Hvad er MITRE ATT&CK Framework?

Kriminelle inden for cybersikkerhed rundt om i verden prøver konstant nye strategier for at målrette og angribe organisationer. Heldigvis er der en måde hvorpå vi kan observere disse strategier og bruge denne viden mod dem. MITRE ATT&CK er en videnbase om cybersikkerheds taktikker og teknikker baseret på virkelige observationer. Frameworket er udviklet af MITRE, og er en non-profit organisation finansieret af den amerikanske regering. Frameworket er nyttigt i flere forskellige aspekter af cybersikkerhed, og hjælper dermed organisationer med at øge threat intelligence og styrke netværkets forsvar mod angreb.

ATT&CK Frameworket er en universel måde at klassificere kontradiktoriske taktikker på. Det har fordelen ved at blive bakket op af en samfundsdrevet videnbase om kontradiktoriske teknikker. Den samlede ramme giver sikkerhedsprofessionelle mulighed for at kommunikere mere tydeligt og dele information mere effektivt, hvilket i sidste ende bidrager til et højere sikkerhedsniveau globalt.

Hvad er taktikkerne i ATT&Ck Framework?

Taktikker er kernen i ATT&CK Frameworket og repræsenterer “hvorfor” i en ATT&CK-teknik. Det er modstanderens taktiske mål: grunden til at udføre en handling. Taktikker grupperer de forskellige metoder, som hackere bruger. MITRE ATT&CK Frameworket består i øjeblikket af 12 letforståelige taktikker.

Tactics navn Modstanderen forsøger at…
Initial Access Få adgang til dit netværk
Eksekvere Køre malicious kode.
Vedholdenhed Bevare deres fodfæste.
Privilege Escalation Opnå high-level permissions.
Defense Evasion Undgå at blive opdaget.
Credential Access Stjæle kontonavne og passwords.
Discovery Gennemskue jeres digitale miljø.
Lateral Movement Bevæge sig igennem jeres miljø.
Indsamling Indsamle relevant data for deres mål.
Kommandere og kontrollere Kommunikere med kompromitterede systemer for at kunne kontrollere disse.
Exfiltration Stjæle data.
Impact Manipulere, afbryde eller ødelægge dine systemer og data.

Hvad er MITRE ATT&CK-teknikkerne?

MITRE ATT&CK teknikkerne er grupperet efter taktik og er baseret på et sæt handlinger, som modstandere udfører for at nå deres ondsindede mål.

Hver ATT&CK teknik er tidligere blevet observeret brugt af malware eller ved forsøg på at kompromittere virksomhedsnetværk. Teknikkerne er i realiteten en playbook eller en “how to”, som gør det muligt for jer at forsvare jer overfor angreb af disse typer: Hvordan kommer attackers ind i dit netværk? Hvordan undgår de at blive opdaget? Hvordan bevæger de sig gennem dit netværk?

Biblioteket af teknikker i ATT&CK Frameworket udvikler sig konstant og består af mere end 150 teknikker og 270 underteknikker opdelt i ovennævnte 12 taktikker.

Hvad er fordelene ved at bruge MITRE ATT&CK Framework med dit SIEM?

SIEM leverandører er altid på udkig efter måder at forbedre deres løsning for at få mere indsigt og information, der kan hjælpe med at opdage og reagere på et angreb. ATT&CK Frameworket giver analytikere mulighed for bedre at forstå det specifikke angreb, som de derefter kan kommunikere til teammedlemmerne. Dette gør detektion af trusler og svartid endnu hurtigere.

ATT&CK Frameworket er fordelagtigt i en organisation. Det er et godt værktøj til kommunikation med senior managment og security management . Ved at benytte ATT&CK er det meget nemmere at producere et mere nøjagtigt overblik over hændelser. Revisorer og CISO’er kræver ofte information såsom dashboards og rapporter. Frameworket kan hjælpe med at automatisere oprettelsen af ​​disse krævede oplysninger.

MITRE ATT&CK i LogPoint

LogPoint SIEM MITRE ATTACK Framework Navigator

LogPoint har kortlagt al analyse til ATT&CK Frameworket , som bygger bro mellem hvorfor en alarm går af og hvad det betyder. Når alarmer svarer til en ATT&CK teknik, kan sikkerhedsanalytikere hurtigere forstå, hvordan en alarm vedrører et større angreb, så de kan tage de nødvendige skridt for at beskytte virksomheden. Analytikere kan også bruge ATT&CK visualiseringer i LogPoint til at spore stadierne af et angreb og vurdere sikkerhedsdækningen.

Når det er tid til at kommunikere med andre medarbejdere for at dokumentere værdien af ​​SIEM, og antallet af indgående alarmer, kan analytikere let trække en rapport fra LogPoint, der inkluderer ATT&CK ID’erne. Frameworket er ved at blive en industristandard, hvilket gør det lettere at kortlægge sikkerhedsdækning og risici, fordi alarmer og forsvar er baseret på den samme ATT&CK taksonomi.

Hvem er MITRE?

Efter at have læst alle fordelene ved MITRE ATT&CK Frameworket, er du måske interesseret i at vide mere om menneskene bag dette. MITRE Corporation blev dannet i 1958 og er et amerikansk non-profit selskab med base i Bedford, Mass., og McLean, Va.. Selskabet er finansieret af den amerikanske regering. Virksomheden driver føderalt finansierede forsknings- og udviklingscentre, der hjælper den amerikanske regering med videnskabelig forskning og analyse.

For nylig frigav MITRE et andet værktøj kaldet Shield, som er en ramme for defensive handlinger for at hjælpe organisationer med at imødegå aktuelle angreb. Med ATT&CK og Shield Frameworks har virksomheder en omfattende måde at opdage modstridende adfærd på og implementere defensive metoder for at hjælpe med at beskytte deres forretning.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint