Vzhľadom k tomu, že kybernetických hrozieb jednoznačne pribúda, musia si firmy uvedomiť, že zhromažďovanie informácií o hrozbách je neúčinné, pokiaľ je pre nich ťažké tieto informácie využiť. Práve tu prichádza na rad MITRE ATT&CK Framework, ktorý pomáha bezpečnostným tímom s istotou a rýchlo prijímať vhodné opatrenia na odvrátenie útokov a ochranu pred tými budúcimi.
Čo je MITRE?
MITRE ATT&CK Framework, ktorý sa stále častejšie používa v rôznych oblastiach kybernetickej bezpečnosti, je určený na systematické triedenie TTP (taktik, techník a postupov) útočníkov. Vznikol preto, že spoločnosti potrebovali viac informácií o typológii kybernetických hrozieb, aby mohli pripraviť lepšiu obranu. Najlepším spôsobom, ako prísť k týmto informáciám, bolo zoskupiť znalosti už získané z pozorovania telemetrie iných subjektov v oblasti bezpečnosti pre už uplynulé udalosti.
To, čo sa deje vo firmách v jednom odvetví, sa stáva relevantným pre podobné organizácie, pretože možno študovať správanie a riešiť medzery v znalostiach a slepé miesta v zabezpečení. Framework MITRE ATT&CK im poskytuje informácie o ich preferovaných IoC a IoA, rovnako ako o technikách a nástrojoch, ktoré používajú.
Organizácia môže štruktúrované informácie z tohto frameworku využiť tromi spôsobmi v závislosti na úrovni skúseností svojho bezpečnostného tímu. Základný tím prvej úrovne s obmedzenými zdrojmi môže framework použiť spolu s operatívnymi a taktickými informáciami TI ako knižnicu subjektov predstavujúcich hrozbu, a vyvodiť závery ohľadom potenciálnych hrozieb, ktoré konkrétne subjekty predstavujú pre dané odvetvie, prečo a ako sa zameriavajú na určitú geografickú oblasť a ako sa im pokúsiť vyhnúť.
Tím druhé úrovne so skúsenejšími analytikmi kybernetickej bezpečnosti by mohol prispieť do tohto frameworku a rozšíriť existujúce informácie o závery z vlastných skúseností z interných incidentov. Takto je možné databázu vylepšiť o skúsenosti z reálneho sveta. Informácie spracovávajú analytici organizácií, ale aj analytici využívajúci framework, akonáhle sú dáta sprístupnené. Práve tieto vyvodené závery, ktoré sa u jednotlivých odborníkov môžu niekedy líšiť, obohacujú celý framework.
Tím tretej úrovne s najvyspelejšími kybernetickými expertmi bude schopný nielen prispieť svojimi znalosťami a internými správami do frameworku, ale bude tiež schopný vytvoriť strategickú reakciu na identifikované hrozby. Práve tento spôsob doplňovania a pomoci so spracovaním cenných informácií, dáva organizáciám šancu držať krok s dynamikou kybernetických hrozieb.
Ako pomáha spravodajstvo o hrozbách?
Každý, kto sa niekedy stretol s akoukoľvek formou riešenia na sledovanie hrozieb, vie, že akonáhle si vyberiete produkt, ste napojení na prúd (skôr rieku) informácií, ktoré k vám v určitých časových obdobiach prichádzajú. Tieto informácie je potrebné filtrovať, urobiť ich relevantnými a následne ich využiť tak, aby pomohli chrániť organizáciu pred útokmi. Dátové toky hrozieb môžu byť obrovské a obyčajné prechádzanie týchto informácií by dalo veľa práce.
Framework MITRE ATT&CK sa zameriava na spravodajské informácie o hrozbách, pretože umožňuje štandardizovať informácie a urobiť ich zrozumiteľnými pre všetky úrovne bezpečnostných tímov. Dobre spolupracuje s knižnicou pôvodcov hrozieb, ktorou môžu všetky bezpečnostné tímy prechádzať a podľa toho pripravovať svoju obranu.
Dokonca aj bezpečnostný tím 1. úrovne môže použiť framework a štruktúrované informácie TI, vybrať odvetvie svojej organizácie a zistiť, akí pôvodcovia hrozieb na toto odvetvie v určitej oblasti cielia a akým spôsobom. Ide o cenné informácie, ktoré umožnia aj menším organizáciám nastaviť obranu na základnej úrovni.
Druhá úroveň bezpečnostných expertov má určité analytické zručnosti, ktoré im umožnia identifikovať správanie pôvodcov hrozieb, ktorí sa na organizáciu už skôr zamerali, preskúmať ich správanie a previesť ich na taktiku, potom ju priradiť k technike a zahrnúť tieto informácie do frameworku tak, aby z ich záverov mohol ťažiť aj zvyšok sveta.
Aký z toho má analytik prospech?
Rovnako ako pri iných analytických nástrojoch platí, že vyspelejšie tímy majú z informácií najväčší prospech, pretože majú k dispozícii kvalitné zázemie a vedia, ako na dáta a ich kontext najlepšie reagovať. Majte však na pamäti, že ide o veľmi dynamické prostredie, ktoré sa veľmi rýchlo mení.
Skúsenejšie tímy využijú informácie z frameworku na lepšiu implementáciu svojej obrany a prispôsobenie sa hrozbám zo strany konkrétnych útočníkov, ktorí sa zameriavajú na ich odvetvie a lokalitu. Pre niekoho, kto vie, ako informácie interpretovať, to môže znieť jednoducho, ale aj tak to vyžaduje veľa času a sústredenia - niektoré správy treba čítať riadok po riadku a používať na to vhodné programy, ako sú nástroje na zvýrazňovanie alebo nástroje na formátovanie štandardné štruktúry. Informácie sú dobre indexované a klasifikované, ale časovo náročnejší je spôsob ich použitia a ich priradenie k informáciám z interných reportov.
Okrem toho, že tím SOC získa jasný prehľad o vonkajších hrozbách, môže framework MITRE ATT&CK poskytnúť organizáciám tiež pohľad smerom dovnútra, a pomôcť analytikom odhaliť medzery vo vizibilite a rozsahu pokrytia. Bezpečnostné oddelenia môžu lepšie porozumieť svojej vlastnej schopnosti reagovať potom, čo získajú informácie o tom, ako ostatné oddelenia identifikujú a potláčajú hrozby.
Hoci je Threat Intelligence považovaná za kľúčovú pre kybernetickú bezpečnosť organizácie, a MITRE ATT&CK Framework je v tomto ohľade považovaný za veľmi užitočný, štúdia z roku 2021 ukazuje, že ho využíva iba 8 % spoločností. Prečo sa na tento cenný nástroj obracia tak málo ľudí? Pretože úroveň proaktivity, pokiaľ ide o kybernetickú bezpečnosť, je stále nízka. Ďalšie zaujímavé informácie z tej istej štúdie ukazuje, že 84 % týchto užívateľov nepredložilo svoje interné reporty, a neprispelo tak k obohateniu databázy.
Napriek tomu framework MITRE ATT&CK poskytuje organizáciám podrobný prehľad o pozorovateľných vzorkách správania pôvodcov hrozieb. So správnym kontextom, analýzou a protiopatreniami by mohli zabezpečiť mnoho potenciálnych vstupných bodov do svojho systému a eliminovať mnoho zraniteľností.
Naši experti Vám radi poradia, stačí si rezervovať konzultáciu prostredníctvom nášho formulára.
Comments