Hva er MITRE ATT&CK rammeverk?

Cybersikkerhet-kriminelle over hele verden prøver stadig ut nye strategier for å målrette og angripe organisasjoner. Heldigvis er det en måte å observere disse strategiene og bruke denne kunnskapen mot dem for bedre nettsikkerhet. 

ATT&CK Rammeverk er en kunnskapsbase for cybersikkerhet med motstandstaktikk og teknikker basert på observasjoner fra den virkelige verden. Rammeverket er utviklet av MITRE som er en ideell organisasjon finansiert av den amerikanske regjeringen.

Rammeverket er nyttig i mange forskjellige aspekter av cybersikkerhet og hjelper organisasjoner med å øke trusseletterretning og styrke nettverksforsvaret mot cyberangrep.

ATT&CK Rammeverket er en universell måte å klassifisere motstridende taktikker på. Det har fordelen av å bli støttet av en fellesskapsdrevet kunnskapsbase av motstandsteknikker. Det forente rammeverket gjør det mulig for fagpersoner i cybersikkerhet å kommunisere tydeligere og dele informasjon mer effektivt, Dette bidrar til et høyere sikkerhetsnivå globalt.

Hva er ATT&CKs taktikker?

Taktikk er kjernen i ATT&CK rammeverket og representerer bakgrunnen til en ATT&CK-teknikk. Det er motstanderens taktiske mål: årsaken til å utføre en handling.

Taktikk grupperer de forskjellige metodene angripere bruker, for eksempel vedvare, oppdage informasjon, flytte sideveis, utføre filer og exfiltrere data. MITRE ATT&CK rammeverket består for tiden av 12 lettfattelige taktikker.

Taktikk navn Motstanderen prøver å …
Initial Access Gå inn i nettverket ditt.
Execution Kjør skadelig kode.
Persistence Bevare fotfeste.
Privilege Escalation Få tillatelser på høyere nivå.
Defense Evasion Unngå å bli oppdaget.
Credential Access Stjele kontonavn og passord.
Discovery Orientere seg i miljøet ditt.
Lateral Movement Bevege seg gjennom miljøet ditt. 
Collection Samle inn data av interesse for deres mål.
Command and Control Kommuniser med kompromitterte systemer for å kontrollere dem.
Exfiltration Stjele data.
Impact Manipulere, avbryte eller ødelegge systemene og dataene dine.

MITER ATT&CK-teknikkene er gruppert etter taktikk og er basert på et sett med handlinger som motstandere utfører for å oppnå sine mål.

Hver ATT&CK-teknikk har blitt observert av malware eller trusselaktørgrupper med forsøk på å kompromittere bedriftsnettverk. Teknikker er egentlig en guide som lar forsvarere forberede seg på angrepet: Hvordan kommer angripere inn i nettverket ditt? Hvordan unngår de å bli oppdaget? Hvordan beveger de seg gjennom nettverksmiljøet ditt?

Teknikkbiblioteket i ATT & CK rammeverket utvikler seg kontinuerlig og består av mer enn 150 teknikker og 270 underteknikker delt inn i ovennevnte 12 taktikker.

Hva er fordelene med å bruke MITRE ATT&CK rammeverket med SIEM?

SIEM Leverandører er alltid på utkikk etter måter å forbedre løsningen for å få mer innsikt og informasjon som kan hjelpe til med å oppdage og svare på et angrep. ATT&CK Rammeverket hjelper analytikere med å få en bedre forståelse for et cyberangrep. Derette kan de kommunisere til teammedlemmene. Dette gjør deteksjon av trusler og responstid enda raskere.

ATT&CK rammeverket er gunstig i en organisasjon. Det er et flott verktøy for å kommunisere med seniorledelse og sikkerhetsledere . Ved hjelp av ATT&CK er det mye lettere å produsere en mer nøyaktig oversikt over hendelser. Revisorer og CISO-er krever ofte informasjon som dashbord og rapporter. Rammeverket kan hjelpe med å automatisere opprettelsen av nødvendig informasjon.

MITRE ATT&CK i LogPoint

LogPoint SIEM MITRE ATTACK Framework Navigator

LogPoint har tilordnet all analyse til ATT&CK rammeverket , som bygger en bro mellom hvorfor en varsel går av og hva det betyr. Når varsler tilsvarer en ATT&CK-teknikk, kan sikkerhetsanalytikere raskere forstå hvordan et varsel er relatert til et større angrep, slik at de kan ta de nødvendige stegene for å beskytte virksomheten. Analytikere kan også bruke ATT&CK-visualiseringene i LogPoint for å spore stadiene i et angrep og vurdere sikkerhetsdekning.

Når det tid for å kommunisere med andre ansatte for å dokumentere verdien av SIEM og hvor mange varsler som kommer inn, kan analytikere enkelt hente en rapport fra LogPoint som inkluderer ATT&CK IDene. Rammeverket blir stadig en industristandard, noe som gjør det lettere å kartlegge sikkerhetsdekning og risiko ettersom varsler og forsvar er basert på samme ATT&CK-taksonomi.

Hvem er MITRE?

Etter å ha lest alle fordelene med ATT&CK,  er du mulig interessert i å vite mer om menneskene som står bak rammeverket. MITRE Corporation ble dannet i 1958 og er et ideelt amerikansk selskap basert i Bedford, Mass., Og McLean, Va., Selskapet driver føderalt finansierte forsknings- og utviklingssentre som bistår USAs myndigheter med vitenskapelig forskning og analyse.

Nylig ga MITRE ut et annet verktøy kalt Shield , som er et rammeverk for defensive tiltak for å hjelpe organisasjoner mot nåværende angrep. Med ATT&CK og Shield rammeverk har selskaper en omfattende måte å oppdage motstanders atferd og implementere defensive metoder for å beskytte virksomheten.

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt