CISA, MITRE cercano di portare ATT&CK Framework fuori dalle erbacce

La US Cybersecurity and Infrastructure Security Agency (CISA) ha lanciato Decider, uno strumento gratuito per aiutare la comunità della sicurezza informatica a mappare più facilmente il comportamento degli attori delle minacce al framework MITRE ATT&CK.

Decider è un'applicazione Web che le organizzazioni possono scaricare e ospitare all'interno della propria infrastruttura, rendendola così disponibile a una vasta gamma di utenti tramite il cloud. Ha lo scopo di semplificare il processo spesso oneroso di utilizzo del framework in modo accurato ed efficace, nonché di aprirne l'utilizzo agli analisti a tutti i livelli in una determinata organizzazione di sicurezza informatica.

ATT&CK: un quadro complesso

ATT&CK è progettato per aiutare gli analisti della sicurezza determinare ciò che gli aggressori stanno cercando di ottenere e fino a che punto sono nel processo (ad esempio, stanno stabilendo l'accesso iniziale? Si spostano lateralmente? Esfiltrano i dati?) Lo fa tramite una serie di tecniche e sottotecniche di attacco informatico note determinate e aggiornate periodicamente da MITRE, che gli analisti possono mappare in cima a ciò che potrebbero vedere nei propri ambienti.

L'obiettivo è anticipare le prossime mosse dei cattivi e bloccare gli attacchi il più rapidamente possibile. Il framework può anche essere incorporato in una varietà di strumenti di sicurezza e fornisce un linguaggio standard per comunicare con colleghi e parti interessate durante la risposta agli incidenti e le indagini forensi.

Va tutto bene, ma il problema è che il framework è notoriamente complesso e spesso richiede un alto livello di formazione e competenza per selezionare le mappature corrette, ad esempio. Anche si espande continuamente, anche al di là degli attacchi aziendali per incorporare le minacce ai sistemi di controllo industriale (ICS) e il panorama mobile, aumentando la complessità. Nel complesso, si tratta di un vasto set di dati da navigare e i difensori informatici spesso finiscono tra le erbacce quando provano a usarlo.

“Ci sono molte tecniche e sottotecniche disponibili e che possono essere molto complesse e molto tecniche, e spesso gli analisti sono sopraffatti, o questo li rallenta parecchio, perché non sanno necessariamente se le sottotecniche la tecnica che stanno scegliendo è quella giusta”, afferma James Stanley, capo sezione del CISA, osservando che le lamentele relative alle mappature errate nell'utilizzo dello strumento sono comuni.

“Quando visiti il ​​sito Web, hai davanti a te molte informazioni e diventa rapidamente scoraggiante. Lo strumento Decider lo porta davvero in un linguaggio più semplice da utilizzare per un analista, indipendentemente dal loro livello di competenza ", afferma. "Volevamo fornire ai nostri stakeholder maggiori indicazioni su come utilizzare il framework e renderlo disponibile, ad esempio, agli analisti junior che potrebbero trarre vantaggio dall'utilizzo in tempo reale durante la risposta agli incidenti nel cuore della notte, ad esempio".

A un livello più ampio, i proselitisti di CISA e MITRE ritengono che un uso più ampio di ATT&CK, come incoraggiato da Decider, porterà a informazioni sulle minacce migliori e più fruibili e a migliori risultati di difesa informatica.

"In CISA, vogliamo davvero porre l'accento sull'uso dell'intelligence sulle minacce per essere proattivi nella tua difesa e non reattivi", afferma Stanley. "Per molto tempo, l'obiettivo del settore è stato quello di condividere gli indicatori di compromesso (IOC), che hanno un contesto molto ampio e molto limitato". 

Al contrario, ATT&CK punta il campo di gioco a vantaggio della difesa, afferma, perché è granulare e offre alle organizzazioni un modo per comprendere gli specifici playbook degli attori delle minacce che sono rilevanti per loro ambienti specifici.

"Gli attori delle minacce dovrebbero sapere che i loro playbook sono essenzialmente inutili una volta che mettiamo in evidenza cosa fanno e come lo fanno e lo incorporiamo nel framework", spiega. “Le organizzazioni che possono utilizzarlo hanno una posizione di sicurezza molto più forte rispetto al semplice blocco cieco degli indirizzi IP o degli hash, come il settore è così abituato a fare. Decider ci avvicina a questo.

Semplificazione di ATT&CK per l'accessibilità degli analisti

Decider rende la mappatura ATT&CK più accessibile guidando gli utenti attraverso una serie di domande guidate sull'attività dell'avversario, con l'obiettivo di identificare le tattiche, le tecniche o le sottotecniche corrette nel quadro per adattarsi all'incidente in modo intuitivo. Da lì, questi risultati possono "informare una serie di attività importanti come la condivisione dei risultati, la scoperta di mitigazioni e l'individuazione di ulteriori tecniche", secondo il CISA Annuncio del 1 marzo del nuovo strumento.

Oltre alle domande guida precompilate, Decider utilizza un linguaggio semplificato che sarebbe accessibile a qualsiasi analista di sicurezza, una funzione di ricerca e filtro intuitiva per scoprire le tecniche pertinenti e una funzionalità di "carrello della spesa" che consente agli utenti di esportare i risultati nei formati di uso comune. Inoltre, le organizzazioni possono adattarlo e adattarlo ai propri ambienti individuali, inclusa la segnalazione di mappature errate comuni.

La speranza è che ATT&CK diventi alla fine uno strumento fondamentale e di base per le organizzazioni di sicurezza informatica, secondo John Wunder, responsabile del dipartimento, CTI e Adversary Emulation presso MITRE, piuttosto che lo strumento ingombrante, se utile, che è stato.

"Una cosa che mi piacerebbe davvero vedere mentre ATT&CK si sposta più in secondo piano è solo una parte delle operazioni quotidiane della sicurezza informatica e i singoli analisti devono solo prestarvi meno attenzione", afferma. “È solo qualcosa che dovrebbe costituire la base di ciò che facciamo e pensare alla comprensione dei comportamenti avversari, e non qualcosa su cui devi dedicare molto tempo a riflettere ogni volta che stai facendo una risposta agli incidenti. Decider è un grande passo avanti in questo senso”.

Lo strumento aiuta anche la sintassi di ATT&CK a diventare la nomenclatura comune de facto tra strumenti e piattaforme di sicurezza e per condividere informazioni sulle minacce.

"Una volta che ATT&CK viene utilizzato in una parte sempre maggiore dell'ecosistema e tutti utilizzano un linguaggio comune, gli utenti di ATT&CK iniziano a vedere sempre più vantaggi dall'allineamento delle cose al framework e dal suo utilizzo per correlare in modo più efficace gli strumenti e così via ", dice Wunder. "Se tutto va bene, grazie a cose come Decider che lo rendono più facile da usare, inizieremo a vederne sempre di più."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds