CISA, MITRE Uită-te să scoată cadrul ATT&CK din buruieni

Agenția SUA pentru Securitate Cibernetică și Infrastructură (CISA) a lansat Decider, un instrument gratuit pentru a ajuta comunitatea de securitate cibernetică să mapați mai ușor comportamentul actorilor de amenințări în cadrul MITRE ATT&CK.

Creată în parteneriat cu Institutul de Inginerie și Dezvoltare a Sistemelor de Securitate Interna din SUA (HSSEDI) și MITRE, Decider este o aplicație web pe care organizațiile o pot descărca și găzdui în propria infrastructură, făcând-o astfel disponibilă unei game de utilizatori prin intermediul cloud-ului. Este menit să simplifice procesul adesea oneros de utilizare a cadrului în mod precis și eficient, precum și să deschidă utilizarea acestuia pentru analiștii de la fiecare nivel dintr-o anumită organizație de securitate cibernetică.

ATT&CK: Un cadru complex

ATT&CK este conceput pentru ajuta analistii de securitate determină ce încearcă atacatorii să obțină și cât de departe sunt în proces (de exemplu, stabilesc accesul inițial? Se deplasează lateral? Exfiltrarea datelor?) Face acest lucru printr-un set de tehnici și sub-tehnici cunoscute de atac cibernetic determinate și reîmprospătate periodic de MITRE, că analiștii pot mapa pe deasupra a ceea ce ar putea vedea în propriile medii.

Scopul este de a anticipa următoarele mișcări ale băieților răi și de a opri atacurile cât mai repede posibil. Cadrul poate fi, de asemenea, încorporat într-o varietate de instrumente de securitate și oferă un limbaj standard pentru comunicarea cu colegii și părțile interesate în timpul răspunsului la incident și a investigațiilor criminalistice.

Totul este bine și bine, dar problema este că cadrul este notoriu de complex, necesitând adesea un nivel ridicat de pregătire și expertiză pentru a selecta mapările corecte, de exemplu. De asemenea se extinde continuu, inclusiv dincolo de atacurile întreprinderilor pentru a încorpora amenințări la adresa sistemelor de control industrial (ICS) și peisajul mobil, sporind complexitatea. În total, este un set de date extins de navigat – iar apărătorii cibernetici ajung adesea în buruieni când încearcă să-l folosească.

„Există o mulțime de tehnici și subtehnici care sunt disponibile și care pot fi foarte implicate și foarte tehnice, iar de multe ori analiștii sunt copleșiți sau le încetinește destul de mult, pentru că nu știu neapărat dacă sub- tehnica pe care o aleg este cea potrivită”, spune James Stanley, șeful de secție la CISA, observând că plângerile cu privire la mapările greșite care utilizează instrumentul sunt frecvente.

„Când accesați site-ul web, aveți o mulțime de informații în fața dvs. și devine descurajantă rapid. Instrumentul Decider într-adevăr îl aduce într-un limbaj mai simplu pe care să îl folosească un analist, indiferent de nivelul lor de expertiză”, spune el. „Am vrut să oferim părților interesate mai multe îndrumări cu privire la modul de utilizare a cadrului și să-l punem la dispoziție, de exemplu, analiștilor juniori care ar putea beneficia de pe urma utilizării acestuia în timp real în timpul răspunsului la incident la mijlocul nopții, de exemplu.”

La un nivel mai larg, prozelițiștii de la CISA și MITRE consideră că o utilizare mai largă a ATT&CK – așa cum este încurajat de Decider – va duce la informații mai bune și mai ușor de acționat asupra amenințărilor – și la rezultate mai bune în domeniul apărării cibernetice.

„La CISA, vrem cu adevărat să punem accent pe utilizarea informațiilor despre amenințări pentru a fi proactiv în apărarea dumneavoastră și nu reactiv”, spune Stanley. „De foarte mult timp, industriei de referință pentru asta a fost împărtășirea indicatorilor de compromis (IOC), care au un context foarte larg, foarte limitat.” 

În contrast, ATT&CK înclină terenul de joc în avantajul apărării, spune el, deoarece este granular și oferă organizațiilor o modalitate de a înțelege cărțile specifice ale actorilor de amenințare care sunt relevante pentru mediile lor specifice.

„Actorii de amenințări ar trebui să știe că cărțile lor de joc sunt în esență inutile odată ce evidențiem ceea ce fac și cum o fac și le încorporăm în cadru”, explică el. „Organizațiile care îl pot folosi au o poziție de securitate mult mai puternică decât blocarea orbește a adreselor IP sau a hashurilor, așa cum este atât de obișnuită să facă industria. Decider ne aduce mai aproape de asta.”

Simplificarea ATT&CK pentru accesibilitatea analiștilor

Decider face maparea ATT&CK mai accesibilă prin ghidarea utilizatorilor printr-o serie de întrebări ghidate despre activitatea adversarului, cu scopul de a identifica tacticile, tehnicile sau sub-tehnicile corecte în cadru pentru a se potrivi incidentului într-un mod intuitiv. De acolo, acele rezultate pot „informa o serie de activități importante, cum ar fi partajarea constatărilor, descoperirea atenuărilor și detectarea altor tehnici”, potrivit CISA. Anunț de 1 martie a noului instrument.

Pe lângă întrebările de ghidare pre-populate, Decider folosește un limbaj simplificat care ar fi accesibil oricărui analist de securitate, o funcție intuitivă de căutare și filtrare pentru descoperirea tehnicilor relevante și o funcționalitate „coș de cumpărături” care le permite utilizatorilor să exporte rezultatele în formate utilizate în mod obișnuit. În plus, organizațiile îl pot adapta și adapta la mediile lor individuale, inclusiv semnalarea greșelilor comune.

Speranța este ca ATT&CK să devină în cele din urmă un instrument de bază, de fundal pentru organizațiile de securitate cibernetică, potrivit lui John Wunder, manager de departament, CTI și Adversary Emulation la MITRE, mai degrabă decât instrumentul greu de utilizat, dacă este util, care a fost.

„Un lucru pe care mi-ar plăcea să îl văd pe măsură ce ATT&CK trece mai mult în fundal este doar o parte a operațiunilor de zi cu zi ale securității cibernetice, iar analistii individuali trebuie să îi acorde mai puțină atenție”, spune el. „Este doar ceva care ar trebui să formeze fundamentul a ceea ce facem și să ne gândim la înțelegerea comportamentelor adversarului, și nu ceva la care trebuie să te gândești mult timp de fiecare dată când faci un răspuns la incident. Decider este un mare pas înainte în acest sens.”

Instrumentul ajută, de asemenea, sintaxa ATT&CK să devină nomenclatura comună de facto între instrumente și platforme de securitate și pentru partajarea informațiilor despre amenințări.

„Odată ce vezi că ATT&CK este folosit în tot mai mult ecosistem și toată lumea folosește un limbaj comun, atunci utilizatorii ATT&CK încep să vadă din ce în ce mai multe beneficii de pe urma alinierii lucrurilor la cadru și folosirea acestuia pentru a corela mai eficient instrumentele și așa mai departe. ”, spune Wunder. „Sperăm că, prin lucruri precum Decider, care îl fac mai ușor de utilizat, vom începe să vedem din ce în ce mai multe despre asta.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds