Av Ivan Vinogradov, Solution Architect, LogPoint

MITRE ATT&CK-ramverket är en strukturerad samling angreppstekniker som är avsedda att hjälpa till vid alla typer av säkerhetsaktiviteter. Primärt fokus ligger på analyser av intrångshot. Genom att upprätta ett enhetligt ramverk har MITRE gjort det möjligt för säkerhetsexperter att kommunicera tydligare och dela information mer effektivt, vilket bidrar till en ökad global säkerhetsnivå.

Så hjälper ATT&CK-ramverket säkerhetsteam

Det finns flera områden där ramverket kan hjälpa säkerhetsexperter – de flesta av dessa är defensiva. Analys, forensics och hotinformation gynnas alla av ett enhetligt ramverk som klassificerar befintliga hot. Med hjälp av ramverket kan cybersäkerhetsspecialister med olika kompetensnivåer förmedla information utan att några viktiga detaljer går förlorade.

För säkerhetsanalytiker snabbar ramverket på reaktionstiden och hjälper till med responsen. Analytiker kan mappa varningsaviseringar direkt till ramverket, vilket optimerar processerna och gör det enklare att skapa heltäckande beredskapsplaner för SOC (Security Operations Center). Dessutom mappas varningarna i ramverket sekventiellt, så att analytiker kan eskalera incidenter med hög precision och veta hur de ska reagera på hotet.

Threat Huntings främsta fördel är förmågan att precisera en utgångspunkt för undersökningen. Med en utgångspunkt får analytiker en ungefärlig uppfattning om var intrångsförsöket gjordes ifall ett allvarligare hot upptäcks. ATT&CK-ramverket gynnar även Threat Intelligence genom att öka analytikernas förmåga att dela hotinformation, utan att behöva gå in på detaljerna.

Använda ATT&CK i SIEM

SIEM-lösningar kan i allmänhet dra nytta av ATT&CK-ramverket. Det klassificerar attacker efter typ och stadium, vilket gör att analytikern snabbt kan fastställa attackläget i ett intrångsförsök och beskriva resultaten för teammedlemmarna. Ramverket klassificerar dessutom incidenter på ett sätt som inte nödvändigtvis kräver en djupare insikt i metoderna, vilket påskyndar utbildning och standardisering av SOC-procedurer.

Säkerhetsanalytiker kan använda ATT&CK för att få bättre insikt i angreppstaktiker och tekniker.

ATT&CK-ramverket gynnar även anställda utanför analytikerteamet. Ramverket har börjat bli en branschstandard, vilket gör det till ett utmärkt verktyg för att kommunicera med personal på högre nivå, till exempel högsta ledningen och säkerhetschefer. Med hjälp av ATT&CK-ramverket blir det mycket enklare att få en överblick allvarliga incidenter med högre precision. Ramverket underlättar dessutom automatisering, såsom dashboards och rapportering, vilket är mycket efterfrågat bland IT-revisorer och CISO:er.

ATT&CK och LogPoint

När det gäller LogPoint är ramverkets största användningsområde att klassificera larm och aviseringar. Klassificeringen ger mycket snabbt en rimlig grad av säkerhetsmedvetenhet på hög nivå, i synnerhet i kombination med någon av LogPoints visualiseringsmetoder. Standard LogPoint-aviseringar/-larm i kombination med en ATT&CK-referens ger ett omedelbart värde i lågintensitetsmiljöer. Även i en miljö med högre dataflöde ger en säkerhetslösning från LogPoint med ATT&CK ett mervärde genom en förbättrad säkerhetsöversikt.

Utöver ovannämnda fördelar med ATTC&K som förbättrar den interna kommunikationen om hot, är ramverket också allmänt känt och används av externa säkerhetskonsulter. Larm från LogPoint finns redan mappade till ATT&CK-ramverket vilket gör det enkelt att snabbt förmedla larm även till externa intressenter.

LogPoints dashboards visar taktisk distribution för ATT&CK, vilket är särskilt praktiskt i större miljöer. LogPoint är utvecklat för att ge en översikt över larm och ATT&CK-värmekartan i dashboard-översikten ger större organisationer insikt i hur de kan identifiera olika stadier av en attack med större precision.

Sammanfattning

ATT&CK-ramverket är en dynamisk, standardiserad och allmänt populär metod för klassificering och förmedling av säkerhetsinformation på ett sätt som är tillgängligt för både IT-personal och maskiner. Vi rekommenderar starkt att du utvärderar ditt säkerhetsläge med hjälp av ATT&CK-ramverket eftersom det utgör kulminationen av moderna samarbeten inom säkerhetsområdet.

Integration och automatisering av säkerhetstjänster är viktiga drivkrafter för LogPoint som säkerhetslösning. ATT&CK-ramverket är en viktig del av att förbättra säkerhetsmedvetenheten genom en färdigpaketerad lösning. Det gör det också möjligt för analytiker att bättre bedöma information från andra enheter och lösningar.

Vad är MITRE?

MITRE är en ideell organisation som fokuserar på cybersäkerhet och att lösa säkerhetsutmaningar för att skapa en säkrare IT-miljö för organisationer. ATT&CK-ramverket är ett universellt sätt att klassificera angreppstaktiker.

Vad är ATT&CK-ramverket?

ATT&CK upprättades 2013 och är en community-driven kunskapsbas med angreppstekniker, organiserade efter metoder för att hjälpa till att förklara och ge sammanhang för de olika metoderna. Taktik är ”anledningen” till att en teknik används, och teknikerna är ”hur” en angripare uppnår ett mål genom att utföra en åtgärd.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews