Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã cho ra mắt công cụ Decanter, một công cụ miễn phí giúp cộng đồng an ninh mạng dễ dàng ánh xạ hành vi của tác nhân đe dọa vào khuôn khổ MITRE ATT&CK.
Được tạo ra với sự hợp tác của Viện Phát triển và Kỹ thuật Hệ thống An ninh Nội địa Hoa Kỳ (HSSEDI) và MITER, Decisionr là một ứng dụng Web mà các tổ chức có thể tải xuống và lưu trữ trong cơ sở hạ tầng của riêng họ, do đó cung cấp ứng dụng này cho nhiều người dùng thông qua đám mây. Nó nhằm đơn giản hóa quy trình thường gặp khó khăn trong việc sử dụng khung một cách chính xác và hiệu quả, cũng như mở ra cơ hội sử dụng khung này cho các nhà phân tích ở mọi cấp độ trong một tổ chức an ninh mạng nhất định.
ATT&CK: Khung phức hợp
ATT&CK được thiết kế để giúp các nhà phân tích bảo mật xác định những gì kẻ tấn công đang cố gắng đạt được và tiến trình của chúng đã đi được bao xa (nghĩa là chúng có đang thiết lập quyền truy cập ban đầu không? Di chuyển ngang? Lọc dữ liệu?) Nó thực hiện điều này thông qua một tập hợp các kỹ thuật tấn công mạng đã biết và các kỹ thuật phụ được xác định và làm mới định kỳ của MITRE, rằng các nhà phân tích có thể lập bản đồ trên những gì họ có thể thấy trong môi trường của chính họ.
Mục đích là đoán trước những bước đi tiếp theo của kẻ xấu và ngăn chặn các cuộc tấn công càng nhanh càng tốt. Khung này cũng có thể được tích hợp vào nhiều công cụ bảo mật khác nhau và nó cung cấp một ngôn ngữ tiêu chuẩn để liên lạc với các đồng nghiệp và các bên liên quan trong quá trình ứng phó sự cố và điều tra pháp lý.
Điều đó hoàn toàn tốt, nhưng vấn đề là khuôn khổ này nổi tiếng là phức tạp, chẳng hạn như thường đòi hỏi trình độ đào tạo và chuyên môn cao để chọn ánh xạ chính xác. Nó cũng liên tục mở rộng, bao gồm các cuộc tấn công ngoài doanh nghiệp để kết hợp các mối đe dọa đối với hệ thống kiểm soát công nghiệp (ICS) và phong cảnh di động, làm tăng thêm sự phức tạp. Nói chung, đó là một tập dữ liệu phong phú để điều hướng — và những người bảo vệ mạng thường gặp rắc rối khi cố gắng sử dụng nó.
“Có rất nhiều kỹ thuật và kỹ thuật phụ có sẵn và có thể liên quan nhiều đến kỹ thuật, và đôi khi các nhà phân tích bị choáng ngợp hoặc điều đó làm họ chậm lại một chút, vì họ không nhất thiết phải biết liệu Kỹ thuật họ chọn là đúng,” James Stanley, trưởng bộ phận tại CISA, cho biết, đồng thời lưu ý rằng những phàn nàn về việc lập bản đồ sai khi sử dụng công cụ này là phổ biến.
“Khi bạn truy cập vào trang web, có rất nhiều thông tin hiện ra trước mắt bạn và bạn sẽ nhanh chóng cảm thấy choáng ngợp. Công cụ Người quyết định thực sự mang lại ngôn ngữ đơn giản hơn cho nhà phân tích sử dụng, bất kể trình độ chuyên môn của họ,” ông nói. “Chẳng hạn, chúng tôi muốn cung cấp cho các bên liên quan nhiều hướng dẫn hơn về cách sử dụng khung này và cung cấp khung này cho các nhà phân tích cấp dưới, những người có thể hưởng lợi từ việc sử dụng khung này trong thời gian thực trong quá trình ứng phó sự cố vào lúc nửa đêm.”
Ở cấp độ rộng hơn, những người ủng hộ tại CISA và MITRE tin rằng việc sử dụng ATT&CK rộng rãi hơn — như được khuyến khích bởi Decdicter — sẽ dẫn đến thông tin tình báo về mối đe dọa khả thi hơn, tốt hơn — và kết quả phòng thủ mạng tốt hơn.
Stanley nói: “Tại CISA, chúng tôi thực sự muốn nhấn mạnh vào việc sử dụng thông tin tình báo về mối đe dọa để bạn chủ động phòng thủ và không phản ứng”. “Trong một thời gian rất dài, mục tiêu của ngành là chia sẻ các chỉ số về sự thỏa hiệp (IOC), có bối cảnh rất rộng nhưng rất hạn chế.”
