CISA, MITRE Ingin Mengambil Kerangka Kerja ATT&CK dari Gulma

US Cybersecurity and Infrastructure Security Agency (CISA) telah meluncurkan Decider, alat gratis untuk membantu komunitas keamanan siber agar lebih mudah memetakan perilaku pelaku ancaman ke kerangka kerja MITRE ATT&CK.

Dibuat dalam kemitraan dengan US Homeland Security Systems Engineering and Development Institute (HSSEDI) dan MITRE, Decider adalah aplikasi Web yang dapat diunduh dan dihosting organisasi dalam infrastruktur mereka sendiri, sehingga membuatnya tersedia untuk berbagai pengguna melalui cloud. Ini dimaksudkan untuk menyederhanakan proses penggunaan kerangka kerja yang seringkali berat secara akurat dan efektif, serta membuka penggunaannya untuk analis di setiap tingkat dalam organisasi keamanan siber tertentu.

ATT&CK: Kerangka Kerja yang Kompleks

ATT&CK dirancang untuk membantu analis keamanan menentukan apa yang ingin dicapai oleh penyerang dan seberapa jauh mereka dalam proses (yaitu, apakah mereka membangun akses awal? Bergerak secara lateral? Mengeksfiltrasi data?) Hal ini dilakukan melalui serangkaian teknik dan sub-teknik serangan siber yang diketahui yang ditentukan dan disegarkan secara berkala oleh MITRE, analis dapat memetakan di atas apa yang mungkin mereka lihat di lingkungan mereka sendiri.

Tujuannya adalah untuk mengantisipasi gerakan penjahat selanjutnya dan menutup serangan secepat mungkin. Kerangka kerja ini juga dapat dimasukkan ke dalam berbagai alat keamanan, dan menyediakan bahasa standar untuk berkomunikasi dengan rekan dan pemangku kepentingan selama respons insiden dan penyelidikan forensik.

Itu semua baik dan bagus, tetapi masalahnya adalah kerangka kerja ini terkenal kompleks, seringkali membutuhkan pelatihan dan keahlian tingkat tinggi untuk memilih pemetaan yang benar, misalnya. Juga terus menerus mengembang, termasuk serangan di luar perusahaan untuk menggabungkan ancaman terhadap sistem kontrol industri (ICS) dan lanskap seluler, menambah kerumitan. Secara keseluruhan, ini adalah kumpulan data yang luas untuk dinavigasi — dan pembela dunia maya sering kali berakhir di rumput liar saat mencoba menggunakannya.

“Ada banyak teknik dan sub-teknik yang tersedia dan bisa sangat terlibat dan sangat teknis, dan seringkali analis kewalahan, atau sedikit memperlambat mereka, karena mereka tidak tahu apakah sub- teknik yang mereka pilih adalah yang tepat,” James Stanley, kepala bagian di CISA, mengatakan, mencatat bahwa keluhan tentang kesalahan pemetaan menggunakan alat tersebut adalah hal biasa.

“Saat Anda membuka situs web, ada banyak informasi di depan Anda dan itu menjadi menakutkan dengan cepat. Alat Pengambil Keputusan benar-benar menghadirkannya ke dalam bahasa yang lebih sederhana untuk digunakan oleh seorang analis, terlepas dari tingkat keahlian mereka,” katanya. “Kami ingin memberikan lebih banyak panduan kepada pemangku kepentingan kami tentang cara menggunakan kerangka kerja, dan menyediakannya untuk, katakanlah, analis junior yang dapat memperoleh manfaat dari penggunaannya secara waktu nyata selama respons insiden tengah malam, misalnya.”

Pada tingkat yang lebih luas, dakwah di CISA dan MITRE percaya bahwa penggunaan ATT&CK yang lebih luas — seperti yang didorong oleh Decider — akan mengarah pada intelijen ancaman yang lebih baik dan dapat ditindaklanjuti — dan hasil pertahanan siber yang lebih baik.

“Di CISA, kami benar-benar ingin menekankan penggunaan intelijen ancaman agar proaktif dalam pertahanan Anda dan tidak reaktif,” kata Stanley. “Untuk waktu yang sangat lama, tujuan industri untuk itu adalah berbagi indikator kompromi (IOC), yang memiliki konteks sangat luas, sangat terbatas.” 

Sebaliknya, ATT&CK memberi tip pada bidang permainan untuk keuntungan pertahanan, katanya, karena ini terperinci dan memberi organisasi cara untuk memahami buku pedoman aktor ancaman spesifik yang relevan untuk lingkungan khusus mereka.

“Aktor ancaman harus tahu bahwa buku pedoman mereka pada dasarnya tidak berguna setelah kami menyoroti apa yang mereka lakukan dan bagaimana mereka melakukannya dan memasukkannya ke dalam kerangka kerja,” jelasnya. “Organisasi yang dapat menggunakannya memiliki postur keamanan yang jauh lebih kuat daripada hanya memblokir alamat IP atau hash secara membabi buta, seperti yang biasa dilakukan industri. Decider membuat kita lebih dekat dengan itu.

Menyederhanakan ATT&CK untuk Aksesibilitas Analis

Decider membuat pemetaan ATT&CK lebih mudah diakses dengan mengarahkan pengguna melalui serangkaian pertanyaan terpandu tentang aktivitas musuh, dengan tujuan mengidentifikasi taktik, teknik, atau subteknik yang benar dalam kerangka kerja agar sesuai dengan insiden dengan cara yang intuitif. Dari sana, hasil tersebut dapat “menginformasikan berbagai aktivitas penting seperti berbagi temuan, menemukan mitigasi, dan mendeteksi teknik lebih lanjut,” menurut CISA's Pengumuman Maret 1 dari alat baru.

Selain pertanyaan panduan yang telah diisi sebelumnya, Decider menggunakan bahasa yang disederhanakan yang dapat diakses oleh analis keamanan mana pun, fungsi pencarian dan filter yang intuitif untuk mengungkap teknik yang relevan, dan fungsi "keranjang belanja" yang memungkinkan pengguna mengekspor hasil ke format yang umum digunakan. Selain itu, organisasi dapat menyesuaikan dan menyesuaikannya dengan lingkungan masing-masing, termasuk menandai kesalahan pemetaan umum.

Harapannya adalah agar ATT&CK pada akhirnya menjadi alat dasar dan latar belakang untuk organisasi keamanan siber, menurut John Wunder, manajer departemen, CTI, dan Emulasi Musuh di MITRE, daripada instrumen yang berat, jika berguna, seperti sebelumnya.

“Satu hal yang sangat ingin saya lihat saat ATT&CK bergerak lebih jauh ke latar belakang hanyalah bagian dari operasi keamanan siber sehari-hari dan analis individu hanya perlu kurang memperhatikannya,” katanya. “Itu hanya sesuatu yang harus menjadi dasar dari apa yang kita lakukan dan pikirkan tentang memahami perilaku musuh, dan bukan sesuatu yang Anda harus menghabiskan banyak waktu untuk memikirkannya setiap kali Anda melakukan respons insiden. Decider adalah langkah maju yang besar untuk itu.”

Alat ini juga membantu sintaksis ATT&CK menjadi nomenklatur umum de facto di seluruh alat dan platform keamanan, dan untuk berbagi kecerdasan ancaman.

“Begitu Anda melihat ATT&CK digunakan di lebih banyak ekosistem, dan semua orang menggunakan bahasa yang sama, maka pengguna ATT&CK mulai melihat lebih banyak manfaat dari menyelaraskan berbagai hal dengan kerangka kerja dan menggunakannya untuk menghubungkan alat secara lebih efektif dan seterusnya. , ”kata Wunder. “Semoga melalui hal-hal seperti Decider yang membuatnya lebih mudah digunakan, kita akan mulai melihat lebih banyak lagi.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds