ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), siber güvenlik topluluğunun tehdit aktörü davranışını MITRE ATT&CK çerçevesine daha kolay bir şekilde eşlemesine yardımcı olacak ücretsiz bir araç olan Decider’ı piyasaya sürdü.
ABD Ulusal Güvenlik Sistemleri Mühendislik ve Geliştirme Enstitüsü (HSSEDI) ve MITRE ile ortaklaşa oluşturulan Decider, kuruluşların indirip kendi altyapılarında barındırabilecekleri ve böylece bulut aracılığıyla çeşitli kullanıcıların kullanımına sunan bir Web uygulamasıdır. Çerçeveyi doğru ve etkili bir şekilde kullanmanın genellikle zahmetli sürecini basitleştirmenin yanı sıra, belirli bir siber güvenlik organizasyonundaki her seviyedeki analistlere kullanımını açmayı amaçlamaktadır.
ATT&CK: Karmaşık Bir Çerçeve
ATT&CK, güvenlik analistlerinin saldırganların neyi başarmaya çalıştıklarını ve süreçte ne kadar ilerlediklerini belirlemelerine yardımcı olmak için tasarlanmıştır (yani, ilk erişimi sağlıyorlar mı? Yanal olarak mı hareket ediyorlar? Verileri sızdırıyorlar mı?) Bunu bir dizi bilinen siber saldırı tekniği aracılığıyla yapıyor ve MITRE tarafından belirlenen ve periyodik olarak yenilenen alt teknikler, analistlerin kendi ortamlarında gördüklerini haritalandırabilmelerini sağlar.
Amaç, kötü adamların bir sonraki hamlelerini tahmin etmek ve saldırıları olabildiğince çabuk durdurmaktır. Çerçeve ayrıca çeşitli güvenlik araçlarına dahil edilebilir ve olay müdahalesi ve adli soruşturmalar sırasında meslektaşlar ve paydaşlarla iletişim kurmak için standart bir dil sağlar.
Bunların hepsi iyi ve güzel, ancak sorun şu ki, çerçeve, örneğin, doğru eşlemeleri seçmek için genellikle yüksek düzeyde eğitim ve uzmanlık gerektiren, herkesin bildiği gibi karmaşık olmasıdır. Ayrıca, endüstriyel kontrol sistemlerine (ICS) ve mobil ortama yönelik tehditleri birleştirmek için kurumsal ötesi saldırılar da dahil olmak üzere sürekli olarak genişler ve karmaşıklığı artırır. Sonuç olarak, gezinmek için genişleyen bir veri seti ve siber savunucular onu kullanmaya çalışırken genellikle yabani otların arasında kalıyor.
“Mevcut olan ve çok ilgili ve çok teknik olabilen birçok teknik ve alt teknik var ve çoğu zaman analistler bunalır veya bu onları biraz yavaşlatır çünkü alt-teknik olup olmadığını bilmezler. Seçtikleri teknik doğru olan,” diyor CISA’nın bölüm şefi James Stanley, aracı kullanarak yanlış haritalamalarla ilgili şikayetlerin yaygın olduğuna dikkat çekerek.
“Web sitesine gittiğinizde, önünüzde pek çok bilgi var ve bu bilgiler hızla gözünüzü korkutuyor. Decider aracı, uzmanlık düzeyleri ne olursa olsun bir analistin kullanması için bunu gerçekten daha sade bir dile getiriyor” diyor. . “Paydaşlarımıza çerçeveyi nasıl kullanacakları konusunda daha fazla rehberlik sağlamak ve örneğin gece yarısı olay müdahalesi sırasında onu gerçek zamanlı olarak kullanmaktan fayda sağlayabilecek genç analistlerin kullanımına sunmak istedik.”
Daha geniş bir düzeyde, CISA ve MITRE’deki misyonerler, ATT&CK’nin daha geniş kullanımının – Decider tarafından teşvik edildiği gibi – daha iyi, daha eyleme geçirilebilir tehdit istihbaratına ve daha iyi siber savunma sonuçlarına yol açacağına inanıyor.
Stanley, “CISA’da, savunmanızda reaktif değil proaktif olmak için tehdit istihbaratını kullanmaya gerçekten önem vermek istiyoruz” diyor. “Çok uzun bir süredir, endüstrinin bunun için gitmesi gereken şey, çok geniş ve çok sınırlı bağlamı olan uzlaşma göstergelerini (IOC’ler) paylaşmak oldu.”
Buna karşılık, ATT&CK, oyun alanını savunmanın avantajına olacak şekilde yönlendiriyor, çünkü ayrıntılı ve kuruluşlara kendi özel ortamlarıyla ilgili belirli tehdit aktörü oyun kitaplarını anlamaları için bir yol sunuyor.
“Tehdit aktörleri, ne yaptıklarını ve nasıl yaptıklarını vurguladığımızda ve bunu çerçeveye dahil ettiğimizde oyun kitaplarının esasen işe yaramaz olduğunu bilmelidir” diye açıklıyor. “Bunu kullanabilen kuruluşlar, endüstrinin yapmaya çok alışık olduğu gibi, IP adreslerini veya hash’leri körü körüne bloke etmenin aksine çok daha güçlü bir güvenlik duruşuna sahip. Karar verici bizi buna yaklaştırıyor.”
Analist Erişilebilirliği için ATT&CK’yi Basitleştirme
Decider, olaya sezgisel bir şekilde uyması için çerçevede doğru taktikleri, teknikleri veya alt teknikleri belirleme hedefiyle, kullanıcıları düşman etkinliği hakkında bir dizi rehberli soru üzerinden yönlendirerek ATT&CK eşlemesini daha erişilebilir hale getirir. CISA’ya göre, bu sonuçlar “bulguları paylaşma, hafifletme yollarını keşfetme ve daha fazla teknik tespit etme gibi bir dizi önemli faaliyeti bilgilendirebilir”. 1 Mart duyurusu yeni aracın.
Decider, önceden doldurulmuş yönlendirici sorulara ek olarak, herhangi bir güvenlik analistinin erişebileceği basitleştirilmiş bir dil, ilgili teknikleri ortaya çıkarmak için sezgisel bir arama ve filtreleme işlevi ve kullanıcıların sonuçları yaygın olarak kullanılan formatlara aktarmasına olanak tanıyan bir “alışveriş sepeti” işlevi kullanır. Ek olarak, kuruluşlar, ortak yanlış eşlemeleri işaretlemek de dahil olmak üzere, kendi bireysel ortamlarına uyarlayabilir ve ayarlayabilir.
MITRE’de CTI ve Adversary Emulation departman yöneticisi John Wunder’e göre, ATT&CK’nin sonunda siber güvenlik kuruluşları için temel bir arka plan aracı haline gelmesi umuluyor.
“ATT&CK daha fazla arka plana giderken gerçekten görmek istediğim bir şey, siber güvenliğin günlük operasyonlarının bir parçası ve bireysel analistlerin buna daha az dikkat etmek zorunda kalması” diyor. “Bu sadece, yaptığımız şeyin temelini oluşturması ve düşman davranışlarını anlama üzerine düşünmesi gereken bir şey ve bir olaya müdahale ettiğiniz her sefer üzerinde düşünmek için çok zaman harcamanız gereken bir şey değil. Karar verici, ileriye doğru atılmış büyük bir adımdır. Buna.”
Araç ayrıca ATT&CK’nin sözdiziminin araçlar ve güvenlik platformları arasında ve tehdit istihbaratını paylaşmak için fiilen ortak isimlendirme haline gelmesine yardımcı olur.
“ATT&CK’nin ekosistemin her yerinde ve herkesin ortak bir dil kullandığını gördükten sonra, ATT&CK kullanıcıları şeyleri çerçeveye göre hizalamanın ve onu araçları daha etkili bir şekilde ilişkilendirmek için kullanmanın vb. ,” diyor Wunder. “Umarım Decider gibi kullanımı kolaylaştıran şeyler sayesinde, bunu daha fazla görmeye başlayacağız.”