Wat als er een gratis, wereldwijd toegankelijk en open raamwerk zou zijn dat uw team zou kunnen helpen aanvallen in kaart te brengen, sterke en zwakke punten in uw omgeving te visualiseren en te begrijpen waar u de controles kunt versterken om kritieke activa tegen aanvallers te beschermen? Dat zou een enorme zegen zijn voor uw beveiligingsteam, toch? Hier is goed nieuws: die tool bestaat al. In feite is het sinds 2013 beschikbaar.
De onschatbare tool die je waarschijnlijk niet maximaliseert
Dit is het minder goede nieuws: hoewel veel teams op de hoogte zijn van het bestaan van deze tool, hebben te weinigen het gebruik ervan onder de knie en nog minder hebben het tot een kernonderdeel van hun beveiligingsworkflow gemaakt. Dat is een groot probleem, vooral in de huidige bedreigingsomgeving.
De tool, algemeen bekend, maar onderbenut, wordt het MITRE ATT&CK-framework genoemd en is absoluut essentieel voor het vertalen van dynamische wereldwijde intelligentie naar een voorspellend beeld van de motivatie van een aanvaller. Zie het MITRE-framework als een kaart van een potentiële aanval, inclusief alle punten in uw omgeving die kunnen worden doorbroken – en hoe. MITRE ATT&CK laat u zien welke impact een succesvolle aanval kan hebben op uw waardevolle bezittingen. Het MITRE-framework, vaak de cyber Rosetta-steen genoemd, biedt analisten een manier om een cyberaanval om te zetten in zakelijke impact, zodat iedereen in de organisatie kan begrijpen wat de aanvaller heeft gedaan en van plan is te doen.
Het gevaar van het niet begrijpen van aanvallen: Beveiligingsontduiking
Vraagt u zich af waarom uw bedieningselementen aanvallen niet stoppen? Laat me je een voorbeeld geven van wat we zien bij beveiligingsteams in alle soorten en maten.
Een organisatie in de kritieke infrastructuursector kwam onlangs bij ons omdat ze niet wisten wat ze konden doen om te voorkomen dat dezelfde ransomware-aanval steeds opnieuw zou plaatsvinden.
De organisatie heeft een vrij groot beveiligingsteam, met enkele tientallen analisten in hun security operations center (SOC) en een handvol analisten van threat intelligence. Het team was gericht op het gebruik van dreigingsinformatie om hun omgeving te versterken door de beveiligingscontroles na elke aanval te verbeteren en door gebruik te maken van detectie- en reactiehulpmiddelen, perimeterbeveiliging, cloudbeveiliging en andere maatregelen.
Toch zagen ze nog steeds dezelfde soorten aanvallen met succes hun beveiligingsmaatregelen ontwijken. Ze wilden begrijpen waarom dit gebeurde en wat ze anders konden doen.
Geeft u een manier om informatie te vertalen in relevante acties
Het was duidelijk dat deze organisatie het MITRE ATT&CK-raamwerk nodig had om hun intelligentie beter te begrijpen en inzicht te krijgen in de impact op hun kritieke activa. Zonder dat hadden ze geen manier om hun intelligentie om te zetten in de juiste acties. Ze konden niet al hun gegevens en intelligentie synthetiseren om kritische vragen te beantwoorden, zoals:
- Waar bevindt de aanvaller zich?
- Wat is de motivatie van de aanvaller?
- Waar moeten we nog meer naar zoeken?
Het beveiligingsteam zou het raamwerk kunnen gebruiken voor alle defensieve activiteiten die verwijzen naar aanvallers en hun gedrag, en profiteren van het gemeenschappelijke lexicon om vijandig gedrag op een standaard manier te beschrijven. We lieten hun analisten zien hoe ze MITRE ATT&CK konden gebruiken om:
- Breng hun defensieve controles in kaart
- Jagen op bedreigingen
- Verbeter de detectie van bedreigingen en stroomlijn onderzoeken
- Specifieke actoren begrijpen en ernaar verwijzen
- Intelligentie en informatie delen
- Verbeter penetratietesten
Hoe teams het MITRE ATT&CK-raamwerk kunnen adopteren
Als je eenmaal begrijpt wat ATT&CK kan doen, is het gemakkelijk in te zien waarom het zo belangrijk is om tegenstanders te slim af te zijn.
Na de MITRE ATT&CK te hebben aangenomen als hun gemeenschappelijke taal en model voor het beschrijven van aanvallen en aanvallers, kan het beveiligingsteam van de kritieke infrastructuurorganisatie nu vertalen tussen operationele aspecten van beveiliging en de potentiële impact van een succesvolle aanval. Dit helpt het beveiligingsteam om de directie op één lijn te krijgen en prioriteiten te stellen voor hun activiteiten. Met behulp van het MITRE ATT&CK-framework kan het beveiligingsteam de aanvalsstroom met elkaar verbinden om aanvallers te begrijpen en voor te blijven, voordat ze de activiteiten kunnen verstoren of een kritieke infrastructuur kunnen beïnvloeden.
Dus waarom gebruikt niet elk beveiligingsteam ter wereld het al? Meestal is het vanwege de uitdagingen van het operationaliseren van dit noodzakelijkerwijs complexe model. Maar de voordelen wegen echt veel zwaarder dan de benodigde inspanning.
Om meer te weten te komen over hoe uw organisatie het MITRE-framework kan gebruiken, luistert u naar de podcast “Building a Secure Framework with XDR and MITRE ATT&CK”.
Mark Alba
Chief Product Officer bij Anomali
Mark Alba is Chief Product Officer bij Anomali en trad in april 2020 in dienst bij het bedrijf. Mark heeft meer dan 20 jaar ervaring met het bouwen, beheren en op de markt brengen van disruptieve producten en diensten. Gedurende zijn carrière heeft Mark in de frontlinie van innovatie gestaan en heeft hij leiding gegeven aan productinspanningen in zowel start-ups als grote ondernemingen, waaronder Check Point Technologies, Security Focus, Symantec en Hewlett Packard Enterprise. Zijn bewezen staat van dienst omvat het op de markt brengen van de eerste volledig geïntegreerde firewall van de beveiligingsindustrie, het leiden van de integratie van wereldwijde bedreigingsinformatie in perimeterbeveiligingstechnologieën en het introduceren van geavanceerde analyses ter ondersteuning van cyberbeveiligingsoperaties.
