CISA, MITER ATT&CK फ्रेमवर्क को मातम से बाहर निकालना चाहते हैं

CISA, MITER ATT&CK फ्रेमवर्क को मातम से बाहर निकालना चाहते हैं

समय टिकट: 2 मार्च, 2023 6:06 PM
स्रोत नोड: 1995022

यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने साइबर सुरक्षा समुदाय की मदद करने के लिए MITER ATT&CK फ्रेमवर्क में खतरे वाले अभिनेता के व्यवहार को अधिक आसानी से मैप करने में मदद करने के लिए एक नि: शुल्क टूल डेसीडर लॉन्च किया है।

US Homeland Security Systems Engineering and Development Institute (HSSEDI) और MITR के साथ साझेदारी में बनाया गया, Decider एक वेब एप्लिकेशन है जिसे संगठन अपने स्वयं के बुनियादी ढांचे के भीतर डाउनलोड और होस्ट कर सकते हैं, इस प्रकार इसे क्लाउड के माध्यम से उपयोगकर्ताओं की एक श्रेणी के लिए उपलब्ध कराते हैं। यह ढांचे को सटीक और प्रभावी ढंग से उपयोग करने की अक्सर कठिन प्रक्रिया को सरल बनाने के साथ-साथ किसी दिए गए साइबर सुरक्षा संगठन में प्रत्येक स्तर पर विश्लेषकों के लिए इसका उपयोग खोलने के लिए है।

एटी एंड सीके: एक जटिल ढांचा

ATT&CK को डिज़ाइन किया गया है सुरक्षा विश्लेषकों की मदद करें यह निर्धारित करें कि हमलावर क्या हासिल करने की कोशिश कर रहे हैं और वे इस प्रक्रिया में कितनी दूर हैं (यानी, क्या वे प्रारंभिक पहुंच स्थापित कर रहे हैं? पार्श्व रूप से चल रहे हैं? डेटा को एक्सफ़िल्ट्रेट कर रहे हैं?) यह ज्ञात साइबर हमले तकनीकों और उप-तकनीकों के एक सेट के माध्यम से करता है और समय-समय पर ताज़ा किया जाता है एमआईटीआरई द्वारा, कि विश्लेषक अपने स्वयं के वातावरण में जो कुछ भी देख रहे हैं, उसके शीर्ष पर मैप कर सकते हैं।

लक्ष्य बुरे लोगों की अगली चाल का अनुमान लगाना और जितनी जल्दी हो सके हमलों को बंद करना है। ढांचे को विभिन्न प्रकार के सुरक्षा उपकरणों में भी शामिल किया जा सकता है, और यह घटना की प्रतिक्रिया और फोरेंसिक जांच के दौरान साथियों और हितधारकों के साथ संवाद करने के लिए एक मानक भाषा प्रदान करता है।

यह सब ठीक है और अच्छा है, लेकिन समस्या यह है कि ढांचा बेहद जटिल है, उदाहरण के लिए, सही मैपिंग का चयन करने के लिए अक्सर उच्च स्तर के प्रशिक्षण और विशेषज्ञता की आवश्यकता होती है। यह भी लगातार फैलता हैऔद्योगिक नियंत्रण प्रणालियों (आईसीएस) के लिए खतरों को शामिल करने के लिए उद्यम हमलों से परे और मोबाइल परिदृश्य, जटिलता को जोड़ना। कुल मिलाकर, यह नेविगेट करने के लिए एक विशाल डेटा सेट है - और साइबर रक्षक अक्सर इसका उपयोग करने की कोशिश करते समय मातम में समाप्त हो जाते हैं।

"बहुत सारी तकनीकें और उप-तकनीकें उपलब्ध हैं और जो बहुत शामिल और बहुत तकनीकी हो सकती हैं, और अक्सर विश्लेषक अभिभूत हो जाते हैं, या यह उन्हें थोड़ा धीमा कर देता है, क्योंकि वे जरूरी नहीं जानते कि क्या उप- जिस तकनीक को वे चुन रहे हैं वह सही है," सीआईएसए के अनुभाग प्रमुख जेम्स स्टेनली कहते हैं, यह देखते हुए कि उपकरण का उपयोग करके गलत मैपिंग की शिकायतें आम हैं।

"जब आप वेबसाइट पर जाते हैं, तो आपके सामने बहुत सारी जानकारी होती है और यह जल्दी से कठिन हो जाती है। डिसाइडर टूल वास्तव में एक विश्लेषक के उपयोग के लिए इसे और अधिक सरल भाषा में लाता है, चाहे उनकी विशेषज्ञता का स्तर कुछ भी हो," वे कहते हैं। "हम अपने हितधारकों को फ्रेमवर्क का उपयोग करने के बारे में अधिक मार्गदर्शन देना चाहते थे, और इसे जूनियर विश्लेषकों को उपलब्ध कराना चाहते थे, उदाहरण के लिए, मध्य-रात की घटना की प्रतिक्रिया के दौरान वास्तविक समय में इसका उपयोग करने से लाभ हो सकता है।"

MIRE के निर्णायक टूल का स्क्रीनशॉट

विश्लेषकों को फ्रेमवर्क के माध्यम से मार्गदर्शन करने के लिए निर्णायक प्रश्नों की एक श्रृंखला का उपयोग करता है। स्रोत: एमआईटीईआर कार्पोरेशन

व्यापक स्तर पर, CISA और MITER के धर्मांतरणकर्ताओं का मानना ​​है कि ATT&CK का व्यापक उपयोग - जैसा कि डिसाइडर द्वारा प्रोत्साहित किया गया है - बेहतर, अधिक क्रियाशील खतरे की खुफिया जानकारी - और बेहतर साइबर-रक्षा परिणामों की ओर ले जाएगा।

स्टेनली कहते हैं, "सीआईएसए में, हम वास्तव में आपके बचाव में सक्रिय होने और प्रतिक्रियाशील नहीं होने के लिए खतरे की खुफिया जानकारी का उपयोग करने पर जोर देना चाहते हैं।" "बहुत लंबे समय के लिए, उद्योग के लिए समझौता (IOCs) के संकेतक साझा करना रहा है, जिसका बहुत व्यापक, बहुत सीमित संदर्भ है।" 

इसके विपरीत, एटीटी और सीके खेल के मैदान को रक्षा के लाभ के लिए सुझाव देते हैं, वे कहते हैं, क्योंकि यह दानेदार है और संगठनों को विशिष्ट खतरे अभिनेता प्लेबुक को समझने का एक तरीका देता है जो प्रासंगिक हैं उनके विशिष्ट वातावरण.

"खतरे के अभिनेताओं को पता होना चाहिए कि उनकी प्लेबुक अनिवार्य रूप से बेकार हैं जब हम यह उजागर करते हैं कि वे क्या करते हैं और कैसे करते हैं और इसे ढांचे में शामिल करते हैं," वे बताते हैं। "संगठन जो इसका उपयोग कर सकते हैं, उनके पास एक बहुत मजबूत सुरक्षा मुद्रा है, जो कि आईपी पते या हैश को अंधाधुंध रूप से अवरुद्ध करने के विपरीत है, जैसे कि उद्योग ऐसा करने के लिए उपयोग किया जाता है। निर्णायक हमें उसके करीब ले जाता है।

विश्लेषक पहुंच के लिए एटीटी और सीके को सरल बनाना

डेसीडर प्रतिकूल गतिविधि के बारे में निर्देशित प्रश्नों की एक श्रृंखला के माध्यम से उपयोगकर्ताओं को चलकर एटीटी और सीके मैपिंग को और अधिक सुलभ बनाता है, जिसमें सही रणनीति, तकनीक या उप-तकनीक की पहचान करने के लक्ष्य के साथ घटना को सहज तरीके से फिट करने के लिए किया जाता है। सीआईएसए के अनुसार, वहां से, वे परिणाम "निष्कर्षों को साझा करने, न्यूनीकरण की खोज करने और आगे की तकनीकों का पता लगाने जैसी महत्वपूर्ण गतिविधियों की एक श्रृंखला को सूचित कर सकते हैं" 1 मार्च की घोषणा नए टूल का।

स्पीयरफिशिंग की निर्णायक उप-तकनीक परिभाषा

निर्णायक तकनीकों और उप-तकनीकों के लिए सरलीकृत भाषा और परिभाषाओं का उपयोग करता है। स्रोत: एमआईटीईआर कार्पोरेशन

पहले से भरे हुए मार्गदर्शक प्रश्नों के अलावा, निर्णायक सरलीकृत भाषा का उपयोग करता है जो किसी भी सुरक्षा विश्लेषक के लिए सुलभ होगी, प्रासंगिक तकनीकों को उजागर करने के लिए एक सहज खोज और फ़िल्टर फ़ंक्शन, और एक "शॉपिंग कार्ट" कार्यक्षमता जो उपयोगकर्ताओं को सामान्य रूप से उपयोग किए जाने वाले स्वरूपों में परिणाम निर्यात करने देती है। इसके अतिरिक्त, संगठन सामान्य गलत मैपिंग को फ़्लैग करने सहित अपने स्वयं के व्यक्तिगत परिवेशों में इसे अनुकूलित और ट्यून कर सकते हैं।

जॉन वंडर, डिपार्टमेंट मैनेजर, सीटीआई, और एमआईटीआरई में एडवर्सरी इम्यूलेशन के अनुसार, एटीटी और सीके अंततः साइबर सुरक्षा संगठनों के लिए एक आधारभूत, पृष्ठभूमि उपकरण बनने की उम्मीद है, न कि बोझिल, यदि उपयोगी, उपकरण जो यह रहा है।

"एक चीज जिसे मैं वास्तव में देखना पसंद करूंगा क्योंकि एटीटी एंड सीके पृष्ठभूमि में अधिक चलता है, वह साइबर सुरक्षा के दिन-प्रतिदिन के संचालन का एक हिस्सा है और व्यक्तिगत विश्लेषकों को इस पर कम ध्यान देना पड़ता है," वे कहते हैं। "यह केवल कुछ ऐसा है जो हमारे द्वारा किए जाने वाले कार्यों और प्रतिकूल व्यवहारों को समझने के बारे में सोचने की नींव का निर्माण करना चाहिए, और ऐसा कुछ नहीं है जिसे आपको हर बार जब आप एक घटना प्रतिक्रिया कर रहे हों तो सोचने में बहुत समय व्यतीत करना पड़ता है। निर्णायक एक बड़ा कदम है।

टूल एटीटी एंड सीके के सिंटैक्स को टूल और सुरक्षा प्लेटफॉर्म पर वास्तविक सामान्य नामकरण बनने और खतरे की खुफिया जानकारी साझा करने में भी मदद करता है।

"एक बार जब आप एटीटी और सीके को अधिक से अधिक पारिस्थितिक तंत्र में उपयोग करते हुए देखते हैं, और हर कोई एक आम भाषा का उपयोग करता है, तो एटीटी और सीके के उपयोगकर्ता चीजों को ढांचे में संरेखित करने और इसे अधिक प्रभावी ढंग से सहसंबंधित उपकरणों के लिए उपयोग करने से अधिक से अधिक लाभ देखना शुरू करते हैं और इसी तरह वंडर कहते हैं। "उम्मीद है कि डेसीडर जैसी चीजों के माध्यम से जो इसे उपयोग करना आसान बनाता है, हम इसे अधिक से अधिक देखना शुरू कर देंगे।"

समय टिकट:

से अधिक डार्क रीडिंग