Как да приложите MITRE ATT&CK във вашата организация

Как да приложите MITRE ATT&CK във вашата организация
DNS атаки

Открийте всички начини, по които MITRE ATT&CK може да ви помогне да защитите организацията си. Изградете своята стратегия и политики за сигурност, като се възползвате максимално от тази важна рамка.

Какво представлява рамката MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge – тактики, техники и общи познания на противника) е широко приета рамка и база знания, която очертава и категоризира тактиките, техниките и процедурите (TTPs), използвани при кибератаки. Създадена от организацията с нестопанска цел MITRE, тази рамка предоставя на специалистите по сигурността прозрения и контекст, които могат да им помогнат да разберат, идентифицират и смекчат ефективно киберзаплахите.

Техниките и тактиките в рамката са организирани в динамична матрица. Това улеснява навигацията и също така осигурява цялостен поглед върху целия спектър от поведения на противника. В резултат на това рамката е по-приложима и използваема, отколкото ако представляваше статичен списък.

Рамката MITRE ATT&CK може да бъде намерена тук: https://attack.mitre.org/

Внимавайте: MITRE ATT&CK Framework Biases

Според Етай Маор, старши директор на отдел „Стратегия за сигурност“ в Cato Networks, „знанията, предоставени в рамката MITRE ATT&CK, са извлечени от реални доказателства за поведението на нападателите. Това я прави податлива на определени пристрастия, с които специалистите по сигурността трябва да са наясно. Важно е да се разберат тези ограничения.“

  • Предразсъдъци за новост – техниките или заплахите, които са нови или интересни, се докладват, докато техниките, които се използват отново и отново, не се докладват.
  • Пристрастие към видимостта – издателите на доклади на Intel имат пристрастия към видимостта, които се основават на начина, по който събират данни, което води до видимост на някои техники, а не на други. Освен това техниките се разглеждат по различен начин по време на инциденти и след това.
  • Пристрастие на производителя – Докладите, публикувани от някои организации, може да не отразяват по-широката индустрия или света като цяло.
  • Пристрастие към жертвите – Някои организации на жертви са по-склонни да докладват или да бъдат докладвани, отколкото други.
  • Предразсъдъци, свързани с наличността – Авторите на доклади често включват в докладите си техники, които бързо идват на ум.

Случаи на употреба на MITRE ATT&CK Defender

Рамката MITRE ATT&CK помага на специалистите по сигурността да изследват и анализират различни атаки и процедури. Това може да помогне при разузнаването на заплахи, откриването и анализа, симулациите, както и при оценката и инженеринга. MITRE ATT&CK Navigator е инструмент, който може да помогне за проучване и визуализиране на матрицата, като подобри анализа за защитно покритие, планиране на сигурността, честота на техниките и др.

Етай Маор добавя: „Рамката може да бъде толкова дълбока, колкото искате, или да бъде на толкова високо ниво, колкото искате. Тя може да се използва като инструмент за показване на картографирането и дали сме добри или лоши в определени области, но може да се задълбочи до разбирането на много специфичната процедура и дори на реда от кода, който е бил използван при конкретна атака.“

Ето няколко примера за това как могат да се използват рамката и Навигаторът:

Анализ на  заплаха

 

Специалистите по сигурността могат да използват MITRE ATT&CK, за да разследват конкретни  заплахи. Например, те могат да навлязат в матрицата и да научат кои техники се използват от различните групи, как се изпълняват, какви инструменти използват и т.н. Тази информация помага за разследването на определени атаки. Тя също така разширява знанията и начина на мислене на изследователите, като ги запознава с допълнителни начини на действие, които предприемат нападателите.

На по-високо ниво рамката може да се използва, за да се отговори на въпроси от ниво С относно пробиви или заплахи. Например, ако се зададе въпросът – „Смятаме, че може да сме цел на ирански национални държавни  заплахи“. Рамката дава възможност за задълбочаване в иранските участници в заплахи като APT33, като показва кои техники използват, идентификатори на атаки и др.

 

Анализ на множество заплахи

 

Освен изследването на конкретни заплахи, рамката MITRE ATT&CK позволява и анализ на множество заплахи. Например, ако е изразена загриженост, че „Поради неотдавнашните политически и военни събития в Иран смятаме, че ще има ответна реакция под формата на кибератака. Какви са общите тактики за атака на иранските  заплахи?“, рамката може да се използва за идентифициране на общите тактики, използвани от редица заплахи от националната държава.

Ето как би могъл да изглежда един визуализиран анализ на множество заплахи, като червеното и жълтото представляват техники, използвани от различни групи, а зеленото – припокриване.

 

Анализ на пропуските

Рамката на MITRE ATT&CK също така помага да се анализират съществуващите пропуски в защитата. Това позволява на защитниците да идентифицират, визуализират и сортират кои от тях организацията не покрива.

Ето как може да изглежда това, като цветовете се използват за приоритизиране.

 

Atomic Testing

Накрая, Atomic Red Team е библиотека с отворен код от тестове, съпоставени с рамката MITRE ATT&CK. Тези тестове могат да се използват за тестване на вашата инфраструктура и системи, базирани на рамката, за да помогнат за идентифициране и намаляване на пропуските в покритието.

Центърът за информирана за заплахите отбрана (MITRE CTID)

MITRE CTID (Center for Threat-Informed Defense) е център за научноизследователска и развойна дейност, финансиран от частни организации, който си сътрудничи както с организации от частния сектор, така и с организации с нестопанска цел. Тяхната цел е да революционизират подхода към противниците чрез обединяване на ресурсите и наблягане на проактивното реагиране на инциденти, а не на реактивните мерки. Тази мисия се ръководи от убеждението, вдъхновено от Джон Ламбърт, че защитниците трябва да преминат от мислене в списъци към мислене в графики, ако искат да преодолеят предимствата на нападателите.

Етай Маор коментира: „Това е много важно. Трябва да улесним сътрудничеството между защитниците на различни нива. Ние сме много запалени по този въпрос.“

Важна инициатива в този контекст е проектът „Поток на атаката“. Проектът „Attack Flow“ се занимава с предизвикателството, пред което са изправени защитниците, които често се фокусират върху индивидуално, атомно поведение на нападателите. Вместо това „Attack Flow“ използва нов език и инструменти за описване на потока от техники на ATT&CK. След това тези техники се комбинират в модели на поведение. Този подход позволява на защитниците и лидерите да получат по-дълбоко разбиране за начина, по който действат противниците, за да могат да усъвършенстват съответно своите стратегии.

Тук можете да видите как изглежда потокът на атаката.

С помощта на тези потоци от атаки защитниците могат да отговорят на въпроси като:

  • Какво са правили противниците?
  • Как се променят противниците?

Отговорите могат да им помогнат да уловят, споделят и анализират моделите на атака.

Тогава те ще могат да отговорят на най-важните въпроси:

  • Какво е следващото най-вероятно нещо, което те ще направят?
  • Какво сме пропуснали?

CTID приканва общността да участва в нейните дейности и да допринася за обогатяването на нейната база от знания. Можете да се свържете с тях в LinkedIn.

За да научите повече за рамката MITRE ATT&CK, гледайте целия майсторски клас тук.

Източник: The Hacker News

Сподели в:

Категории:

Следвай ни в: