Saldırı yönteminin tanımının tutarlı bir standarda sahip olması için saldırı zincirini tanımlamak için MITRE ATTCK çerçevesini kullanın
Günümüzün ağ güvenliği çerçeveleri çoğunlukla savunma açısından oluşturulmuştur.Son yıllarda saldırı yüzeyinin analizinden başlayarak ağ güvenlik çerçevelerinin de oluştuğunu ve MITRE ATTCK'nın tipik bir örnek olduğunu belirtmek gerekir ki saldırı süreci için daha fazla tanım sağlar. Sistematik indüksiyon, basit ve anlaşılması kolay bir model ve ortak bir dil haline geldi, bu da çeşitli siber güvenlik şirketlerinin siber öldürme zincirini açıklarken takip etmeleri için birleşik bir standarda sahip olmalarına olanak tanıyor ve şirketler de bunu kullanabilir. Saldırganın davranışının neden olduğu güvenlik risklerini anlamayı kolaylaştıran araçlar.
Kutsal MITRE nedir? Amerika Birleşik Devletleri'nde kar amacı gütmeyen bir kuruluştur. Siber güvenlikle ilgili bir dizi araştırmaya yardımcı olmanın yanı sıra, aynı zamanda CVE güvenlik açığı veritabanının işletilmesi ve bakımının arkasındaki kuruluştur.ATTCK çerçevesinin araştırma planı, kuruluş tarafından Mayıs 2015'te başlatılmıştır.
Son yıllarda, MITRE ATTCK yavaş yavaş ilgi gördü ve Çin'deki çoğu insan hala bu konsepte aşina olmayabilir. Bu nedenle, bu sefer daha iyi anlamamıza yardımcı olması için bu konuya aşina bir uzman bulduk OPSWAT Asya Pasifik Genel Müdür Yardımcısı Lin Bingzhong. Geçen yılın ilk yarısında, ATTCK çerçevesi halka tanıtıldı.
Bu mimarinin anlaşılması için Lin Bingzhong ilk önce Siber Öldürme Zinciri'nden bahsetti. Son yıllarda çeşitli siber güvenlik şirketlerinin bir saldırıda bir kuruluşun attığı adımları anlatan çok sayıda siber tehdit istihbaratı veya raporu yayınladığına dikkat çekti. Bu nedenle, işletmelerin saldırı sürecine hakim olmaları ve Siber Öldürme Zincirini kesintiye uğratarak savunma gibi gerekli önleme veya kontrol stratejilerini almaları için bir referans olarak kullanılabilir ve ağ güvenliği adli tıpta analiz sürecine yardımcı olabilir.
Ancak çeşitli siber güvenlik firmaları tarafından tanımlanan Siber Öldürme Zinciri aynı değildir.İşgalin başından sonuna kadar Lin Bingzhong, bazı firmaların 5 aşamaya, bazı firmaların ise 7 veya 9 vb. Olduğuna dikkat çekti. Bu nedenle, aynı olay raporunun çeşitli şirketler tarafından açıklaması farklılık gösterebilir.
MITRE tarafından önerilen ATTCK çerçevesi, işgal sırasında meydana gelebilecek durumların daha ayrıntılı bir resmini çıkarmak ve 11 stratejik aşamayı ayırmaktır. İçeriği: izinsiz giriş, yürütme, yetkilendirmeyi geliştirme, savunmadan kaçınma, kimlik bilgilerine erişim, keşif, yanal hareket, toplama, sızma, komuta ve kontrolün ilk aşaması.
Aynı zamanda saldırganın her aşamasında MİTRE, kullandığı teknik ve araçları da toplayarak bir bilgi tabanı olarak sınıflandırır ve bu şekilde saldırganın yeteneklerini anlamamıza yardımcı olur.
Saldırı açıklamasının, izinsiz giriş olayının tartışılmasına ve yorumlanmasına yardımcı olması beklenen ortak bir dile sahip olmasına izin verin.
Ayrıca Lin Bingzhong, ATTCK'nın en büyük değerinin hayatın her kesiminde iletişimi hızlandırması olduğuna dikkat çekti. Çünkü bu çerçeve oluşturulduktan sonra şirketler arasında tartışmak, karmaşık kavramları yönetime ve müşterilere açıklamak veya hücum ve savunma tatbikatları yapmak daha kolay hale gelecektir. Bu aynı zamanda siber tehdit istihbaratının veri alışverişini de etkiler.
Örneğin, geçmişte, her ağ güvenliği şirketi APT organizasyonu hakkında bir rapor yayınladı; bu rapor, saldırı yöntemlerini metin aracılığıyla açıkladı, buna ilk hacker araştırması, saldırı gecikmesi ve yatay yayılma gibi bir dizi süreç dahil, ancak bu tür bir "hikaye anlatımı" Yöntem aslında yeterince "yapılandırılmış" değildir ve ilgili grafikler de kendi Siber Öldürme Zinciri tanımlarına göre tasarlanmıştır.
MITRE ATTCK'nın avantajı, saldırganın yöntem ve davranışlarını tanımlamak için birleşik ve yapılandırılmış bir yol sağlamasıdır. Sunum için bir çerçeve kullandığınız sürece, saldırganın kullandığı stratejileri ve yöntemleri görebilir ve daha fazla tutarlılığa sahip olabilirsiniz. Tehdidin aşamasını belirleme süreci. Basitçe ifade etmek gerekirse, standartlaştırılmış ve yapılandırılmış bilgiler aracılığıyla siber güvenlik olaylarının tam resmi daha hızlı incelenebilir.
Örneğin, bir bilgisayar korsanı kuruluşu için bir profil yazarken, çeşitli ağ güvenliği satıcıları, hatta genel kuruluşlar, saldırganın saldırıyı MITRE ATTCK çerçevesi aracılığıyla nasıl hazırladığını ve başlattığını ve yürüttüğünü hızlı bir şekilde açıklayabilir.
Başka bir deyişle, bu herkesin, algılama ve önleme yöntemlerini iyileştirmek için bir ağ güvenlik şirketi veya bir kuruluş olsun, bilinen saldırganların eylemlerinin oluşturabileceği güvenlik risklerini anlamasına yardımcı olacaktır. Örneğin, işletmeler için, siber savunmalarını iyileştirmek için uygun araçları değerlendirmeye ve seçmeye yardımcı olabilir. Örneğin, ilgili güvenlik önlemlerini dikkate almak için kuruluş için en fazla tehdidi oluşturan kuruluşa öncelik verin.
Otomatik saldırı simülasyonu ile EDR ürünlerinin etkinliğini değerlendirmeye daha da yardımcı olabilir
Son zamanlarda, MITRE ATTCK, yalnızca giderek daha fazla ağ güvenliği şirketinin bu çerçeveyi ağ saldırılarının karmaşıklığını tanımlamak için kullanması nedeniyle değil, aynı zamanda güvenlik koruma ürünlerini daha da değerlendirmeye yardımcı olması için daha dikkat çekici hale geldi. Lin Bingzhong, MITRE ATTCK'nin hacker organizasyonu profili aracılığıyla, sadece organizasyonun saldırı yöntemlerini net bir şekilde anlamakla kalmayıp, işletmelerin saldırı ve savunma tatbikatları yapmasına yardımcı olmanın ve savunma araçlarının beklenen sonuçları getirip getiremeyeceğini doğrulamanın daha iyi olduğuna işaret etti.
Örneğin, şirketler içe aktarırken ve satın alırken popüler uç nokta algılama ve yanıt EDR ürünlerinin etkinliğini nasıl doğrular? Bu nedenle firmaların karşılaşabileceği sorun, her ürünü değerlendirmenin kolay olmamasıdır. ATTCK'dan sonra, bir siber güvenlik şirketi bir APT kuruluşundan bir rapor yayınladığında, şirket bilgileri bu çerçeveye göre doldurabilir ve ardından şirketin bir veri oluşturmasına yardımcı olmak için otomatik saldırı simülasyon platformunu (Otomatik Olumsuz Emülasyon) kullanabilir. Kırmızı ekip saldırılarını simüle etmek ve EDR ürünlerinin bu saldırıları yakalayıp yakalayamayacağını incelemek, şirketlerin bu tür ürünleri değerlendirmeleri için bir tür referans bilgi olarak kullanılabilir.
Şu anda piyasada bulunan otomatik saldırı simülasyon platformlarına bakan Lin Bingzhong, saldırı davranışlarını simüle etmek için ATT & CK çerçevesini ve hatta RedHunt işletim sistemini kullanan Caldera, Red Team Automation gibi birçok açık kaynaklı araç olduğunu söyledi. Böylesi bir önyüklenebilir CD-ROM aracı, zengin tehdit istihbaratını, kayıt analizini ve otomatik saldırı simülasyon araçlarını entegre ederek kullanıcıların uygulamasını ve yürütmesini kolaylaştırır.
MITRE geçen yıl bir değerlendirme planı başlattı ve 7 şirket 2 takip sürecine katıldı
Öte yandan, birçok şirket, ağ güvenliği şirketlerinin ATTCK'yi entegre etmesini ister ve ağ güvenliği şirketleri de müşterileriyle iletişim kurarken ortak dili kullanabilmeleri için ürünlerinde ATTCK kullanır.
Kasım 2018'de bile MITRE, güvenlik ürünlerini değerlendirme planları olan ATTCK değerlendirme planının sonuçlarını açıkladı.Geçen yılın Nisan ayında Carbon Black ve CounterTack dahil olmak üzere toplam 7 şirket katılmaya istekli olduklarını belirtti. , Crowdstrike, Endgame, Microsoft, RSA ve SentinelOne. Plan, ATTCK çerçevesinin değerlendirme yöntemini kullanır ve kuruluşların güvenlik yeteneklerini geliştirmelerine yardımcı olmak amacıyla, güvenlik kurumsal ürünlerinin yeteneklerini değerlendirmek için APT3 tarafından düzenlenen saldırı davranışını kullanır.
