CISA, MITER Κοιτάξτε να βγάλετε το πλαίσιο ATT&CK από τα ζιζάνια

CISA, MITER Κοιτάξτε να βγάλετε το πλαίσιο ATT&CK από τα ζιζάνια

Χρονική σήμανση: 2 Μαρτίου 2023 6:06 μ.μ.
Κόμβος πηγής: 1995022

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) κυκλοφόρησε το Decider, ένα δωρεάν εργαλείο για να βοηθήσει την κοινότητα της κυβερνοασφάλειας να χαρτογραφήσει ευκολότερα τη συμπεριφορά των φορέων απειλής στο πλαίσιο MITER ATT&CK.

Δημιουργήθηκε σε συνεργασία με το Ινστιτούτο Μηχανικής και Ανάπτυξης Συστημάτων Εσωτερικής Ασφάλειας των ΗΠΑ (HSSEDI) και το MITRE, το Decider είναι μια εφαρμογή Ιστού την οποία οι οργανισμοί μπορούν να κατεβάσουν και να φιλοξενήσουν στη δική τους υποδομή, καθιστώντας την έτσι διαθέσιμη σε μια σειρά χρηστών μέσω του cloud. Σκοπός του είναι να απλοποιήσει τη συχνά επαχθή διαδικασία χρήσης του πλαισίου με ακρίβεια και αποτελεσματικότητα, καθώς και να ανοίξει τη χρήση του σε αναλυτές σε κάθε επίπεδο σε έναν δεδομένο οργανισμό ασφάλειας στον κυβερνοχώρο.

ATT&CK: Ένα σύνθετο πλαίσιο

Το ATT&CK έχει σχεδιαστεί για να βοηθούν τους αναλυτές ασφαλείας καθορίζει τι προσπαθούν να επιτύχουν οι επιτιθέμενοι και πόσο μακριά βρίσκονται στη διαδικασία (δηλαδή, δημιουργούν αρχική πρόσβαση; Κινούνται πλευρικά; Εξερχόμενα δεδομένα;) Αυτό το κάνει μέσω ενός συνόλου γνωστών τεχνικών και επιμέρους τεχνικών κυβερνοεπιθέσεων που καθορίζονται και ανανεώνονται περιοδικά από το MITRE, ότι οι αναλυτές μπορούν να χαρτογραφήσουν πάνω από αυτό που μπορεί να βλέπουν στο δικό τους περιβάλλον.

Ο στόχος είναι να προβλέψουμε τις επόμενες κινήσεις των κακών και να κλείσουμε τις επιθέσεις όσο το δυνατόν γρηγορότερα. Το πλαίσιο μπορεί επίσης να ενσωματωθεί σε μια ποικιλία εργαλείων ασφαλείας και παρέχει μια τυπική γλώσσα για την επικοινωνία με ομοτίμους και ενδιαφερομένους κατά τη διάρκεια της απόκρισης σε περιστατικά και των εγκληματολογικών ερευνών.

Όλα αυτά είναι καλά, αλλά το πρόβλημα είναι ότι το πλαίσιο είναι διαβόητα περίπλοκο, και συχνά απαιτεί υψηλό επίπεδο εκπαίδευσης και εξειδίκευσης για την επιλογή των σωστών αντιστοιχίσεων, για παράδειγμα. Επίσης επεκτείνεται συνεχώς, συμπεριλαμβανομένων πέραν των επιθέσεων επιχειρήσεων για την ενσωμάτωση απειλών για συστήματα βιομηχανικού ελέγχου (ICS) και το κινητό τοπίο, προσθέτοντας στην πολυπλοκότητα. Συνολικά, είναι ένα εκτεταμένο σύνολο δεδομένων για πλοήγηση - και οι υπερασπιστές του κυβερνοχώρου συχνά καταλήγουν στα ζιζάνια όταν προσπαθούν να το χρησιμοποιήσουν.

«Υπάρχουν πολλές τεχνικές και επιμέρους τεχνικές που είναι διαθέσιμες και που μπορούν να εμπλακούν πολύ και πολύ τεχνικές, και συχνά οι αναλυτές είναι συγκλονισμένοι ή τους επιβραδύνει αρκετά, επειδή δεν γνωρίζουν απαραίτητα εάν Η τεχνική που επιλέγουν είναι η σωστή», λέει ο James Stanley, επικεφαλής του τμήματος της CISA, σημειώνοντας ότι τα παράπονα για εσφαλμένες αντιστοιχίσεις χρησιμοποιώντας το εργαλείο είναι κοινά.

«Όταν πηγαίνετε στον ιστότοπο, υπάρχουν πολλές πληροφορίες μπροστά σας και γίνονται γρήγορα τρομακτικές. Το εργαλείο Decider το φέρνει πραγματικά σε πιο απλή γλώσσα για χρήση από έναν αναλυτή, ανεξάρτητα από το επίπεδο τεχνογνωσίας του», λέει. «Θέλαμε να δώσουμε στους ενδιαφερόμενους μας περισσότερες οδηγίες σχετικά με τον τρόπο χρήσης του πλαισίου και να το καταστήσουμε διαθέσιμο, για παράδειγμα, σε νεαρούς αναλυτές που θα μπορούσαν να επωφεληθούν από τη χρήση του σε πραγματικό χρόνο κατά τη διάρκεια της απόκρισης περιστατικών τη μέση της νύχτας, για παράδειγμα».

Ένα στιγμιότυπο οθόνης του εργαλείου απόφασης του MITRE

Το Decider χρησιμοποιεί μια σειρά ερωτήσεων για να καθοδηγήσει τους αναλυτές στο πλαίσιο. Πηγή: MITER Corp.

Σε ένα ευρύτερο επίπεδο, οι προσηλυτιστές στο CISA και στο MITER πιστεύουν ότι μια ευρύτερη χρήση του ATT&CK - όπως ενθαρρύνεται από το Decider - θα οδηγήσει σε καλύτερες, πιο λειτουργικές πληροφορίες απειλών - και καλύτερα αποτελέσματα στον κυβερνοχώρο άμυνας.

«Στην CISA, θέλουμε πραγματικά να δώσουμε έμφαση στη χρήση πληροφοριών απειλών για να είστε προληπτικοί στην άμυνά σας και όχι αντιδραστικοί», λέει ο Stanley. «Για πολύ μεγάλο χρονικό διάστημα, η επιθυμία της βιομηχανίας για αυτό ήταν να μοιράζεται δείκτες συμβιβασμού (ΔΟΕ), οι οποίοι έχουν πολύ ευρύ, πολύ περιορισμένο πλαίσιο». 

Αντίθετα, η ATT&CK συμβουλεύει τον αγωνιστικό χώρο προς όφελος της άμυνας, λέει, επειδή είναι λεπτομερής και δίνει στους οργανισμούς έναν τρόπο να κατανοήσουν τους συγκεκριμένους παράγοντες κινδύνου που σχετίζονται με συγκεκριμένα περιβάλλοντά τους.

«Οι πρωταγωνιστές των απειλών θα πρέπει να γνωρίζουν ότι τα βιβλία τους είναι ουσιαστικά άχρηστα όταν τονίσουμε τι κάνουν και πώς το κάνουν και το ενσωματώσουμε στο πλαίσιο», εξηγεί. «Οι οργανισμοί που μπορούν να το χρησιμοποιήσουν έχουν πολύ πιο ισχυρή στάση ασφαλείας σε αντίθεση με το να μπλοκάρουν απλώς τυφλά διευθύνσεις IP ή κατακερματισμούς, όπως συνηθίζει να κάνει η βιομηχανία. Το Decider μας φέρνει πιο κοντά σε αυτό».

Απλοποίηση ATT&CK για Προσβασιμότητα Αναλυτών

Το Decider κάνει τη χαρτογράφηση ATT&CK πιο προσιτή, καθοδηγώντας τους χρήστες σε μια σειρά καθοδηγούμενων ερωτήσεων σχετικά με τη δραστηριότητα του αντιπάλου, με στόχο τον εντοπισμό των σωστών τακτικών, τεχνικών ή επιμέρους τεχνικών στο πλαίσιο για να ταιριάζει με το περιστατικό με διαισθητικό τρόπο. Από εκεί, αυτά τα αποτελέσματα μπορούν να «πληροφορήσουν μια σειρά από σημαντικές δραστηριότητες, όπως η κοινή χρήση των ευρημάτων, η ανακάλυψη μέτρων μετριασμού και η ανίχνευση περαιτέρω τεχνικών», σύμφωνα με την CISA. Ανακοίνωση 1ης Μαρτίου του νέου εργαλείου.

Decider υπο-τεχνική ορισμός του spearphishing

Το Decider χρησιμοποιεί απλοποιημένη γλώσσα και ορισμούς για τεχνικές και επιμέρους τεχνικές. Πηγή: MITER Corp.

Εκτός από τις προσυμπληρωμένες καθοδηγητικές ερωτήσεις, το Decider χρησιμοποιεί απλοποιημένη γλώσσα που θα είναι προσβάσιμη σε οποιονδήποτε αναλυτή ασφαλείας, μια διαισθητική λειτουργία αναζήτησης και φίλτρου για την αποκάλυψη σχετικών τεχνικών και μια λειτουργία "καλάθι αγορών" που επιτρέπει στους χρήστες να εξάγουν αποτελέσματα σε κοινά χρησιμοποιούμενες μορφές. Επιπλέον, οι οργανισμοί μπορούν να το προσαρμόσουν και να το συντονίσουν στα δικά τους μεμονωμένα περιβάλλοντα, συμπεριλαμβανομένης της επισήμανσης κοινών εσφαλμένων αντιστοιχίσεων.

Σύμφωνα με τον John Wunder, διευθυντή τμήματος, CTI και Adversary Emulation στο MITRE, η ATT&CK θα γίνει τελικά ένα θεμελιώδες εργαλείο για την ασφάλεια στον κυβερνοχώρο, αντί για το δυσκίνητο, αν και χρήσιμο, εργαλείο που ήταν.

«Ένα πράγμα που θα ήθελα πολύ να δω καθώς η ATT&CK μετακινείται περισσότερο στο παρασκήνιο είναι απλώς ένα μέρος των καθημερινών λειτουργιών της κυβερνοασφάλειας και οι μεμονωμένοι αναλυτές πρέπει απλώς να δίνουν λιγότερη προσοχή σε αυτό», λέει. «Είναι απλώς κάτι που πρέπει να αποτελεί τη βάση αυτού που κάνουμε και σκεφτόμαστε για την κατανόηση των αντίπαλων συμπεριφορών, και όχι κάτι για το οποίο πρέπει να αφιερώνετε πολύ χρόνο για να το σκέφτεστε κάθε φορά που κάνετε μια απάντηση σε περιστατικό. Το Decider είναι ένα μεγάλο βήμα προς τα εμπρός σε αυτό."

Το εργαλείο βοηθά επίσης τη σύνταξη της ATT&CK να γίνει η de facto κοινή ονοματολογία μεταξύ εργαλείων και πλατφορμών ασφαλείας, καθώς και για την ανταλλαγή πληροφοριών σχετικά με τις απειλές.

«Μόλις δείτε το ATT&CK να χρησιμοποιείται σε όλο και περισσότερο το οικοσύστημα και όλοι χρησιμοποιούν μια κοινή γλώσσα, τότε οι χρήστες του ATT&CK αρχίζουν να βλέπουν όλο και περισσότερα οφέλη από την ευθυγράμμιση των πραγμάτων με το πλαίσιο και τη χρήση του για πιο αποτελεσματική συσχέτιση εργαλείων κ.λπ. », λέει ο Wunder. "Ας ελπίσουμε ότι μέσα από πράγματα όπως το Decider που το κάνουν πιο εύκολο στη χρήση, θα αρχίσουμε να βλέπουμε όλο και περισσότερα από αυτό."

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση