USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) tõi turule tasuta tööriista Decider, mis aitab küberturvalisuse kogukonnal hõlpsamini kaardistada ohus osalejate käitumist MITER ATT&CK raamistikuga.
Koostöös USA sisejulgeolekusüsteemide instituudi (HSSEDI) ja MITRE-ga loodud Decider on veebirakendus, mida organisatsioonid saavad oma infrastruktuuris alla laadida ja hostida, muutes selle pilve kaudu kättesaadavaks paljudele kasutajatele. Selle eesmärk on lihtsustada raamistiku täpse ja tõhusa kasutamise sageli vaevarikast protsessi ning avada selle kasutamine konkreetse küberjulgeoleku organisatsiooni iga taseme analüütikutele.
ATT&CK: keeruline raamistik
ATT&CK on loodud selleks abi turvaanalüütikutele määrata, mida ründajad üritavad saavutada ja kui kaugel nad protsessis on (st kas nad loovad esialgse juurdepääsu? Liiguvad külgsuunas? Eksfiltreerivad andmeid?) See teeb seda tuntud küberrünnakutehnikate ja alamtehnikate komplekti kaudu, mis määratakse kindlaks ja värskendatakse perioodiliselt MITRE poolt, et analüütikud saavad kaardistada lisaks sellele, mida nad võivad oma keskkonnas näha.
Eesmärk on ennetada pahalaste järgmisi käike ja peatada rünnakud nii kiiresti kui võimalik. Raamistiku saab lisada ka mitmesugustesse turbetööriistadesse ning see pakub standardkeelt kaaslaste ja sidusrühmadega suhtlemiseks intsidentidele reageerimise ja kohtuekspertiisi uurimise ajal.
See kõik on hea, kuid probleem on selles, et raamistik on kurikuulsalt keeruline, nõudes näiteks õigete kaardistuste valimiseks sageli kõrgetasemelist koolitust ja teadmisi. See samuti laieneb pidevalt, sealhulgas lisaks ettevõtte rünnakutele, et hõlmata ohte tööstuslikele juhtimissüsteemidele (ICS) ja mobiilne maastik, lisades keerukust. Kokkuvõttes on see navigeerimiseks laialivalguv andmekogum – ja küberkaitsjad satuvad seda kasutades sageli umbrohtu.
"Saadaval on palju tehnikaid ja alamtehnikaid, mis võivad olla väga kaasatud ja väga tehnilised, ja sageli on analüütikud ülekoormatud või see aeglustab neid üsna palju, sest nad ei pruugi teada, kas alam- tehnika, mida nad valivad, on õige,” ütleb CISA sektsiooni juht James Stanley, märkides, et kaebused selle tööriista kasutamise vale kaardistamise kohta on tavalised.
„Kui lähete veebisaidile, on teie ees palju teavet ja see muutub kiiresti hirmutavaks. Tööriist Decider muudab selle analüütiku jaoks lihtsalt selgemaks, olenemata nende teadmiste tasemest,“ ütleb ta. "Soovisime anda oma sidusrühmadele rohkem juhiseid raamistiku kasutamise kohta ja teha selle kättesaadavaks näiteks nooremanalüütikutele, kes võiksid selle reaalajas kasutamisest kasu saada näiteks keset ööd toimuvatele juhtumitele reageerimise ajal."
Laiemas plaanis usuvad CISA ja MITERi usukuulutajad, et ATT&CK laiem kasutamine – nagu Decider julgustab – toob kaasa parema ja teostatavama ohuluure ja paremaid küberkaitsetulemusi.
"CISA-s tahame tõesti panna rõhku ohuluure kasutamisele, et olla kaitses ennetav ja mitte reageerida," ütleb Stanley. "Väga pikka aega on tööstusharu eesmärk olnud kompromissi näitajate (IOC) jagamine, millel on väga lai ja väga piiratud kontekst."
Seevastu ATT&CK kallutab mänguruumi kaitse eeliseks, ütleb ta, kuna see on üksikasjalik ja annab organisatsioonidele võimaluse mõista konkreetsete ohustajate mänguraamatuid, mis on olulised nende spetsiifiline keskkond.
"Ohunäitlejad peaksid teadma, et nende mänguraamatud on sisuliselt kasutud, kui tõstame esile, mida ja kuidas nad teevad ning lisame selle raamistikku," selgitab ta. "Organisatsioonidel, mis saavad seda kasutada, on palju tugevam turvahoiak, mitte lihtsalt IP-aadresside või räside pimesi blokeerimine, nagu tööstusharu on harjunud tegema. Otsustaja viib meid sellele lähemale.
ATT&CK lihtsustamine analüütikute juurdepääsetavuse tagamiseks
Decider muudab ATT&CK kaardistamise ligipääsetavamaks, suunates kasutajad läbi rea juhitud küsimusi vastase tegevuse kohta, eesmärgiga tuvastada raamistikus õiged taktikad, tehnikad või alamtehnikad, et intsidendiga intuitiivselt sobitada. Sealt saavad need tulemused CISA andmetel "teavet paljudest olulistest tegevustest, nagu leidude jagamine, leevenduste leidmine ja edasiste tehnikate tuvastamine". Märtsi 1 teadaanne uuest tööriistast.
Lisaks eeltäidetud suunavatele küsimustele kasutab Decider lihtsustatud keelt, mis oleks juurdepääsetav igale turbeanalüütikule, intuitiivset otsingu- ja filtrifunktsiooni asjakohaste tehnikate avastamiseks ning „ostukorvi” funktsiooni, mis võimaldab kasutajatel eksportida tulemusi tavaliselt kasutatavatesse vormingutesse. Lisaks saavad organisatsioonid seda kohandada ja häälestada vastavalt oma individuaalsetele keskkondadele, sealhulgas märgistada levinumaid valesid vasteid.
MITRE CTI ja Adversary Emulationi osakonnajuhataja John Wunderi sõnul on ATT&CK-st lõpuks saanud küberjulgeolekuorganisatsioonide põhiline tausttööriist, mitte aga kohmakas, kui see on kasulik vahend, nagu see on olnud.
"Üks asi, mida mulle väga meeldiks näha, kui ATT&CK jääb rohkem tagaplaanile, on vaid osa küberjulgeoleku igapäevasest tegevusest ja üksikud analüütikud peavad sellele lihtsalt vähem tähelepanu pöörama," ütleb ta. "See on lihtsalt miski, mis peaks olema meie tegevuse ja vastaste käitumise mõistmise aluse panemine, mitte midagi, mille läbimõtlemiseks peate iga kord, kui reageerite juhtumile, kulutama palju aega. Otsustaja on selles suunas suur samm edasi.
Tööriist aitab ka ATT&CK süntaksil muutuda de facto ühiseks nomenklatuuriks tööriistade ja turbeplatvormide vahel ning ohuteabe jagamisel.
"Kui näete, et ATT&CK kasutatakse üha enamas ökosüsteemis ja kõik kasutavad ühist keelt, hakkavad ATT&CK kasutajad nägema üha enam kasu asjade raamistikuga joondamisest ja selle kasutamisest tööriistade ja nii edasi tõhusamaks korrelatsiooniks. "ütleb Wunder. "Loodetavasti hakkame selliste asjade kaudu nagu Decider, mis muudavad selle kasutamise lihtsamaks, seda üha rohkem nägema."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- :on
- $ UP
- 1
- a
- MEIST
- juurdepääs
- juurdepääsetav
- Vastavalt
- täpselt
- Saavutada
- üle
- tegevus
- tegevus
- osalejad
- lisamine
- Lisaks
- aadressid
- ADEelis
- agentuur
- Materjal: BPA ja flataatide vaba plastik
- analüütik
- Analüütikud
- ja
- infrastruktuuri
- ennetada
- taotlus
- OLEME
- AS
- At
- Reageerib
- tähelepanu
- saadaval
- tagapõhi
- Halb
- BE
- sest
- muutuma
- Uskuma
- kasu
- Parem
- Peale
- Suur
- Natuke
- pimesi
- blokeerimine
- Toob
- lai
- laiem
- by
- CAN
- Saab
- juht
- CISA
- lähemale
- Cloud
- ühine
- tavaliselt
- suhtlemine
- kogukond
- kaebuste
- keeruline
- keerukus
- kompromiss
- kontekst
- kontrast
- kontrollida
- Corp
- võiks
- cyber
- Küberrünnak
- Küberturvalisus
- Küberturvalisuse ja infrastruktuuri turvalisuse amet
- andmed
- andmekogum
- päevast päeva
- Kaitsjad
- kaitse
- osakond
- kavandatud
- Määrama
- kindlaksmääratud
- & Tarkvaraarendus
- avastades
- teeme
- alla
- lae alla
- ajal
- e
- iga
- lihtsam
- kergesti
- ökosüsteemi
- tõhusalt
- rõhk
- julgustada
- Inseneriteadus
- ettevõte
- keskkondades
- põhiliselt
- asutades
- Eeter (ETH)
- lõpuks
- Iga
- igaüks
- teadmised
- Selgitab
- eksport
- facto
- kaugele
- väli
- filtreerida
- sobima
- eest
- Kohtuekspertiisi
- vorm
- edasi
- Sihtasutus
- Raamistik
- tasuta
- Alates
- esi-
- funktsioon
- funktsionaalsus
- edasi
- saama
- Andma
- antud
- annab
- Go
- eesmärk
- hea
- suunata
- Olema
- võttes
- aitama
- aitab
- Suur
- Esile tõstma
- kodumaa
- Sisejulgeolekuministeeriumi
- lootus
- loodetavasti
- võõrustaja
- Kuidas
- Kuidas
- HTTPS
- i
- ICS
- identifitseerimiseks
- oluline
- in
- juhtum
- intsidentidele reageerimine
- Kaasa arvatud
- lisada
- Inkorporeeritud
- näitajad
- eraldi
- tööstus-
- tööstus
- info
- Infrastruktuur
- esialgne
- Näiteks
- Instituut
- instrument
- Intelligentsus
- intuitiivne
- Uuringud
- seotud
- IP
- IP-aadressid
- IT
- ITS
- John
- Laps
- Teadma
- teatud
- keel
- käivitatud
- viima
- Lets
- Tase
- nagu
- piiratud
- Pikk
- kaua aega
- Vaata
- Partii
- armastus
- tegema
- TEEB
- Tegemine
- juht
- kaart
- kaardistus
- max laiuse
- võib
- mobiilne
- rohkem
- käike
- liikuv
- Navigate
- tingimata
- Uus
- järgmine
- of
- sageli
- on
- ONE
- avatud
- Operations
- vastupidine
- organisatsioon
- organisatsioonid
- ülekoormatud
- enda
- osa
- Partnerlus
- Maksma
- tavaline
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängimine
- võimalik
- Proaktiivne
- Probleem
- protsess
- annab
- panema
- Küsimused
- kiiresti
- valik
- pigem
- RE
- reaalne
- reaalajas
- Sõltumata sellest
- asjakohane
- vastus
- Tulemused
- s
- ütleb
- Otsing
- Osa
- turvalisus
- turvasüsteemid
- turvavahendid
- nägemine
- Seeria
- komplekt
- Jaga
- jagamine
- ostud
- ostukorv
- peaks
- sulgema
- lihtsustatud
- lihtsustama
- aeglustub
- So
- midagi
- allikas
- konkreetse
- kulutama
- huvirühmad
- standard
- stanley
- algus
- Samm
- tugevam
- selline
- süntaks
- süsteemid
- taktika
- Võtma
- Tehniline
- tehnikat
- et
- .
- oma
- Neile
- asi
- asjad
- Mõtlemine
- oht
- ohus osalejad
- ohtude luure
- ähvardused
- Läbi
- aeg
- nõuanded
- et
- tööriist
- töövahendid
- ülemine
- koolitus
- mõistma
- mõistmine
- us
- kasutama
- Kasutajad
- sort
- kaudu
- jalutamine
- tagaotsitav
- Tee..
- web
- Veebirakendus
- veebisait
- Hästi
- M
- mis
- WHO
- laiem
- will
- koos
- jooksul
- oleks
- Sinu
- sephyrnet
