфичната процедура и дори на реда от кода, който е бил използван при конкретна атака.“
Ето няколко примера за това как могат да се използват рамката и Навигаторът:
Специалистите по сигурността могат да използват MITRE ATT&CK, за да разследват конкретни заплахи. Например, те могат да навлязат в матрицата и да научат кои техники се използват от различните групи, как се изпълняват, какви инструменти използват и т.н. Тази информация помага за разследването на определени атаки. Тя също така разширява знанията и начина на мислене на изследователите, като ги запознава с допълнителни начини на действие, които предприемат нападателите.
На по-високо ниво рамката може да се използва, за да се отговори на въпроси от ниво С относно пробиви или заплахи. Например, ако се зададе въпросът – „Смятаме, че може да сме цел на ирански национални държавни заплахи“. Рамката дава възможност за задълбочаване в иранските участници в заплахи като APT33, като показва кои техники използват, идентификатори на атаки и др.
Освен изследването на конкретни заплахи, рамката MITRE ATT&CK позволява и анализ на множество заплахи. Например, ако е изразена загриженост, че „Поради неотдавнашните политически и военни събития в Иран смятаме, че ще има ответна реакция под формата на кибератака. Какви са общите тактики за атака на иранските заплахи?“, рамката може да се използва за идентифициране на общите тактики, използвани от редица заплахи от националната държава.
Ето как би могъл да изглежда един визуализиран анализ на множество заплахи, като червеното и жълтото представляват техники, използвани от различни групи, а зеленото – припокриване.
Рамката на MITRE ATT&CK също така помага да се анализират съществуващите пропуски в защитата. Това позволява на защитниците да идентифицират, визуализират и сортират кои от тях организацията не покрива.
Ето как може да изглежда това, като цветовете се използват за приоритизиране.
Накрая, Atomic Red Team е библиотека с отворен код от тестове, съпоставени с рамката MITRE ATT&CK. Тези тестове могат да се използват за тестване на вашата инфраструктура и системи, базирани на рамката, за да помогнат за идентифициране и намаляване на пропуските в покритието.
MITRE CTID (Center for Threat-Informed Defense) е център за научноизследователска и развойна дейност, финансиран от частни организации, който си сътрудничи както с организации от частния сектор, така и с организации с нестопанска цел. Тяхната цел е да революционизират подхода към противниците чрез обединяване на ресурсите и наблягане на проактивното реагиране на инциденти, а не на реактивните мерки. Тази мисия се ръководи от убеждението, вдъхновено от Джон Ламбърт, че защитниците трябва да преминат от мислене в списъци към мислене в графики, ако искат да преодолеят предимствата на нападателите.
Етай Маор коментира: „Това е много важно. Трябва да улесним сътрудничеството между защитниците на различни нива. Ние сме много запалени по този въпрос.“
Важна инициатива в този контекст е проектът „Поток на атаката“. Проектът „Attack Flow“ се занимава с предизвикателството, пред което са изправени защитниците, които често се фокусират върху индивидуално, атомно поведение на нападателите. Вместо това „Attack Flow“ използва нов език и инструменти за описване на потока от техники на ATT&CK. След това тези техники се комбинират в модели на поведение. Този подход позволява на защитниците и лидерите да получат по-дълбоко разбиране за начина, по който действат противниците, за да могат да усъвършенстват съответно своите стратегии.
Тук можете да видите как изглежда потокът на атаката.
С помощта на тези потоци от атаки защитниците могат да отговорят на въпроси като:
Отговорите могат да им помогнат да уловят, споделят и анализират моделите на атака.
Тогава те ще могат да отговорят на най-важните въпроси:
CTID приканва общността да участва в нейните дейности и да допринася за обогатяването на нейната база от знания. Можете да се свържете с тях в LinkedIn.
За да научите повече за рамката MITRE ATT&CK, гледайте целия майсторски клас тук.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.