US Cybersecurity and Infrastructure Security Agency (CISA) har lansert Decider, et gratis verktøy for å hjelpe cybersikkerhetsfellesskapet enklere å kartlegge trusselaktørens atferd til MITER ATT&CK-rammeverket.
Laget i samarbeid med US Homeland Security Systems Engineering and Development Institute (HSSEDI) og MITRE, Decider er en webapplikasjon som organisasjoner kan laste ned og hoste innenfor sin egen infrastruktur, og dermed gjøre den tilgjengelig for en rekke brukere via skyen. Det er ment å forenkle den ofte tyngende prosessen med å bruke rammeverket nøyaktig og effektivt, samt åpne opp for bruken av det for analytikere på alle nivåer i en gitt cybersikkerhetsorganisasjon.
ATT&CK: Et komplekst rammeverk
ATT&CK er designet for å hjelpe sikkerhetsanalytikere finne ut hva angripere prøver å oppnå og hvor langt de er i prosessen (dvs. etablerer de første tilgang? Flytte sideveis? Eksfiltrere data?) Den gjør dette via et sett med kjente nettangrepsteknikker og underteknikker som bestemmes og oppdateres med jevne mellomrom av MITRE, at analytikere kan kartlegge på toppen av hva de kan se i sine egne miljøer.
Målet er å forutse skurkenes neste trekk og stenge angrep så raskt som mulig. Rammeverket kan også innlemmes i en rekke sikkerhetsverktøy, og det gir et standardspråk for kommunikasjon med jevnaldrende og interessenter under hendelsesrespons og rettsmedisinske undersøkelser.
Det er vel og bra, men problemet er at rammeverket er notorisk komplekst, og krever ofte høy opplæring og ekspertise for å velge riktige kartlegginger, for eksempel. Det også utvides kontinuerlig, inkludert utover bedriftsangrep for å innlemme trusler mot industrielle kontrollsystemer (ICS) og det mobile landskapet, noe som øker kompleksiteten. Alt i alt er det et omfattende datasett å navigere i – og cyberforsvarere havner ofte i ugresset når de prøver å bruke det.
"Det er mange teknikker og underteknikker som er tilgjengelige og som kan bli veldig involverte og veldig tekniske, og ofte blir analytikere overveldet, eller det bremser dem ganske mye, fordi de ikke nødvendigvis vet om sub- teknikken de velger er den rette, sier James Stanley, seksjonssjef ved CISA, og bemerker at klager på feilkartlegginger ved bruk av verktøyet er vanlige.
«Når du går til nettstedet, er det mye informasjon foran deg, og det blir fort skremmende. Decider-verktøyet bringer det egentlig bare til et mer enkelt språk for en analytiker å bruke, uavhengig av deres ekspertise, sier han. "Vi ønsket å gi våre interessenter mer veiledning om hvordan de skal bruke rammeverket, og gjøre det tilgjengelig for for eksempel junioranalytikere som kan dra nytte av å bruke det i sanntid under hendelsesrespons midt på natten."
På et bredere nivå tror proselytører ved CISA og MITER at en bredere bruk av ATT&CK – som oppmuntret av Decider – vil føre til bedre, mer handlingskraftig trusseletterretning – og bedre cyberforsvarsresultater.
"Hos CISA ønsker vi virkelig å legge vekt på å bruke trusselintelligens for å være proaktiv i ditt forsvar og ikke reaktiv," sier Stanley. "I svært lang tid har bransjens mål for dette vært å dele indikatorer på kompromiss (IOCs), som har en veldig bred, veldig begrenset kontekst."
I motsetning til dette, tipper ATT&CK spillefeltet til forsvarets fordel, sier han, fordi det er detaljert og gir organisasjoner en måte å forstå de spesifikke trusselaktør-lekebøkene som er relevante for deres spesifikke miljøer.
"Trusselsaktører bør vite at lekebøkene deres i hovedsak er ubrukelige når vi fremhever hva de gjør og hvordan de gjør det og inkorporerer det i rammeverket," forklarer han. "Organisasjoner som kan bruke det har en mye sterkere sikkerhetsstilling i motsetning til bare blindt blokkering av IP-adresser eller hashes, slik industrien er så vant til å gjøre. Decider bringer oss nærmere det.»
Forenkling av ATT&CK for analytikertilgjengelighet
Decider gjør ATT&CK-kartlegging mer tilgjengelig ved å lede brukerne gjennom en rekke guidede spørsmål om motstanders aktivitet, med målet om å identifisere de riktige taktikkene, teknikkene eller underteknikkene i rammeverket for å passe hendelsen på en intuitiv måte. Derfra kan disse resultatene "informere en rekke viktige aktiviteter som å dele funnene, oppdage avbøtende tiltak og oppdage ytterligere teknikker," ifølge CISAs 1. mars kunngjøring av det nye verktøyet.
I tillegg til de forhåndsutfylte veiledende spørsmålene, bruker Decider et forenklet språk som vil være tilgjengelig for enhver sikkerhetsanalytiker, en intuitiv søke- og filterfunksjon for å avdekke relevante teknikker, og en "handlevogn"-funksjonalitet som lar brukere eksportere resultater til ofte brukte formater. I tillegg kan organisasjoner skreddersy og justere den til sine egne individuelle miljøer, inkludert flagging av vanlige feilkartlegginger.
Håpet er at ATT&CK til slutt skal bli et grunnleggende bakgrunnsverktøy for cybersikkerhetsorganisasjoner, ifølge John Wunder, avdelingsleder, CTI og Adversary Emulation ved MITRE, snarere enn det uhåndterlige, hvis nyttige, instrumentet det har vært.
"En ting som jeg virkelig ville elske å se når ATT&CK beveger seg mer i bakgrunnen, er bare en del av den daglige driften av cybersikkerhet, og individuelle analytikere må bare betale mindre oppmerksomhet til det," sier han. «Det er bare noe som skal danne grunnlaget for hva vi gjør og tenker på å forstå motstanders atferd, og ikke noe du må bruke mye tid på å tenke gjennom hver gang du gjør en hendelsesrespons. Decider er et stort skritt fremover.»
Verktøyet hjelper også ATT&CKs syntaks til å bli den de facto vanlige nomenklaturen på tvers av verktøy og sikkerhetsplattformer, og for å dele trusselintelligens.
"Når du ser ATT&CK brukes på tvers av mer og mer av økosystemet, og alle bruker et felles språk, begynner brukerne av ATT&CK å se mer og mer fordel av å tilpasse ting til rammeverket og bruke det til mer effektivt å korrelere verktøy og så videre ", sier Wunder. "Forhåpentligvis gjennom ting som Decider som gjør det enklere å bruke, vil vi begynne å se mer og mer av det."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- :er
- $OPP
- 1
- a
- Om oss
- adgang
- tilgjengelig
- Ifølge
- nøyaktig
- Oppnå
- tvers
- Aktiviteter
- aktivitet
- aktører
- tillegg
- I tillegg
- adresser
- Fordel
- byrå
- Alle
- analytiker
- analytikere
- og
- og infrastruktur
- forutse
- Søknad
- ER
- AS
- At
- Angrep
- oppmerksomhet
- tilgjengelig
- bakgrunn
- dårlig
- BE
- fordi
- bli
- tro
- nytte
- Bedre
- Beyond
- Stor
- Bit
- blindt
- blokkering
- Bringer
- bred
- bredere
- by
- CAN
- Kan få
- sjef
- CISA
- nærmere
- Cloud
- Felles
- vanligvis
- kommunisere
- samfunnet
- klager
- komplekse
- kompleksitet
- kompromiss
- kontekst
- kontrast
- kontroll
- Corp
- kunne
- cyber
- Cyber angrep
- Cybersecurity
- Cybersecurity and Infrastructure Security Agency
- dato
- datasett
- dag til dag
- Defenders
- Forsvar
- Avdeling
- designet
- Bestem
- bestemmes
- Utvikling
- oppdage
- gjør
- ned
- nedlasting
- under
- e
- hver enkelt
- enklere
- lett
- økosystem
- effektivt
- vekt
- oppfordret
- Ingeniørarbeid
- Enterprise
- miljøer
- hovedsak
- etablere
- Eter (ETH)
- etter hvert
- Hver
- alle
- ekspertise
- forklarer
- eksportere
- facto
- langt
- felt
- filtrere
- passer
- Til
- Rettsmedisinsk
- skjema
- Forward
- Fundament
- Rammeverk
- Gratis
- fra
- foran
- funksjon
- funksjonalitet
- videre
- få
- Gi
- gitt
- gir
- Go
- mål
- god
- veilede
- Ha
- å ha
- hjelpe
- hjelper
- Høy
- Uthev
- hjemland
- Homeland Security
- håp
- forhåpentligvis
- vert
- Hvordan
- Hvordan
- HTTPS
- i
- ICS
- identifisering
- viktig
- in
- hendelse
- hendelsesrespons
- Inkludert
- innlemme
- Incorporated
- indikatorer
- individuelt
- industriell
- industri
- informasjon
- Infrastruktur
- innledende
- f.eks
- Institute
- instrument
- Intelligens
- intuitiv
- Undersøkelser
- involvert
- IP
- IP-adresser
- IT
- DET ER
- John
- Type
- Vet
- kjent
- Språk
- lansert
- føre
- Lar
- Nivå
- i likhet med
- Begrenset
- Lang
- lang tid
- Se
- Lot
- elsker
- gjøre
- GJØR AT
- Making
- leder
- kart
- kartlegging
- max bredde
- kunne
- Mobil
- mer
- trekk
- flytting
- Naviger
- nødvendigvis
- Ny
- neste
- of
- ofte
- on
- ONE
- åpen
- Drift
- motsetning
- organisasjon
- organisasjoner
- overveldet
- egen
- del
- Partnerskap
- Betale
- Plain
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- mulig
- Proaktiv
- Problem
- prosess
- gir
- sette
- spørsmål
- raskt
- område
- heller
- RE
- ekte
- sanntids
- Uansett
- relevant
- svar
- Resultater
- s
- sier
- Søk
- Seksjon
- sikkerhet
- sikkerhetssystemer
- sikkerhetsverktøy
- se
- Serien
- sett
- Del
- deling
- Shopping
- handlekurven
- bør
- Slå
- forenklet
- forenkle
- bremser
- So
- noe
- kilde
- spesifikk
- bruke
- interessenter
- Standard
- stanley
- Begynn
- Trinn
- sterkere
- slik
- syntaks
- Systemer
- taktikk
- Ta
- Teknisk
- teknikker
- Det
- De
- deres
- Dem
- ting
- ting
- tenker
- trussel
- trusselaktører
- trussel etterretning
- trusler
- Gjennom
- tid
- tips
- til
- verktøy
- verktøy
- topp
- Kurs
- forstå
- forståelse
- us
- bruke
- Brukere
- variasjon
- av
- walking
- ønsket
- Vei..
- web
- Webapplikasjon
- Nettsted
- VI VIL
- Hva
- hvilken
- HVEM
- bredere
- vil
- med
- innenfor
- ville
- Din
- zephyrnet
