US Cybersecurity and Infrastructure Security Agency (CISA) har lanserat Decider, ett gratisverktyg för att hjälpa cybersäkerhetsgemenskapen att lättare kartlägga hotaktörernas beteende till MITER ATT&CK-ramverket.
Skapat i samarbete med US Homeland Security Systems Engineering and Development Institute (HSSEDI) och MITRE, Decider är en webbapplikation som organisationer kan ladda ner och hosta inom sin egen infrastruktur, vilket gör den tillgänglig för en rad användare via molnet. Det är tänkt att förenkla den ofta betungande processen att använda ramverket på ett korrekt och effektivt sätt, samt att öppna upp dess användning för analytiker på alla nivåer i en given cybersäkerhetsorganisation.
ATT&CK: Ett komplext ramverk
ATT&CK är designad för att hjälpa säkerhetsanalytiker avgöra vad angripare försöker uppnå och hur långt de är i processen (dvs. etablerar de initial åtkomst? Flyttas i sidled? Exfiltrerar data?) Den gör detta via en uppsättning kända cyberattackstekniker och undertekniker som bestäms och uppdateras regelbundet av MITRE, som analytiker kan kartlägga ovanpå vad de kan se i sina egna miljöer.
Målet är att förutse skurkarnas nästa drag och stänga av attacker så snabbt som möjligt. Ramverket kan också integreras i en mängd olika säkerhetsverktyg, och det tillhandahåller ett standardspråk för att kommunicera med kamrater och intressenter under incidentrespons och kriminaltekniska utredningar.
Det är väl och bra, men problemet är att ramverket är notoriskt komplext och kräver ofta hög utbildning och expertis för att välja rätt mappningar, till exempel. Det är också expanderar hela tiden, inklusive bortom företagsattacker för att införliva hot mot industriella kontrollsystem (ICS) och det mobila landskapet, vilket ökar komplexiteten. Sammantaget är det en omfattande datauppsättning att navigera i – och cyberförsvarare hamnar ofta i ogräset när de försöker använda den.
"Det finns många tekniker och undertekniker som är tillgängliga och som kan bli väldigt involverade och väldigt tekniska, och ofta är analytiker överväldigade, eller det saktar ner dem ganska mycket, eftersom de inte nödvändigtvis vet om sub- Tekniken de väljer är den rätta, säger James Stanley, sektionschef på CISA, och noterar att klagomål om felaktiga kartläggningar med hjälp av verktyget är vanliga.
”När du går till webbplatsen finns det mycket information framför dig och det blir snabbt skrämmande. Verktyget Decider gör det egentligen bara till ett tydligare språk för en analytiker att använda, oavsett deras expertisnivå, säger han. "Vi ville ge våra intressenter mer vägledning om hur man använder ramverket och göra det tillgängligt för till exempel junioranalytiker som kan dra nytta av att använda det i realtid under till exempel incidentrespons mitt i natten."
På en bredare nivå tror proselyttörer vid CISA och MITER att en bredare användning av ATT&CK – som uppmuntras av Decider – kommer att leda till bättre, mer genomförbar hotintelligens – och bättre resultat för cyberförsvar.
"På CISA vill vi verkligen lägga tonvikten på att använda hotintelligens för att vara proaktiv i ditt försvar och inte reaktiv", säger Stanley. "Under mycket lång tid har branschens mål för detta varit att dela kompromissindikatorer (IOCs), som har ett mycket brett, mycket begränsat sammanhang."
Däremot tipsar ATT&CK spelplanen till försvarets fördel, säger han, eftersom den är detaljerad och ger organisationer ett sätt att förstå de specifika spelböckerna för hotaktörer som är relevanta för deras specifika miljöer.
"Hotskådespelare borde veta att deras spelböcker är i princip värdelösa när vi väl lyfter fram vad de gör och hur de gör det och införlivar det i ramverket", förklarar han. "Organisationer som kan använda det har en mycket starkare säkerhetsställning i motsats till att bara blindt blockera IP-adresser eller hash, som branschen är så van vid att göra. Decider för oss närmare det."
Förenkla ATT&CK för analytikertillgänglighet
Decider gör ATT&CK-kartläggning mer tillgänglig genom att leda användare genom en serie guidade frågor om motståndares aktivitet, med målet att identifiera rätt taktik, tekniker eller undertekniker i ramverket för att passa incidenten på ett intuitivt sätt. Därifrån kan dessa resultat "informera en rad viktiga aktiviteter som att dela resultaten, upptäcka begränsningar och upptäcka ytterligare tekniker", enligt CISA:s 1 mars meddelande av det nya verktyget.
Förutom de i förväg fyllda vägledande frågorna använder Decider ett förenklat språk som skulle vara tillgängligt för alla säkerhetsanalytiker, en intuitiv sök- och filterfunktion för att avslöja relevanta tekniker och en "varukorgsfunktion" som låter användare exportera resultat till vanliga format. Dessutom kan organisationer skräddarsy och ställa in den till sina egna individuella miljöer, inklusive flaggning av vanliga felmappningar.
Förhoppningen är att ATT&CK så småningom ska bli ett grundläggande, bakgrundsverktyg för cybersäkerhetsorganisationer, enligt John Wunder, avdelningschef, CTI och Adversary Emulation på MITRE, snarare än det svårhanterliga, om än användbart, instrument som det har varit.
"En sak som jag verkligen skulle älska att se när ATT&CK rör sig mer i bakgrunden är bara en del av den dagliga driften av cybersäkerhet och enskilda analytiker behöver bara ägna mindre uppmärksamhet åt det", säger han. "Det är bara något som ska ligga till grund för vad vi gör och tänker på att förstå motståndarnas beteenden, och inte något som du måste spendera mycket tid på att tänka igenom varje gång du gör en incidentrespons. Decider är ett stort steg framåt mot det."
Verktyget hjälper också ATT&CK:s syntax att bli den de facto gemensamma nomenklaturen över verktyg och säkerhetsplattformar, och för att dela hotintelligens.
"När du ser att ATT&CK används i mer och mer av ekosystemet, och alla använder ett gemensamt språk, börjar användarna av ATT&CK att se mer och mer fördelar av att anpassa saker till ramverket och använda det för att mer effektivt korrelera verktyg och så vidare , säger Wunder. "Förhoppningsvis kommer vi genom saker som Decider som gör det lättare att använda, att börja se mer och mer av det."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- :är
- $UPP
- 1
- a
- Om oss
- tillgång
- tillgänglig
- Enligt
- exakt
- Uppnå
- tvärs
- aktiviteter
- aktivitet
- aktörer
- Dessutom
- Dessutom
- adresser
- Fördel
- byrå
- Alla
- analytiker
- analytiker
- och
- och infrastruktur
- förutse
- Ansökan
- ÄR
- AS
- At
- Attacker
- uppmärksamhet
- tillgänglig
- bakgrund
- Badrum
- BE
- därför att
- blir
- tro
- fördel
- Bättre
- Bortom
- Stor
- Bit
- blint
- blockering
- Bringar
- bred
- bredare
- by
- KAN
- Kan få
- chef
- CISA
- närmare
- cloud
- Gemensam
- vanligen
- kommunicera
- samfundet
- klagomål
- komplex
- Komplexiteten
- kompromiss
- sammanhang
- Däremot
- kontroll
- Corp
- kunde
- cyber
- Cyber attack
- Cybersäkerhet
- Byrån för cybersäkerhet och infrastruktur
- datum
- datauppsättning
- dag för dag
- Försvararna
- Försvar
- Avdelning
- utformade
- Bestämma
- bestämd
- Utveckling
- upptäcka
- gör
- ner
- ladda ner
- under
- e
- varje
- lättare
- lätt
- ekosystemet
- effektivt
- vikt
- uppmuntras
- Teknik
- Företag
- miljöer
- väsentligen
- upprättandet
- Eter (ETH)
- så småningom
- Varje
- alla
- expertis
- Förklarar
- export
- facto
- långt
- fält
- filtrera
- passa
- För
- Forensic
- formen
- Framåt
- fundament
- Ramverk
- Fri
- från
- främre
- fungera
- funktionalitet
- ytterligare
- skaffa sig
- Ge
- ges
- ger
- Go
- Målet
- god
- styra
- Har
- har
- hjälpa
- hjälper
- Hög
- Markera
- hemland
- Homeland Security
- hoppas
- Förhoppningsvis
- värd
- Hur ser din drömresa ut
- How To
- HTTPS
- i
- ICS
- identifiera
- med Esport
- in
- incident
- incidentrespons
- Inklusive
- införliva
- Inkorporerad
- indikatorer
- individuellt
- industriell
- industrin
- informationen
- Infrastruktur
- inledande
- exempel
- Institute
- Instrumentet
- Intelligens
- intuitiv
- Undersökningar
- involverade
- IP
- IP-adresser
- IT
- DESS
- John
- Snäll
- Vet
- känd
- språk
- lanserades
- leda
- Lets
- Nivå
- tycka om
- Begränsad
- Lång
- länge sedan
- se
- Lot
- älskar
- göra
- GÖR
- Framställning
- chef
- karta
- kartläggning
- max-bredd
- kanske
- Mobil
- mer
- förflyttar
- rörliga
- Navigera
- nödvändigtvis
- Nya
- Nästa
- of
- ofta
- on
- ONE
- öppet
- Verksamhet
- motsatt
- organisation
- organisationer
- överväldigad
- egen
- del
- Partnerskap
- Betala
- Enkel
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- i
- möjlig
- Proaktiv
- Problem
- process
- ger
- sätta
- frågor
- snabbt
- område
- snarare
- RE
- verklig
- realtid
- Oavsett
- relevanta
- respons
- Resultat
- s
- säger
- Sök
- §
- säkerhet
- säkerhetssystem
- säkerhetsverktyg
- se
- Serier
- in
- Dela
- delning
- Gå och Handla
- kundvagn
- skall
- stänga
- förenklade
- förenkla
- saktar
- So
- något
- Källa
- specifik
- spendera
- intressenter
- standard
- Stanley
- starta
- Steg
- starkare
- sådana
- syntax
- System
- taktik
- Ta
- Teknisk
- tekniker
- den där
- Smakämnen
- deras
- Dem
- sak
- saker
- Tänkande
- hot
- hotaktörer
- hot intelligence
- hot
- Genom
- tid
- Tips
- till
- verktyg
- verktyg
- topp
- Utbildning
- förstå
- förståelse
- us
- användning
- användare
- mängd
- via
- gående
- ville
- Sätt..
- webb
- webbapplikation
- Webbplats
- VÄL
- Vad
- som
- VEM
- bredare
- kommer
- med
- inom
- skulle
- Din
- zephyrnet
