Vad är MITRE ATT&CK-ramverket?

Cyberbrottslingar världen över provar ständigt nya strategier för att attackera organisationer. Lyckligtvis så finns det ett sätt att observera dessa strategier och använda denna kunskap i omvänd ordning. Utvecklad av MITRE, en ideell och icke-vinstdrivande organisation som inrättats av den amerikanska regeringen så fungerar ATT&CK ramverket som en form av kunskapsbas för cybersäkerhet där angriparens taktik och tekniker baseras på verkliga observationer. Ramverket är således extremt användbart i många olika aspekter när det kommer till cybersäkerhet, något som hjälper organisationer att öka nivån hos hotintelligensen, samtidigt som man stärker nätverksförsvaret mot olika former av attacker.

ATT&CK-ramverket är ett universellt sätt att klassificera kontradiktoriska taktiker. Den har fördelen av att backas upp av en community-driven kunskapsbas av kontradiktoriska tekniker. Det enhetliga ramverket gör det möjligt för säkerhetspersonal att kommunicera på ett tydligare sätt samt dela information mer effektivt, vilket i slutändan bidrar till en högre global säkerhetsnivå.

Vilka är de olika taktikerna hos ATT&Ck ramverket?

Taktik utgör kärnan i ATT&CK ramverket och representerar ”varför” hos en ATT&CK- teknik. Det är angriparens taktiska mål det vill säga anledningen till att man utför en viss åtgärd. Taktik har som uppgift att gruppera de olika metoder som angripare använder sig av såsom att bestå, upptäcka information, exekvera filer och exfiltrera data. MITER ATT&CK-ramverket består för närvarande av 12 lättförståeliga taktiker.

Taktik-namn Angriparen försöker…
Inledande åtkomst Komma in i ditt nätverk.
Utförande Exekvera skadlig kod.
Uthållighetce Behåll fotfästet.
Privilegium eskalering Få behörigheter på högre nivå.
Försvars-Undandragande Undvik att bli upptäckt.
Åtkomst till autentiseringsuppgifter Stjäla kontonamn och lösenord.
Upptäckten Förstå sig på din miljö.
Lateral rörelse Förflytta sig genom din miljö.
Insamling Samla in data av intresse för deras specifika mål.
Kommando och kontroll Kommunicera med komprometterade system för att kontrollera dessa.
Exfiltration Stjäla data.
Effekt Manipulera, störa, eller förstöra dina system och data..

Vilka är de olika MITRE ATT&CK-teknikerna?

MITRE ATT&CK-teknikerna grupperas baserat på taktik och bygger på en uppsättning av olika åtgärder som angripare utför för att uppnå sina mål.

Varje ATT&CK-teknik som observerats används i kombination med skadlig kod eller vid andra typer av angrepp som ett led i att infiltrera organisationens nätverk. Teknik är i huvudsak en form av spelbok eller en ”hur man” gör det möjligt för angripare att förbereda sig för attacken: Hur tar sig angriparna in i ditt nätverk? Hur undviker de att upptäckas? Hur förflyttar de sig genom din nätverksmiljö?

Teknikbiblioteket i ATT&CK-ramverket utvecklas ständigt och består av mer än 150 tekniker och 270 undertekniker indelade i ovannämnda 12 taktiker.

Vilka är de olika fördelarna med att använda MITRE ATT&CK-ramverket i kombination med ditt SIEM?

SIEM-leverantörer är alltid på jakt efter effektiva metoder för att förbättra sin lösning som ett led i att att få mer insikt och information som i slutändan kan hjälpa de att upptäcka och svara på en attack. Att&CK-ramverket gör det möjligt för analytiker att bättre förstå detaljerna i en attack, som de sedan kan kommunicera till vederbörande gruppmedlemmar. Detta gör att hotidentifieringen och svarstiden blir ännu snabbare.

ATT&CK-ramverket är gynnsamt för hela organisation. Det är ett användbart verktyg för att kommunicera med ledande befattningshavare och säkerhetschefer. Med hjälp av ATT&CK så är det mycket lättare att producera en mer exakt översikt över olika incidenter. Ansvariga kräver ofta åtkomst till information i form av rapporter och dylikt, något som ramverket kan hjälpa till med att automatisera på ett effektivt sätt.

MITRE ATT&CK i LogPoint

LogPoint har kartlagt alla analyser i ATT&CK-ramverket, vilket överbryggar gapet mellan varför en avisering initieras samt vad den innebär. När varningar motsvarar en ATT&CK-teknik så får säkerhetsanalytiker möjligheten att snabbare förstå hur en varning förhåller sig till en större angrepp så att de kan vidta nödvändiga åtgärder när det kommer till att skydda sin verksamhet. Analytiker kan också använda ATT&CK-visualiseringarna i LogPoint för att spåra stadierna av en attack och bedöma dess omfång.

När det är dags att upprätta kommunikationen med andra anställda för att kunna dokumentera värdet av SIEM inkluderat hur många varningar som kommer in så kan analytiker enkelt generera en rapport från LogPoint som innehåller ATT&CK ID:n. Ramverket har sakta men stadigt kommit att bli en branschstandard, vilket gör det lättare att kartlägga riskerna enklare eftersom varningar och försvar baseras på samma ATT&CK-taxonomi

Vem är MITRE?

Efter att ha läst alla fördelar om ATT&CK ramverket så är du kanske intresserad av att veta mer om individerna bakom den. MITRE Corporation bildades 1958 och är ett amerikanskt icke-vinstdrivet bolag baserat i Bedford, Massachusetts och McLean, Va. och finansieras av den amerikanska regeringen. Företaget bedriver federalt finansierade forsknings- och utvecklingscentra som hjälper USA:s regering med vetenskaplig forskning och analys.

Nyligen så släppte MITRE ett annat verktyg som kallas Shield, som är ett ramverk innehållandes olika former av defensiva åtgärder vilka ämnar hjälpa organisationer att motverka aktuella attacker. Med ATT&CK och Shield-ramverket så får diverse organisationer ett mer omfattande sätt att upptäcka angrepppsbeteenden och initiera defensiva åtgärder för att skydda sin verksamhet.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss