Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) je izdala Decider, brezplačno orodje za pomoč skupnosti kibernetske varnosti pri lažjem preslikavanju vedenja akterjev groženj v okvir MITER ATT&CK.
Decider je spletna aplikacija, ki je bila ustvarjena v sodelovanju z Inštitutom za inženiring in razvoj sistemov domovinske varnosti ZDA (HSSEDI) in MITRE, in je spletna aplikacija, ki jo lahko organizacije prenesejo in gostijo v svoji lastni infrastrukturi, tako da je na voljo različnim uporabnikom prek oblaka. Namenjen je poenostavitvi pogosto težavnega postopka natančne in učinkovite uporabe ogrodja ter omogočanju njegove uporabe analitikom na vseh ravneh v dani organizaciji za kibernetsko varnost.
ATT&CK: Kompleksno ogrodje
ATT&CK je zasnovan za pomoč varnostnim analitikom ugotoviti, kaj poskušajo napadalci doseči in kako daleč so v procesu (tj. ali vzpostavljajo začetni dostop? Premikajo se bočno? Eksfiltrirajo podatke?) To naredi prek nabora znanih tehnik in podtehnik kibernetskih napadov, ki se redno določajo in osvežujejo MITRE, da lahko analitiki preslikajo tisto, kar morda vidijo v svojem okolju.
Cilj je predvideti naslednje poteze negativcev in čim hitreje zaustaviti napade. Ogrodje je mogoče vključiti tudi v različna varnostna orodja in zagotavlja standardni jezik za komunikacijo z enakovrednimi in zainteresiranimi stranmi med odzivom na incidente in forenzičnimi preiskavami.
To je vse lepo in prav, vendar je težava v tem, da je ogrodje znano zapleteno, ki pogosto zahteva visoko raven usposabljanja in strokovnega znanja za izbiro pravilnih preslikav, na primer. Tudi nenehno širi, vključno z napadi, ki presegajo podjetja, da se vključijo grožnje industrijskim nadzornim sistemom (ICS) in mobilno pokrajino, kar še dodatno zaplete. Skratka, gre za obsežen nabor podatkov za navigacijo – in kibernetski branilci pogosto končajo v plevelu, ko ga poskušajo uporabiti.
»Na voljo je veliko tehnik in podtehnik, ki so lahko zelo zapletene in zelo tehnične, pogosto pa so analitiki preobremenjeni ali pa jih to precej upočasni, ker ne vedo nujno, ali pod-tehnika tehnika, ki so jo izbrali, je prava,« pravi James Stanley, vodja oddelka pri CISA, in ugotavlja, da so pritožbe glede napačnih preslikav z uporabo orodja pogoste.
»Ko obiščete spletno stran, je pred vami veliko informacij in hitro postane zastrašujoče. Orodje Decider ga v resnici preprosto prenese v bolj preprost jezik, ki ga lahko uporablja analitik, ne glede na njegovo strokovno znanje,« pravi. »Našim deležnikom smo želeli dati več smernic o tem, kako uporabljati okvir, in ga dati na voljo, recimo, mlajšim analitikom, ki bi lahko imeli koristi od njegove uporabe v realnem času med odzivom na incident sredi noči, na primer.«
Na širši ravni zagovorniki CISA in MITER verjamejo, da bo širša uporaba ATT&CK – kot spodbuja Decider – vodila do boljših, bolj izvedljivih obveščevalnih podatkov o grožnjah – in boljših rezultatov kibernetske obrambe.
»Pri CISA resnično želimo dati poudarek uporabi obveščevalnih podatkov o grožnjah, da smo proaktivni v vaši obrambi in ne reaktivni,« pravi Stanley. "Zelo dolgo časa je industrija za to delila indikatorje kompromisa (IOC), ki imajo zelo širok, zelo omejen kontekst."
Nasprotno pa ATT&CK nagiba igrišče v korist obrambe, pravi, ker je razdrobljen in organizacijam omogoča, da razumejo posebne priročnike akterjev groženj, ki so pomembni za njihova specifična okolja.
»Akterji groženj bi morali vedeti, da so njihovi priročniki v bistvu neuporabni, ko izpostavimo, kaj počnejo in kako to počnejo, ter to vključimo v okvir,« pojasnjuje. »Organizacije, ki ga lahko uporabljajo, imajo veliko močnejšo varnostno držo v nasprotju s samo nekakšnim slepim blokiranjem naslovov IP ali zgoščenih vrednosti, kot je industrija tako navajena. Decider nas temu približa.”
Poenostavitev ATT&CK za dostopnost analitikov
Decider naredi kartiranje ATT&CK bolj dostopno tako, da uporabnike vodi skozi vrsto vodenih vprašanj o nasprotni dejavnosti, s ciljem identificirati pravilne taktike, tehnike ali podtehnike v okviru, da se na intuitiven način prilegajo incidentu. Od tam lahko ti rezultati "informirajo vrsto pomembnih dejavnosti, kot je deljenje ugotovitev, odkrivanje ublažitev in odkrivanje nadaljnjih tehnik," glede na CISA's Obvestilo za 1. marec novega orodja.
Poleg predhodno izpolnjenih vodilnih vprašanj Decider uporablja poenostavljen jezik, ki bi bil dostopen vsakemu varnostnemu analitiku, intuitivno funkcijo iskanja in filtriranja za odkrivanje ustreznih tehnik ter funkcijo »nakupovalnega vozička«, ki uporabnikom omogoča izvoz rezultatov v pogosto uporabljene formate. Poleg tega ga lahko organizacije prilagodijo in prilagodijo svojim lastnim okoljem, vključno z označevanjem pogostih napačnih preslikav.
Upanje je, da bo ATT&CK sčasoma postal temeljno orodje v ozadju za organizacije kibernetske varnosti, kot pravi John Wunder, vodja oddelka za CTI in Adversary Emulation pri MITRE, namesto okoren, četudi uporaben instrument, kot je bil.
"Ena stvar, ki bi jo res rad videl, ko se ATT&CK pomika bolj v ozadje, je le del vsakodnevnih operacij kibernetske varnosti in posamezni analitiki morajo temu posvetiti manj pozornosti," pravi. »To je samo nekaj, kar bi moralo tvoriti temelj našega početja in razmišljanja o razumevanju vedenja nasprotnikov, in ne nekaj, o čemer morate porabiti veliko časa za razmišljanje vsakič, ko se odzivate na incident. Decider je velik korak naprej k temu.”
Orodje prav tako pomaga sintaksi ATT&CK, da postane de facto skupna nomenklatura v orodjih in varnostnih platformah ter za izmenjavo obveščevalnih podatkov o grožnjah.
»Ko vidite, da se ATT&CK uporablja v vedno več ekosistemu in vsi uporabljajo skupni jezik, začnejo uporabniki ATT&CK opažati vedno več koristi od usklajevanja stvari z okvirjem in njegove uporabe za učinkovitejšo korelacijo orodij itd. ,« pravi Wunder. "Upajmo, da bomo s stvarmi, kot je Decider, ki olajšajo uporabo, začeli videvati vse več tega."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- : je
- $GOR
- 1
- a
- O meni
- dostop
- dostopen
- Po
- natančno
- Doseči
- čez
- dejavnosti
- dejavnost
- akterji
- Poleg tega
- Poleg tega
- naslovi
- Prednost
- agencija
- vsi
- Analitik
- Analitiki
- in
- in infrastrukturo
- pričakujte
- uporaba
- SE
- AS
- At
- Napadi
- pozornosti
- Na voljo
- ozadje
- Slab
- BE
- ker
- postanejo
- Verjemite
- koristi
- Boljše
- Poleg
- Big
- Bit
- slepo
- blokiranje
- Prinaša
- široka
- širši
- by
- CAN
- Lahko dobiš
- šef
- CISA
- bližje
- Cloud
- Skupno
- pogosto
- komuniciranje
- skupnost
- Pritožbe
- kompleksna
- kompleksnost
- Kompromis
- ozadje
- kontrast
- nadzor
- telo
- bi
- cyber
- Kibernetski napad
- Cybersecurity
- Agencija za kibernetsko varnost in varnost infrastrukture
- datum
- nabor podatkov
- iz dneva v dan
- Branilci
- Defense
- Oddelek
- zasnovan
- Ugotovite,
- določi
- Razvoj
- odkrivanje
- tem
- navzdol
- prenesi
- med
- e
- vsak
- lažje
- enostavno
- ekosistem
- učinkovito
- Poudarek
- spodbujati
- Inženiring
- Podjetje
- okolja
- v bistvu
- vzpostavitev
- Eter (ETH)
- sčasoma
- Tudi vsak
- vsi
- strokovno znanje
- Pojasni
- izvoz
- dejansko
- daleč
- Polje
- filter
- fit
- za
- Forenzik
- obrazec
- Naprej
- Fundacija
- Okvirni
- brezplačno
- iz
- spredaj
- funkcija
- funkcionalnost
- nadalje
- dobili
- Daj
- dana
- daje
- Go
- Cilj
- dobro
- vodi
- Imajo
- ob
- pomoč
- Pomaga
- visoka
- Označite
- domovina
- Domovinsko varnost
- upam,
- upajmo, da
- gostitelj
- Kako
- Kako
- HTTPS
- i
- ICS
- identifikacijo
- Pomembno
- in
- nesreča
- odziv na incident
- Vključno
- vključi
- Vključena
- kazalniki
- individualna
- industrijske
- Industrija
- Podatki
- Infrastruktura
- začetna
- primer
- Inštitut
- instrument
- Intelligence
- intuitivno
- preiskave
- vključeni
- IP
- IP naslovi
- IT
- ITS
- John
- Otrok
- Vedite
- znano
- jezik
- začela
- vodi
- Lets
- Stopnja
- kot
- Limited
- Long
- dolgo časa
- Poglej
- Sklop
- ljubezen
- Znamka
- IZDELA
- Izdelava
- upravitelj
- map
- kartiranje
- max širine
- morda
- Mobilni
- več
- premika
- premikanje
- Krmarjenje
- nujno
- Novo
- Naslednja
- of
- velikokrat
- on
- ONE
- odprite
- operacije
- nasprotuje
- Organizacija
- organizacije
- preobremenjeni
- lastne
- del
- Partnerstvo
- Plačajte
- Plain
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- igranje
- mogoče
- Proaktivna
- problem
- Postopek
- zagotavlja
- dal
- vprašanja
- hitro
- območje
- precej
- RE
- pravo
- v realnem času
- Ne glede na to
- pomembno
- Odgovor
- Rezultati
- s
- pravi
- Iskalnik
- Oddelek
- varnost
- varnostni sistemi
- varnostna orodja
- videnje
- Serija
- nastavite
- Delite s prijatelji, znanci, družino in partnerji :-)
- delitev
- Nakupovalna
- nakupovalni voziček
- shouldnt
- Zaustavite
- poenostavljeno
- poenostavitev
- upočasni
- So
- Nekaj
- vir
- specifična
- preživeti
- interesne skupine
- standardna
- Stanley
- Začetek
- Korak
- močnejši
- taka
- sintaksa
- sistemi
- taktike
- Bodite
- tehnični
- tehnike
- da
- O
- njihove
- Njih
- stvar
- stvari
- Razmišljanje
- Grožnja
- akterji groženj
- obveščevalna nevarnost
- grožnje
- skozi
- čas
- nasveti
- do
- orodje
- orodja
- vrh
- usposabljanje
- razumeli
- razumevanje
- us
- uporaba
- Uporabniki
- raznolikost
- preko
- hoja
- hotel
- način..
- web
- Spletna aplikacija
- Spletna stran
- Dobro
- Kaj
- ki
- WHO
- širše
- bo
- z
- v
- bi
- Vaša rutina za
- zefirnet