Bu değerlendirme planında MITRE ayrıca kurumsal iletişim ve tartışmayı kolaylaştırmak için 9 tespit kategorisi tanımladı. Değerlendirme sonuçlarının web sayfasında, kullanıcılar ATTCK matrisini çeşitli üreticilerin ürünlerinin APT3 organizasyonuna karşı algılama yeteneklerini incelemek için de kullanabilirler.
Ve bu yaklaşım gerçekten de daha fazla siber güvenlik personelini ve ilgili şirketleri cezbetti. Örneğin, küresel bir pazar araştırma kuruluşu olan Forrester'da kıdemli bir analist olan Josh Zelonis, geçen yıl Aralık ayında ATT & CK değerlendirme planından heyecan duyduğunu ancak yine de değerlendirme sonuçlarından biraz hayal kırıklığına uğradığını çünkü hiçbir puanlama mekanizması olmadığına inandığını ve bu nedenle bunu kendisi önerdiğini söyledi. Bir dizi puanlama standardı oluşturulmuş ve farklı tespit kategorileri 5 puan, 3 puan, 1 puan ve 0 puana bölünmüştür.
Ayrıca, bu yılın Şubat ayında FireEYE ve Cybereason'ın ATTCK değerlendirme yöntemini takip ettiğini gördük ve hatta FireEye, ürünlerini yukarıdaki 7 şirketle karşılaştırılabilir hale getirmek için Josh Zelonis'in puanlama yöntemini kullandıklarını belirten bir mesaj yayınladı. Oran, kendi uç nokta güvenlik ürünlerinin etkinliğini göstermek için.
Uzun vadede, ATT & CK çerçevesinin uygulanması ve geliştirilmesi, ağ güvenliğiyle ilgilenenlerin daha fazla ilgisini hak ediyor. Nitekim son yıllarda MİTRE de ATT & CK'yi tanıtmak için çok çaba sarf etmiştir.Örneğin bu bilgi tabanında, saldırı stratejilerinde kullanılan çeşitli teknik yöntemlerin tamamı detaylı olarak tanıtılmıştır.Bu aşamada 223 yöntem biriktirilmiştir. Hangi hacker gruplarının bu yöntemi kullandığını ve azaltma ve tespit için ilgili talimatlar vardır.
Bu çerçevenin kullanımını kolaylaştırmak için Mart 2018'de MITER, ATTCK Navigator adlı bir web uygulamasını da piyasaya sürdü.Arabirim stili Excel hesap tablolarına benzer ve kullanıcıların ATTCK matrisini uygulamasını daha kolay hale getirdi.
Örneğin, bu çevrimiçi hizmet ek açıklamalar, arka plan renkleri ve belirlenmiş puanlar ekleme işlevine sahiptir.Ayrıca, Windows, Linux ve Mac platformları için filtrelere sahiptir ve kullanıcıların kendi savunma aralıklarını aktif bir şekilde gözden geçirmelerine ve sonuçları vektörlere aktarmalarına olanak tanır. Resim dosyası veya XLSX dosyası. Arayüz aynı zamanda sektör tarafından tanımlanmış çeşitli tehdit organizasyonları ve kötü niyetli programları da sağlar.Kullanıcıların sadece seçim yapmaları yeterlidir ve kurum veya programın tüm saldırı yöntemlerini ve içinde bulundukları stratejik aşamayı görebilirler.
Bu arada, isim söz konusu olduğunda, yukarıda bahsedilen ATT & CK çerçevesi esas olarak Kurumsal için ATTCK olarak adlandırılır. Aslında, MITRE ayrıca, saldırı öncesi hazırlık ve eylem çerçevelerine karşılık gelen, Mobil için ATTCK öncesi ve ATTCK'yi önermiştir.
MITER, kullanım kolaylığı için ilgili tehdit istihbaratını toplayan ve düzenleyen ATTCK Navigator web uygulamasını da sağlar.Örneğin, kullanıcılar APT3'ü seçtiklerinde, kuruluş tarafından kullanılan stratejileri ve yöntemleri görebilirler ve arayüz ayrıca renkler ve açıklamalar da sağlar. Dışa aktarma ve diğer araçlar kullanıcıların kullanması için uygundur.
Geçen yıl Kasım ayında açıklanan ATTCK Değerlendirmeleri programının sonuçlarında kullanıcılar, özel bir web sayfasında katılımcı 7 ağ güvenliği şirketinin değerlendirme sonuçlarını inceleyebilirler. Örneğin, Microsoft matrisinde, APT3 tarafından kullanılan çeşitli saldırı yöntemlerini ve bunların ürün tarafından tespit edilip edilemeyeceğini inceleyebilirsiniz.Ayrıntılı bilgiler ayrıca bu yöntemin algılama türlerini belirtmek için simgeler kullanır. Bu yıl Şubat ayı sonunda iki şirketin daha katıldığını gördük.