Ngược lại, ATT&CK mang lại lợi thế cho phe phòng thủ, ông nói, bởi vì nó rất chi tiết và cung cấp cho các tổ chức một cách để hiểu các sách lược của tác nhân đe dọa cụ thể có liên quan đến môi trường cụ thể của họ.
Ông giải thích: “Những kẻ đe dọa nên biết rằng sổ sách của họ về cơ bản là vô dụng một khi chúng tôi nêu bật những gì họ làm cũng như cách họ thực hiện và kết hợp nó vào khuôn khổ”. “Các tổ chức có thể sử dụng nó có chế độ bảo mật mạnh mẽ hơn nhiều, thay vì chỉ chặn các địa chỉ IP hoặc băm một cách mù quáng, giống như ngành vẫn thường làm. Người quyết định sẽ đưa chúng ta đến gần hơn với điều đó.”
Đơn giản hóa ATT&CK cho khả năng truy cập của nhà phân tích
Người quyết định giúp việc lập bản đồ ATT&CK dễ tiếp cận hơn bằng cách hướng dẫn người dùng một loạt câu hỏi có hướng dẫn về hoạt động của đối thủ, với mục tiêu xác định các chiến thuật, kỹ thuật hoặc kỹ thuật phụ chính xác trong khuôn khổ để phù hợp với sự việc một cách trực quan. Từ đó, những kết quả đó có thể “cung cấp một loạt các hoạt động quan trọng như chia sẻ kết quả, khám phá các biện pháp giảm thiểu và phát hiện các kỹ thuật tiếp theo”, theo CISA. Thông báo ngày 1 tháng XNUMX của công cụ mới.
Ngoài các câu hỏi hướng dẫn được điền sẵn, Người quyết định sử dụng ngôn ngữ đơn giản mà bất kỳ nhà phân tích bảo mật nào cũng có thể truy cập được, chức năng lọc và tìm kiếm trực quan để khám phá các kỹ thuật liên quan và chức năng “giỏ hàng” cho phép người dùng xuất kết quả sang các định dạng thường được sử dụng. Ngoài ra, các tổ chức có thể điều chỉnh và điều chỉnh nó cho phù hợp với môi trường riêng của họ, bao gồm cả việc gắn cờ các ánh xạ sai phổ biến.
Theo John Wunder, giám đốc bộ phận, CTI và Mô phỏng đối thủ tại MITRE, hy vọng cuối cùng sẽ trở thành một công cụ cơ bản, nền tảng cho các tổ chức an ninh mạng, thay vì một công cụ khó sử dụng, nếu hữu ích, như trước đây.
Ông nói: “Một điều mà tôi thực sự muốn thấy khi ATT&CK tiến sâu hơn vào nền tảng chỉ là một phần trong hoạt động hàng ngày của an ninh mạng và các nhà phân tích cá nhân chỉ cần ít chú ý đến nó hơn”. “Đó chỉ là điều sẽ tạo thành nền tảng cho những gì chúng ta làm và suy nghĩ về việc hiểu hành vi của đối thủ chứ không phải là điều mà bạn phải dành nhiều thời gian để suy nghĩ mỗi khi thực hiện ứng phó sự cố. Người quyết định là một bước tiến lớn hướng tới điều đó.”
Công cụ này cũng giúp cú pháp của ATT&CK trở thành danh pháp chung trên thực tế giữa các công cụ và nền tảng bảo mật cũng như để chia sẻ thông tin về mối đe dọa.
“Khi bạn thấy ATT&CK được sử dụng ngày càng nhiều trong hệ sinh thái và mọi người sử dụng một ngôn ngữ chung, thì người dùng ATT&CK bắt đầu thấy ngày càng có nhiều lợi ích hơn từ việc sắp xếp mọi thứ theo khung và sử dụng nó để tương quan các công cụ hiệu quả hơn, v.v. ,” Wunder nói. “Hy vọng thông qua những thứ như Người quyết định giúp sử dụng dễ dàng hơn, chúng ta sẽ bắt đầu thấy ngày càng nhiều điều đó.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- :là
- $ LÊN
- 1
- a
- Giới thiệu
- truy cập
- có thể truy cập
- Theo
- chính xác
- Đạt được
- ngang qua
- hoạt động
- hoạt động
- diễn viên
- Ngoài ra
- Ngoài ra
- địa chỉ
- Lợi thế
- cơ quan
- Tất cả
- phân tích
- Các nhà phân tích
- và
- và cơ sở hạ tầng
- dự đoán
- Các Ứng Dụng
- LÀ
- AS
- At
- Các cuộc tấn công
- sự chú ý
- có sẵn
- lý lịch
- Bad
- BE
- bởi vì
- trở nên
- Tin
- hưởng lợi
- Hơn
- Ngoài
- lớn
- Một chút
- mù quáng
- ngăn chặn
- Mang lại
- rộng
- rộng hơn
- by
- CAN
- Có thể có được
- chánh
- CISA
- gần gũi hơn
- đám mây
- Chung
- thông thường
- giao tiếp
- cộng đồng
- khiếu nại
- phức tạp
- phức tạp
- thỏa hiệp
- bối cảnh
- Ngược lại
- điều khiển
- Corp
- có thể
- không gian mạng
- Tấn công mạng
- An ninh mạng
- Cơ quan an ninh cơ sở hạ tầng và an ninh mạng
- dữ liệu
- tập dữ liệu
- ngày qua ngày
- Hậu vệ
- Phòng thủ
- bộ
- thiết kế
- Xác định
- xác định
- Phát triển
- khám phá
- làm
- xuống
- tải về
- suốt trong
- e
- mỗi
- dễ dàng hơn
- dễ dàng
- hệ sinh thái
- hiệu quả
- nhấn mạnh
- khuyến khích
- Kỹ Sư
- Doanh nghiệp
- môi trường
- chủ yếu
- thành lập
- Ether (ETH)
- cuối cùng
- Mỗi
- mọi người
- chuyên môn
- Giải thích
- xuất khẩu
- sự thật
- xa
- lĩnh vực
- lọc
- phù hợp với
- Trong
- Pháp y
- hình thức
- Forward
- Nền tảng
- Khung
- Miễn phí
- từ
- trước mặt
- chức năng
- chức năng
- xa hơn
- được
- Cho
- được
- cho
- Go
- mục tiêu
- tốt
- hướng dẫn
- Có
- có
- giúp đỡ
- giúp
- Cao
- Đánh dấu
- quê hương
- An ninh Nội địa
- mong
- Hy vọng
- chủ nhà
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- i
- ICS
- xác định
- quan trọng
- in
- sự cố
- ứng phó sự cố
- Bao gồm
- kết hợp
- Hợp nhất
- Các chỉ số
- hệ thống riêng biệt,
- công nghiệp
- ngành công nghiệp
- thông tin
- Cơ sở hạ tầng
- ban đầu
- ví dụ
- Viện
- cụ
- Sự thông minh
- trực quan
- Điều tra
- tham gia
- IP
- Địa chỉ IP
- IT
- ITS
- nhà vệ sinh
- Loại
- Biết
- nổi tiếng
- Ngôn ngữ
- phát động
- dẫn
- cho phép
- Cấp
- Lượt thích
- Hạn chế
- dài
- thời gian dài
- Xem
- Rất nhiều
- yêu
- làm cho
- LÀM CHO
- Làm
- giám đốc
- bản đồ
- lập bản đồ
- max-width
- Might
- di động
- chi tiết
- di chuyển
- di chuyển
- Điều hướng
- nhất thiết
- Mới
- tiếp theo
- of
- đôi khi
- on
- ONE
- mở
- Hoạt động
- phản đối
- cơ quan
- tổ chức
- choáng ngợp
- riêng
- một phần
- Công ty
- Trả
- Trơn
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- chơi
- có thể
- Chủ động
- Vấn đề
- quá trình
- cung cấp
- đặt
- Câu hỏi
- Mau
- phạm vi
- hơn
- RE
- thực
- thời gian thực
- Bất kể
- có liên quan
- phản ứng
- Kết quả
- s
- nói
- Tìm kiếm
- Phần
- an ninh
- hệ thống an ninh
- công cụ bảo mật
- nhìn thấy
- Loạt Sách
- định
- Chia sẻ
- chia sẻ
- Mua sắm
- giỏ mua hàng
- nên
- Đóng cửa
- đơn giản hóa
- đơn giản hóa
- làm chậm
- So
- một cái gì đó
- nguồn
- riêng
- tiêu
- các bên liên quan
- Tiêu chuẩn
- Stanley
- Bắt đầu
- Bước
- mạnh mẽ hơn
- như vậy
- cú pháp
- hệ thống
- chiến thuật
- Hãy
- Kỹ thuật
- kỹ thuật
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- điều
- điều
- Suy nghĩ
- mối đe dọa
- diễn viên đe dọa
- mối đe dọa tình báo
- các mối đe dọa
- Thông qua
- thời gian
- lời khuyên
- đến
- công cụ
- công cụ
- hàng đầu
- Hội thảo
- hiểu
- sự hiểu biết
- us
- sử dụng
- Người sử dụng
- nhiều
- thông qua
- đi bộ
- muốn
- Đường..
- web
- Ứng dụng web
- Website
- TỐT
- Điều gì
- cái nào
- CHÚNG TÔI LÀ
- rộng hơn
- sẽ
- với
- ở trong
- sẽ
- trên màn hình
- zephyrnet
