Af Ivan Vinogradov, Solution Architect, LogPoint

MITRE ATT& CK-rammen er en struktureret samling af kontradiktoriske teknikker, der skal hjælpe med alle aspekter af sikkerhedsaktiviteten med fokus på blå teams. Ved at skabe en samlet ramme har MITRE gjort det muligt for sikkerhedseksperter at kommunikere tydeligere og dele oplysninger mere effektivt, hvilket bidrager til et højere sikkerhedsniveau globalt.

Sådan hjælper ATT& CK-rammen sikkerhedsteams

Der er flere områder, hvor rammen kan hjælpe en sikkerhedsekspert – de fleste af disse er forsvarsmekanismer. Analyse, kriminalitet og efterretning drager alle fordel af en samlet ramme, der klassificerer eksisterende trusler. Ved hjælp af denne ramme kan cybersikkerhedsspecialister med forskellige ekspertiseniveauer kommunikere oplysninger, uden at nogen af dem går tabt.

For en sikkerhedsanalytiker fremskynder rammerne reaktionstiden og hjælper med reaktionen. Analytikere kan kortlægge alarmer direkte i rammen, hvilket optimerer processerne og gør det nemmere at oprette omfattende playbooks for Security Operations Centers (SOC’er). Desuden kortlægges alarmer i rammen sekventielt, så analytikerne præcist kan eskalere hændelser og vide, hvordan de skal reagere på truslen.

Når det drejer sig om at finde truslerne – er den primære fordel evnen til at tage udgangspunkt i undersøgelsen. Et udgangspunkt giver analytikerne en idé om, hvor problemet ligger, hvis der opdages en alvorlig trussel. ATT& CK-rammen gavner også threat intelligence ved at øge analytikerens evne til at dele trusselsoplysninger uden at gå i detaljer.

Brug af ATT&CK i SIEM

SIEM-løsninger drager generelt fordel af brugen af ATT&CK-rammen. Den klassificerer angreb efter type og stadie, hvilket giver analytikeren mulighed for hurtigt at finde angrebsstedet og formidle resultaterne til teammedlemmerne. Rammen klassificerer desuden hændelser uden nødvendigvis at kræve dybere indsigt i metoderne, hvilket fremskynder uddannelse og standardisering af SOC-procedurer.

MITRE ATT&CK coverage in LogPoint SIEM

Sikkerhedsanalytikere kan bruge ATT&CK til at forstå mere om modstandernes taktikker og teknikker.

ATT& CK-rammen gavner også medarbejdere uden for analyseteamet. Rammen er ved at blive en branchestandard, hvilket gør den til et fantastisk værktøj til kommunikation til medarbejdere på højt niveau, såsom topledere og sikkerhedschefer. Ved hjælp af ATT&CK er det meget nemmere at skabe et overblik over hændelser med større nøjagtighed. Rammen hjælper endda med automatisering, såsom dashboarding og rapportering, som er i høj kurs blandt auditører og CISO’er.

ATT&CK og LogPoint

Når det drejer sig om LogPoint, ligger rammens bredeste anvendelsesområde i klassificeringen af alarmer. Klassifikation giver en rimelig grad af sikkerhedsbevidsthed på højt niveau meget hurtigt, især når det anvendes i kombination med nogen af LogPoints visualiseringsmetoder. Standard LogPoint-alarmer kombineret med en ATT& CK-reference giver omgående værdi i et lavintensitetsmiljø. Selv i et miljø med højere gennemløb giver en LogPoint-sikkerhedsløsning ved brug af ATT&CK værdi gennem et forbedret sikkerhedsoverblik.

Ud over de tidligere nævnte fordele ved ATTC&K, der forbedrer den interne kommunikation om trusler, er rammen også bredt accepteret og anvendt af eksterne sikkerhedsleverandører. LogPoint-alarmer er allerede tilknyttet ATT&CK-rammen, hvilket gør det nemt hurtigt at kommunikere om en alarm, selv med eksterne interessenter.

LogPoint-dashboards viser ATT&CK taktisk distribution, hvilket er nyttigt især i større miljøer. LogPoint er bygget til at give et overblik over alarmer, og ATT&CK-heatmap i dashboardet giver større organisationer mulighed for mere præcist at identificere faserne i et angreb.

 

Opsummering

Overordnet set er ATT&CK-rammen en dynamisk, standardiseret og meget populær metode til klassificering og kommunikation af sikkerhedsoplysninger på en måde, der er tilgængelig for både mennesker og maskiner. Vi anbefaler på det kraftigste, at du evaluerer din sikkerhedsholdning ved hjælp af ATT& CK-rammen, fordi den repræsenterer toppen af samarbejdet om det moderne sikkerhedsfællesskab.

Integration og automatisering af sikkerhedsservices er vigtige drivere for LogPoint som en sikkerhedsløsning. ATT&CK-rammen er en vigtig del af at forbedre sikkerhedsbevidstheden. Den giver også analytikerne mulighed for bedre at vurdere oplysninger fra andre enheder og løsninger.

Hvad er MITRE?

MITRE er en non-profit organisation med fokus på cybersikkerhed og løsning af sikkerhedsudfordringer for at skabe et sikrere IT-miljø for organisationer. MITRE udviklede ATT&CK-rammen som en universel måde at klassificere modstandernes taktik på.

Hvad er ATT&CK-rammen?

ATT&CK startede i 2013 og er en samfundsdrevet vidensbase over fjendtlige teknikker, der er organiseret i et sæt taktikker, der hjælper med at forklare og skabe kontekst for teknikken. Taktikkerne er “hvorfor” for en teknik, og teknikkerne er “hvordan” en modstander opnår et mål ved at udføre en handling.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser