Av Nils Krumrey, UK Presales Lead, LogPoint

Cyberattacker blir allt mer sofistikerade och angripare kan kringgå även de bästa säkerhetskontrollerna och säkerhetsrutinerna. När angriparna får tillgång till ett system är det viktigt att stoppa dem så snart som möjligt för att minska skadorna. Utmaningen ligger i att säkerhetsteam behöver hantera tusentals intrångsindikatorer och en mängd olika säkerhetsverktyg inom en mycket kort tid, vilket gör det svårt att identifiera och reagera på skadlig aktivitet. En effektiv lösning är att prioritera intrångsindikatorer genom att förbättra din SIEM-lösning med ATT&CK-ramverket från MITRE Corporation.

ATT&CK vid pyramidens topp

ATT&CK-ramverket är ett klassificeringsramverk för angreppstaktiker och tekniker baserade på verkliga observationer av olika cyberattacker. Ramverket är leverantörsoberoende och community-drivet och tillhandahåller en gemensam klassificering över många produkter och användare. ATT&CK är en förkortning för ”Adversarial Tactics, Techniques & Common Knowledge” och syftar på de olika delarna av ramverket. Taktiker är angriparnas mål och teknikerna är de specifika metoderna som de använder för att uppnå dem. Säkerhetsanalytiker kan använda ramverket för att få bättre insikt i angripares beteenden och hur angripare utför attacker.

Säkerhetsexperten David Bianco introducerade smärtpyramiden för att beskriva de olika intrångsindikatorerna för att upptäcka illasinnade aktiviteter. Ju högre upp i pyramiden du identifierar och reagerar, desto smärtsammare eller svårare är det för angriparen att genomföra en attack. Försvar som är baserade på intrångsindikatorer i den nedre halvan av pyramiden – hashvärden, IP-adresser och domännamn – är enkla för en angripare att kringgå och därför inte särskilt värdefulla för analytiker.

David Bianco's Pyramid of Pain

Istället hjälper det att försvara sig med hjälp av indikatorerna i den övre halvan av pyramiden. Nätverks- och värdartefakter, verktyg och i synnerhet taktiker, tekniker och procedurer (TTP:er) utgör en större utmaning för angripare. ATT&CK-ramverket möjliggör identifiering och respons mot TTP:er, vilket ger det mest robusta försvaret. Att försvara nätverket mot TTP:er hindrar angripare från att använda sina vanliga angreppsmetoder, vilket tvingar dem att antingen lägga mycket tid och kraft på att utveckla nya tekniker eller gå vidare till nästa mål. Angriparna kommer sannolikt att välja det senare.

Förbättra din SIEM-lösning med ATT&CK-ramverket

ATT&CK-ramverket tillhandahåller beredskapsplaner för möjliga cyberattacker som fungerar effektivt med SIEM-lösningar. SIEM-lösningar tillhandahåller övervakning, identifiering och larm för säkerhetshändelser eller incidenter i IT-miljöer. Genom att förbättra SIEM-funktionaliteten med Threat Intelligence i ATT&CK-ramverket får analytiker bättre insikt i detaljerna i en attack.

När din SIEM-lösning genererar ett larm kommer du att förstå varför larmet har utlösts. Genom att mappa det mot ATT&CK-ramverket kan du förstå vad larmet betyder. Analytiker kan till exempel se om ett larm korrelerar med en specifik ATT&CK-teknik, en känd hotgrupp eller till synes orelaterade larm för att få en bättre överblick.

Exempelvis för att identifiera om en händelse är en dimridå för något annat som händer i miljön. Förbättring av SIEM-lösningen med ATT&CK-ramverket erbjuder starkare indikatorer så att du kan identifiera hot snabbare och reagera därefter.

Så använder LogPoint MITRE ATT&CK

LogPoints SIEM-lösning täcker en betydande del av ATT&CK-ramverkets användningsfall. LogPoint mappar till exempel alla sina frågesatser kring ramverket för att göra det enklare för analytiker att samla in solid Threat Intelligence och identifiera intrångsindikatorer mot TTP:er. Ett annat exempel på hur LogPoint använder ATT&CK-ramverket är larmregler. ATT&CK-modellen tilldelar ett unikt ID till varje angreppstaktik och alla aktiverade larmregler i LogPoint kommer att returnera ett larm med ett tillhörande ATT&CK-ID. Detta ID gör det enkelt för en analytiker att se om olika larm matchar en enskild attack efter en fastställd sekvens.

LogPoints UEBA-modul använder maskininlärning för att upptäcka misstänkta beteenden hos användare och entiteter. Tekniken bakom UEBA kompletterar identifieringsförmågan perfekt med de taktiska metoderna i ramverket. Istället för rigida frågesatser, sökningar eller andra datakonstruktioner som vanligtvis kombineras i en SIEM-lösning, matchar LogPoint UEBA maskininlärningsalgoritmerna med verkliga praktiska scenarier snarare än enskilda icke-sammanhållna objekt av intresse.

Mitre ATT&CK framework

LogPoint ATT&CK Navigator

Många SIEM-leverantörer erbjuder specifik täckning med ATT&CK-ramverket, men väldigt få kan ange det exakta antalet användningsfall som omfattas. Det är lättare att få en komplett bild av det faktiska värdet av SIEM-lösningen när antalet användningsfall som omfattas av ATT&CK-ramverket är transparent. LogPoint erbjuder full transparens för vilka taktiker och tekniker som omfattas med LogPoint ATT&CK Navigator.

Mer information om hur du använder MITRE ATTA&CK i LogPoint finns på vår webbplats.

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews