Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) on julkaissut Deciderin, ilmaisen työkalun, joka auttaa kyberturvallisuusyhteisöä kartoittamaan uhkien käyttäytymisen helpommin MITER ATT&CK -kehykseen.
Yhteistyössä US Homeland Security Systems Engineering and Development Instituten (HSSEDI) ja MITRE:n kanssa luotu Decider on verkkosovellus, jonka organisaatiot voivat ladata ja isännöidä omassa infrastruktuurissaan, jolloin se on useiden käyttäjien saatavilla pilven kautta. Se on tarkoitettu yksinkertaistamaan usein työlästä prosessia, jossa puitteet käytetään tarkasti ja tehokkaasti, sekä avaamaan sen käyttö analyytikoille kaikilla tasoilla tietyssä kyberturvallisuusorganisaatiossa.
ATT&CK: Monimutkainen kehys
ATT&CK on suunniteltu auttaa tietoturva-analyytikoita määrittää, mitä hyökkääjät yrittävät saavuttaa ja kuinka pitkälle he ovat prosessissa (eli muodostavatko he alustavan pääsyn? Liikkuvatko sivusuunnassa? Tutkivat tietoja?) Se tekee tämän joukon tunnettuja kyberhyökkäystekniikoita ja alitekniikoita, jotka määritetään ja päivitetään ajoittain. MITRE, että analyytikot voivat kartoittaa sen päälle, mitä he saattavat nähdä omassa ympäristössään.
Tavoitteena on ennakoida pahisten seuraavat liikkeet ja pysäyttää hyökkäykset mahdollisimman nopeasti. Kehys voidaan myös sisällyttää useisiin tietoturvatyökaluihin, ja se tarjoaa vakiokielen kommunikointiin vertaisten ja sidosryhmien kanssa vaaratilanteiden reagoinnin ja rikosteknisten tutkimusten aikana.
Se on hyvä ja hyvä asia, mutta ongelmana on, että kehys on tunnetusti monimutkainen, ja se vaatii usein korkeaa koulutusta ja asiantuntemusta esimerkiksi oikeiden kartoitusten valitsemiseksi. Se myös laajenee jatkuvasti, mukaan lukien yrityshyökkäykset, jotka sisältävät uhkia teollisiin ohjausjärjestelmiin (ICS) ja mobiilimaisema, mikä lisää monimutkaisuutta. Kaiken kaikkiaan se on laaja tietojoukko navigointia varten – ja kyberpuolustajat päätyvät usein rikkaruohoon yrittäessään käyttää sitä.
"On olemassa monia tekniikoita ja alitekniikoita, jotka ovat saatavilla ja jotka voivat olla hyvin mukana ja erittäin teknisiä, ja usein analyytikot ovat ylikuormitettuja tai se hidastaa heitä melkoisesti, koska he eivät välttämättä tiedä, onko heidän valitsemansa tekniikka on oikea”, CISA:n osastopäällikkö James Stanley sanoo ja huomauttaa, että valitukset työkalua käyttävistä virheellisistä kartoituksista ovat yleisiä.
”Kun siirryt verkkosivustolle, edessäsi on paljon tietoa ja se pelottaa nopeasti. Decider-työkalu todellakin vain tuo sen selkeämpään kieleen analyytikon käyttöön riippumatta heidän asiantuntemuksensa tasosta", hän sanoo. "Halusimme antaa sidosryhmillemme enemmän ohjausta viitekehyksen käyttöön ja antaa sen esimerkiksi nuorempien analyytikoiden saataville, jotka voisivat hyötyä sen käytöstä reaaliajassa esimerkiksi keskellä yötä tapahtuvien tapausten aikana."
Laajemmalla tasolla CISA:n ja MITERin käännyttäjät uskovat, että ATT&CK:n laajempi käyttö – kuten Decider rohkaisee – johtaa parempaan, toimivampaan uhkien tiedustelutietoon – ja parempiin kyberpuolustustuloksiin.
"CISA:lla haluamme todella painottaa uhkatiedon käyttöä ollaksemme ennakoivia puolustuksessasi, emmekä reaktiivisia", Stanley sanoo. "Alan pyrkimys tähän on pitkään ollut jakaa kompromissiindikaattoreita (IOC), joilla on hyvin laaja, hyvin rajallinen konteksti."
Sitä vastoin ATT&CK kääntää pelikentän puolustuksen eduksi, hän sanoo, koska se on rakeinen ja antaa organisaatioille tavan ymmärtää tiettyjä uhkatoimijoiden pelikirjoja, jotka ovat olennaisia. erityisissä ympäristöissään.
"Uhkatoimijoiden tulisi tietää, että heidän leikkikirjansa ovat pohjimmiltaan hyödyttömiä, kun korostamme heidän toimintaansa ja miten he tekevät sen ja sisällytämme sen kehykseen", hän selittää. "Organisaatioilla, jotka voivat käyttää sitä, on paljon vahvempi suojausasento sen sijaan, että ne vain estävät sokeasti IP-osoitteet tai tiivisteet, kuten teollisuus on tottunut tekemään. Decider vie meidät lähemmäs sitä."
Yksinkertaistamalla ATT&CK:n analyytikkokäyttöä
Decider tekee ATT&CK-kartoinnista helpommin saavutettavissa ohjaamalla käyttäjiä vastustajan toimintaa koskevien ohjattujen kysymysten läpi. Tavoitteena on tunnistaa kehyksessä oikeat taktiikat, tekniikat tai alitekniikat, jotka sopivat tapahtumaan intuitiivisella tavalla. Sieltä nämä tulokset voivat "tietoa monista tärkeistä toiminnoista, kuten löydösten jakamisesta, lieventämiskeinojen löytämisestä ja lisätekniikoiden havaitsemisesta", CISA:n mukaan. Ilmoitus 1. maaliskuuta uudesta työkalusta.
Valmiiksi täytettyjen ohjaavien kysymysten lisäksi Decider käyttää yksinkertaistettua kieltä, jota kaikki tietoturva-analyytikot voivat käyttää, intuitiivista haku- ja suodatustoimintoa asiaankuuluvien tekniikoiden löytämiseksi sekä "ostoskori"-toimintoa, jonka avulla käyttäjät voivat viedä tuloksia yleisesti käytettyihin muotoihin. Lisäksi organisaatiot voivat räätälöidä ja virittää sen omiin yksilöllisiin ympäristöihinsä, mukaan lukien yleisten virheiden ilmoittaminen.
MITRE:n CTI:n ja Adversary Emulationin osastopäällikön John Wunderin mukaan ATT&CK:sta tulee lopulta perustavanlaatuinen taustatyökalu kyberturvallisuusorganisaatioille sen sijaan, että se olisi ollut raskas, joskin hyödyllinen väline.
"Yksi asia, jonka haluaisin todella nähdä ATT&CK:n siirtyessä enemmän taustalle, on vain osa kyberturvallisuuden päivittäistä toimintaa ja yksittäisten analyytikkojen on vain kiinnitettävä siihen vähemmän huomiota", hän sanoo. ”Se on vain jotain, jonka pitäisi muodostaa perusta sille, mitä teemme ja pohdimme vastustajakäyttäytymisen ymmärtämistä, eikä sellaista, jonka miettimiseen sinun on käytettävä paljon aikaa joka kerta, kun reagoit tapahtumaan. Decider on iso askel eteenpäin siinä."
Työkalu auttaa myös ATT&CK:n syntaksista muodostumaan de facto yhteinen nimikkeistö työkalujen ja suojausalustojen välillä sekä uhkatiedon jakamisessa.
"Kun näet, että ATT&CK:ta käytetään yhä suuremmassa osassa ekosysteemiä ja kaikki käyttävät yhteistä kieltä, ATT&CK:n käyttäjät alkavat nähdä yhä enemmän hyötyä asioiden sovittamisesta kehykseen ja sen käyttämisestä työkalujen tehokkaampaan korrelointiin ja niin edelleen. ”, Wunder sanoo. "Toivottavasti alamme nähdä sitä enemmän ja enemmän käyttöä helpottavien asioiden, kuten Deciderin, kautta."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- :On
- $ YLÖS
- 1
- a
- Meistä
- pääsy
- saatavilla
- Mukaan
- tarkasti
- Saavuttaa
- poikki
- toiminta
- toiminta
- toimijoiden
- Lisäksi
- Lisäksi
- osoitteet
- Etu
- toimisto
- Kaikki
- analyytikko
- analyytikot
- ja
- ja infrastruktuuri
- ennakoida
- Hakemus
- OVAT
- AS
- At
- Hyökkäykset
- huomio
- saatavissa
- tausta
- Huono
- BE
- koska
- tulevat
- Uskoa
- hyödyttää
- Paremmin
- Jälkeen
- Iso
- Bitti
- sokeasti
- esto
- Tuo
- laaja
- laajempaa
- by
- CAN
- Voi saada
- päällikkö
- CISA
- lähempänä
- pilvi
- Yhteinen
- yleisesti
- viestiä
- yhteisö
- valitukset
- monimutkainen
- monimutkaisuus
- kompromissi
- tausta
- kontrasti
- ohjaus
- Corp
- voisi
- cyber
- Kyberhyökkäys
- tietoverkkojen
- Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto
- tiedot
- tietojoukko
- päivästä päivään
- Puolustajat
- Puolustus
- osasto
- suunniteltu
- Määrittää
- määritetty
- Kehitys
- löytämässä
- tekee
- alas
- download
- aikana
- e
- kukin
- helpompaa
- helposti
- ekosysteemi
- tehokkaasti
- painotus
- kannusti
- Tekniikka
- yritys
- ympäristöissä
- olennaisesti
- perustamisesta
- Eetteri (ETH)
- lopulta
- Joka
- jokainen
- asiantuntemus
- selittää
- vienti
- facto
- paljon
- ala
- suodattaa
- sovittaa
- varten
- oikeusopillinen
- muoto
- Eteenpäin
- perusta
- Puitteet
- Ilmainen
- alkaen
- etuosa
- toiminto
- toiminnallisuus
- edelleen
- saada
- Antaa
- tietty
- antaa
- Go
- tavoite
- hyvä
- ohjaavat
- Olla
- ottaa
- auttaa
- auttaa
- Korkea
- Korostaa
- kotimaa
- Homeland Security
- toivoa
- Toivon mukaan
- isäntä
- Miten
- Miten
- HTTPS
- i
- ICS
- tunnistaminen
- tärkeä
- in
- tapaus
- tapahtuman vastaus
- Mukaan lukien
- sisällyttää
- yhdistetty
- indikaattorit
- henkilökohtainen
- teollinen
- teollisuus
- tiedot
- Infrastruktuuri
- ensimmäinen
- esimerkki
- Instituutti
- väline
- Älykkyys
- intuitiivinen
- Tutkimukset
- osallistuva
- IP
- IP-osoitteita
- IT
- SEN
- Johannes
- laji
- Tietää
- tunnettu
- Kieli
- käynnistettiin
- johtaa
- Lets
- Taso
- pitää
- rajallinen
- Pitkät
- pitkä aika
- katso
- Erä
- rakkaus
- tehdä
- TEE
- Tekeminen
- johtaja
- kartta
- kartoitus
- max-width
- ehkä
- Puhelinnumero
- lisää
- liikkuu
- liikkuvat
- Navigoida
- välttämättä
- Uusi
- seuraava
- of
- useita kertoja
- on
- ONE
- avata
- Operations
- vastakkainen
- organisaatio
- organisaatioiden
- hukkua
- oma
- osa
- Kumppanuus
- Maksaa
- tavallinen
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- pelaa
- mahdollinen
- Ennakoiva
- Ongelma
- prosessi
- tarjoaa
- laittaa
- kysymykset
- nopeasti
- alue
- pikemminkin
- RE
- todellinen
- reaaliaikainen
- riippumatta
- merkityksellinen
- vastaus
- tulokset
- s
- sanoo
- Haku
- Osa
- turvallisuus
- turvajärjestelmät
- turvallisuustyökalut
- koska
- Sarjat
- setti
- Jaa:
- jakaminen
- Ostokset
- ostoskori
- shouldnt
- sulkea
- yksinkertaistettu
- yksinkertaistaa
- hidastuu
- So
- jotain
- lähde
- erityinen
- viettää
- sidosryhmien
- standardi
- Stanley
- Alkaa
- Vaihe
- vahvempi
- niin
- syntaksi
- järjestelmät
- taktiikka
- ottaa
- Tekninen
- tekniikat
- että
- -
- heidän
- Niitä
- asia
- asiat
- Ajattelu
- uhkaus
- uhka toimijat
- uhkien tiedustelu
- uhat
- Kautta
- aika
- vinkit
- että
- työkalu
- työkalut
- ylin
- koulutus
- ymmärtää
- ymmärtäminen
- us
- käyttää
- Käyttäjät
- lajike
- kautta
- kävely
- halusi
- Tapa..
- verkko
- Web-sovellus
- Verkkosivu
- HYVIN
- Mitä
- joka
- KUKA
- laajempi
- tulee
- with
- sisällä
- olisi
- Sinun
- zephyrnet
