Vzhledem k tomu, že kybernetických hrozeb jednoznačně přibývá, musí si firmy uvědomit, že shromažďování informací o hrozbách je neúčinné, pokud je pro ně obtížné tyto informace využít. Právě zde přichází na řadu MITRE ATT&CK Framework, který pomáhá bezpečnostním týmům s jistotou a rychle přijímat vhodná opatření k odvrácení útoků a ochraně před těmi příštími.
Co je MITRE?
MITRE ATT&CK Framework, který se stále častěji používá v různých oblastech kybernetické bezpečnosti, je určen k systematickému třídění TTP (taktik, technik a postupů) útočníků. Vznikl proto, že společnosti potřebovaly více informací o typologii kybernetických hrozeb, aby mohly připravit lepší obranu. Nejlepším způsobem, jak přijít k těmto informacím, bylo seskupit znalosti již získané z pozorování telemetrie jiných subjektů v oblasti bezpečnosti pro již uplynulé události.
To, co se děje ve firmách v jednom odvětví, se stává relevantním pro podobné organizace, protože lze studovat chování a řešit mezery ve znalostech a slepá místa v zabezpečení. Framework MITRE ATT&CK jim poskytuje informace o jejich preferovaných IoC a IoA, stejně jako o technikách a nástrojích, které používají.
Organizace může strukturované informace z tohoto frameworku využít třemi způsoby v závislosti na úrovni zkušeností svého bezpečnostního týmu. Základní tým první úrovně s omezenými zdroji může framework použít spolu s operativními a taktickými informacemi TI jako knihovnu subjektů představujících hrozbu, a vyvodit závěry ohledně potenciálních hrozeb, které konkrétní subjekty představují pro dané odvětví, proč a jak se zaměřují na určitou geografickou oblast a jak se jim pokusit vyhnout.
Tým druhé úrovně se zkušenějšími analytiky kybernetické bezpečnosti by mohl přispět do tohoto frameworku a rozšířit stávající informace o závěry z vlastních zkušeností z interních incidentů. Takto lze databázi vylepšit o zkušenosti z reálného světa. Informace zpracovávají analytici organizací, ale také analytici využívající framework, jakmile jsou data zpřístupněna. Právě tyto vyvozené závěry, které se u jednotlivých odborníků mohou někdy lišit, obohacují celý framework.
Tým třetí úrovně s nejvyspělejšími kybernetickými experty bude schopen nejen přispět svými znalostmi a interními zprávami do frameworku, ale bude také schopen vytvořit strategickou reakci na identifikované hrozby. Právě tento způsob doplňování a pomoci se zpracováním cenných informací, dává organizacím šanci držet krok s dynamikou kybernetických hrozeb.
Jak pomáhá zpravodajství o hrozbách?
Každý, kdo se někdy setkal s jakoukoli formou řešení pro sledování hrozeb, ví, že jakmile si vyberete produkt, jste napojeni na proud (spíše řeku) informací, které k vám v určitých časových obdobích přicházejí. Tyto informace je třeba filtrovat, učinit je relevantními a následně je využít tak, aby pomohly chránit organizaci před útoky. Datové toky hrozeb mohou být obrovské a pouhé procházení těchto informací by dalo hodně práce.
Framework MITRE ATT&CK se zaměřuje na zpravodajské informace o hrozbách, protože umožňuje standardizovat informace a učinit je srozumitelnými pro všechny úrovně bezpečnostních týmů. Dobře spolupracuje s knihovnou původců hrozeb, kterou mohou všechny bezpečnostní týmy procházet a podle toho připravovat svou obranu.
Dokonce i bezpečnostní tým 1. úrovně může použít framework a strukturované informace TI, vybrat odvětví své organizace a zjistit, jací původci hrozeb na toto odvětví v určité oblasti cílí a jakým způsobem. Jedná se o cenné informace, které umožní i menším organizacím nastavit obranu na základní úrovni.
Druhá úroveň bezpečnostních expertů má určité analytické dovednosti, které jim umožní identifikovat chování původců hrozeb, kteří se na organizaci již dříve zaměřili, prozkoumat jejich chování a převést je na taktiku, poté ji přiřadit k technice a zahrnout tyto informace do frameworku tak, aby z jejich závěrů mohl těžit i zbytek světa.
Jaký z toho má analytik prospěch?
Stejně jako u jiných analytických nástrojů platí, že vyspělejší týmy mají z informací největší prospěch, protože mají k dispozici kvalitní zázemí a vědí, jak na data a jejich kontext nejlépe reagovat. Mějte však na paměti, že se jedná o velmi dynamické prostředí, které se velmi rychle mění.
Zkušenější týmy využijí informace z frameworku k lepší implementaci své obrany a přizpůsobení se hrozbám ze strany konkrétních útočníků, kteří se zaměřují na jejich odvětví a lokalitu. Pro někoho, kdo ví, jak informace interpretovat, to může znít jednoduše, ale i tak to vyžaduje spoustu času a soustředění - některé zprávy je třeba číst řádek po řádku a používat k tomu vhodné programy, jako jsou nástroje pro zvýrazňování nebo nástroje pro formátování standardní struktury. Informace jsou dobře indexované a klasifikované, ale časově náročnější je způsob jejich použití a jejich přiřazení k informacím z interních reportů.
Kromě toho, že tým SOC získá jasný přehled o vnějších hrozbách, může framework MITRE ATT&CK poskytnout organizacím také pohled směrem dovnitř, a pomoci analytikům odhalit mezery ve vizibilitě a rozsahu pokrytí. Bezpečnostní oddělení mohou lépe porozumět své vlastní schopnosti reagovat poté, co získají informace o tom, jak ostatní oddělení identifikují a potlačují hrozby.
Přestože je Threat Intelligence považována za klíčovou pro kybernetickou bezpečnost organizace, a MITRE ATT&CK Framework je v tomto ohledu považován za velmi užitečný, studie z roku 2021 ukazuje, že jej využívá pouze 8 % společností. Proč se na tento cenný nástroj obrací tak málo lidí? Protože úroveň proaktivity, pokud jde o kybernetickou bezpečnost, je stále nízká. Další zajímavá informace z téže studie ukazuje, že 84 % těchto uživatelů nepředložilo své interní reporty, a nepřispělo tak k obohacení databáze.
Přesto framework MITRE ATT&CK poskytuje organizacím podrobný přehled o pozorovatelných vzorcích chování původců hrozeb. Se správným kontextem, analýzou a protiopatřeními by mohly zabezpečit mnoho potenciálních vstupních bodů do svého systému a eliminovat mnoho zranitelností.
Naši experti Vám rádi poradí, stačí si rezervovat konzultaci prostřednictvím našeho formuláře.
Comments