close
menu
 

14 lutego 2025

Od marketingowego szumu do efektywnego wykorzystania MITRE ATT&CK

MITRE ATT&CK jest niezbędnym zasobem dla organizacji dążących do wzmocnienia swojej pozycji w zakresie cyberbezpieczeństwa. Ta kompleksowa, ogólnodostępna baza wiedzy stała się podstawą dla zespołów operacyjnych walczących z ciągle zmieniającym się krajobrazem cyberzagrożeń. Jednak wykorzystanie pełnego potencjału narzędzia nie zawsze jest tak proste, jak się wydaje. Zrewidowanie naszego podejścia do MITRE ATT&CK i rozważenie nowych sposobów jego wykorzystania może przynieść decydentom nowe korzyści. Zanim jednak zaczniemy odkrywać nowe możliwości, musimy najpierw opanować podstawy skutecznego korzystania z tego narzędzia

MITRE ATT&CK jest niezbędnym zasobem dla organizacji dążących do wzmocnienia swojej pozycji w zakresie cyberbezpieczeństwa. Ta kompleksowa, ogólnodostępna baza wiedzy stała się podstawą dla zespołów operacyjnych walczących z ciągle zmieniającym się krajobrazem cyberzagrożeń. Jednak wykorzystanie pełnego potencjału narzędzia nie zawsze jest tak proste, jak się wydaje. Zrewidowanie naszego podejścia do MITRE ATT&CK i rozważenie nowych sposobów jego wykorzystania może przynieść decydentom nowe korzyści. Zanim jednak zaczniemy odkrywać nowe możliwości, musimy najpierw opanować podstawy skutecznego korzystania z tego narzędzia.

W ramach swojego podejścia do ciągłego doskonalenia, MITRE ATT&CK jest aktualizowany dwa razy w roku, dzięki wkładowi społeczności międzynarodowej i wnioskom wyciągniętym ze złośliwych kampanii, w celu dostosowania mechanizmów obronnych do stale zmieniających się potrzeb. Każdego roku wielu dostawców rozwiązań cyberbezpieczeństwa uczestniczy w ocenach organizowanych przez MITRE ATT&CK, a gdy wyniki są pozytywne, dostawcy często polecają je swoim obecnym lub potencjalnym klientom. MITRE ATT&CK nie jest znakiem jakości dla produktów zabezpieczających a jego stosowanie jest często mylone przez błędne założenia.

 

ZACZNIJMY OD KILKU MITÓW

  • MITRE ATT&CK nie jest standardem, który zapewnia ostateczny opis wszystkich technik stosowanych przez cyberprzestępców. Jest to rama - dynamiczna, stale ewoluująca baza wiedzy, która jest z natury niedoskonała i niekompletna.
  • MITRE ATT&CK nie jest zamkniętą, sztywną ani idealną strukturą, ponieważ konsoliduje udokumentowane ataki, techniki i taktyki (na przykład nie obejmuje zero-day).
  • MITRE ATT&CK nie jest przewodnikiem po najlepszych praktykach, ani standardem walidacji rozwiązań bezpieczeństwa.
  • Techniki wymienione przez cyberprzestępców są względne: ważne jest, aby rozróżnić techniki upstream i downstream w zależności od tego, kiedy atak zostanie wykryty. W związku z tym należy zaakceptować i dostosować swoją postawę bezpieczeństwa oraz ustalić priorytety, na opanowaniu których technik przeciwnika należy się skupić.

 

MITRE ATT&CK vs. MITRE ENGENUITY

Panuje powszechne nieporozumienie: MITRE ENGENUITY nie jest testem zgodności dla MITRE ATT&CK. Stworzony przez MITRE Corporation w 2019 roku, MITRE ENGENUITY przeprowadza oceny w oparciu o ramy MITRE ATT&CK, a dostawcy płacą za swój udział. Scenariusze ataków są ogłaszane z rocznym wyprzedzeniem, co pozwala dostawcom na przygotowanie się, a wszystkie symulowane procedury są dobrze udokumentowane. W rezultacie objęcie technik MITRE ATT&CK staje się łatwe do opanowania.

Na przykład oceny z 2023 r. koncentrowały się na scenariuszach wykrywania i zapobiegania związanych z Turlą, znaną grupą cyberszpiegowską działającą od początku XXI wieku.

Warto zauważyć, że MITRE ENGENUITY ocenia obecnie tylko rozwiązania dla punktów końcowych (EDR). Nie obejmuje jeszcze oceny rozwiązań sieciowych, takich jak NDR (Network Detection and Response). Jednak połączenie tych dwóch systemów - EDR dla danych z punktów końcowych i NDR dla ruchu sieciowego - zapewnia organizacjom znacznie bardziej kompleksową strategię cyberobrony.

 

ZMIENIAJĄCE SIĘ TECHNIKI

Zrozumienie MITRE ATT&CK wymaga zmiany sposobu myślenia. Techniki wymienione w strukturze są względne.

  1. Należy ustalić priorytety, które techniki są najbardziej istotne od momentu wykrycia ataku i odpowiednio dostosować stan bezpieczeństwa.
  2. Nie każda firma może lub powinna próbować wykorzystać całą matrycę MITRE ATT&CK. Ważniejszy jest sposób podejścia do niej - bycie precyzyjnym i skoncentrowanym na swoim pokryciu, a nie próba wykrycia wszystkiego.

Wyobraźmy sobie przestępcę, który włamuje się do domu. Po rabunku priorytetem właściciela domu nie powinno być ustalenie, w jaki sposób sforsowano drzwi lub jak wybito okno. Zamiast tego powinien skupić się na tym, co mogło zapobiec włamaniu - na przykład instalacja kamery, aby uchwycić włamywacza wspinającego się po dachu lub zakradającego się przez okno na czas, aby zaalarmować władze.

W ten sam sposób firmy powinny korzystać z MITRE ATT&CK, aby skupić się na wczesnym wykrywaniu, zamiast próbować objąć każdy możliwy wektor ataku.

 

„METEOROLOGICZNE” PODEJŚCIE DO MITRE ATT&CK

Wśród naszych klientów zaobserwowaliśmy dwa rodzaje podejścia do MITRE ATT&CK.

  • Z jednej strony są klienci, którzy dążą do pokrycia 100% Frameworku,
  • a z drugiej strony są tacy, którzy używają go jako punktu zwrotnego, umożliwiającego im dostosowanie obrony w odpowiedzi na stale zmieniający się krajobraz ataków.

To drugie podejście nazywamy metodą „meteorologiczną”, w której zabezpieczenia są aktualizowane w czasie rzeczywistym w oparciu o bieżące i pojawiające się zagrożenia.

To podejście jest znacznie bardziej praktyczne. MITRE ATT&CK wymienia obecnie 196 technik i 411 pod technik. Jednak opanowanie zaledwie 50 z nich wystarczy, aby pokryć 80% zaawansowanych trwałych zagrożeń (APT). Kluczem jest użycie odpowiednich narzędzi do wykrywania wczesnych sygnałów, skupienie się na tych wyższego szczebla, a nie próba uwzględnienia każdej możliwości.

 

DLACZEGO NDR JEST KLUCZEM DO SUKCESU

Dla organizacji stosujących to podejście, technologie NDR oferują wiele korzyści. W naszej wcześniejszej analogii NDR służy jako „kamera monitorująca”, identyfikująca intruzów, zanim będą mieli szansę zaatakować.

Choć rozwiązania NDR nie zostały jeszcze uwzględnione w ocenie MITRE ATT&CK, oczekuje się, że w przyszłości będą odgrywać coraz ważniejszą rolę. Zdolność NDR do dostosowywania się do ewoluującego krajobrazu zagrożeń sprawia, że jest to krytyczny element nowoczesnych strategii cyberbezpieczeństwa, zwłaszcza w połączeniu z rozwiązaniami EDR, SIEM i firewall’ami.

Oparte na uczeniu maszynowym systemy NDR mogą identyfikować trendy, wzorce i anomalie w ruchu sieciowym, wykrywając podejrzane działania, które sygnalizują potencjalne zagrożenia. Wykorzystanie sztucznej inteligencji, a dokładniej uczenia maszynowego, umożliwia również rozwiązaniom NDR ciągłe uczenie się na podstawie analizowanego ruchu sieciowego i dostosowywanie się do zmian w krajobrazie zagrożeń. Takie połączenie ułatwia wykrywanie ewoluujących zagrożeń, które tradycyjne metody wykrywania oparte na sygnaturach mogą przeoczyć. Sztuczna inteligencja i uczenie maszynowe w systemach NDR pozwalają na zautomatyzowane reagowanie w czasie rzeczywistym na wykryte zagrożenia (np. blokowanie adresów IP, izolowanie dotkniętych urządzeń, stosowanie poprawek bezpieczeństwa lub aktualizowanie reguł zapory. Automatyzacja reakcji pomaga skrócić czas reakcji i zminimalizować potencjalne szkody dla docelowych firm i organizacji.

 

MITRE ATT&CK - PRAWDZIWE MOŻLIWOŚCI

Pomimo pewnych uprzedzeń, MITRE ATT&CK oferuje niezaprzeczalną wartość dla organizacji i ekspertów ds. cyberbezpieczeństwa. Zapewnia wspólne słownictwo i ramy dla cyberspołeczności, poprawia jakość alertów o zagrożeniach, identyfikuje potencjalne martwe punkty w wykrywaniu zagrożeń (techniki upstream jeszcze nie widziane lub techniki downstream, które dopiero nadejdą) i pomaga określić obszary, w których należy skoncentrować wysiłki w zakresie bezpieczeństwa.

Dlatego eksperci ds. cyberbezpieczeństwa powinni nadal uważnie obserwować ewolucję MITRE ATT&CK i jego aktualizacje, aby zbadać zakres proponowanych technik, dążąc do lepszego zrozumienia strategii ataków i cyberochrony - jednocześnie dystansując się od uprzedzeń, udoskonalając swoje metody wykrywania i unikając bezcelowych debat, które mają na celu postawienie „dobrych” dostawców przeciwko „złym”.

gatewatcher informacja #ndr
Mateusz Nowak

Mateusz Nowak
product manager Gatewatcher / Sekoia

Masz pytania?
Skontaktuj się ze mną:
nowak.m@dagma.pl
32 793 11 19

Podobne wpisy:

arrow_forward_ios
09 grudnia 2024
Sztuczna inteligencja w usługach finansowych i rola DORA we wzmacnianiu cyberbezpieczeństwa
#ai gatewatcher informacja #ndr
29 listopada 2024
Wykrywanie zagrożeń w chmurze publicznej
gatewatcher informacja #ndr
14 listopada 2024
Czym jest SOC i jak powinien działać?
gatewatcher informacja #ndr
28 października 2024
NDR i XDR: z niszy do głównego nurtu - CRN
gatewatcher informacja #ndr #xdr
18 października 2024
Dzień, w którym ekrany stały się niebieskie: incydent z CrowdStrike Falcon
gatewatcher informacja #ndr
26 września 2024
Zrozumienie ruchu północ-południe i wschód-zachód oraz wartość dodana NDR w analizie sieci
gatewatcher informacja #ndr
arrow_forward_ios

Polecane wydarzenia:

arrow_forward_ios
BEZPŁATNY WEBINAR
Na żądanie
Jak przebiega atak hakerski i jak go wykryć przy użyciu rozwiązania NDR?
onlinewebinargatewatcherna żądanie
BEZPŁATNY WEBINAR
Na żądanie
Gatewatcher – Poznaj rozwiązanie NDR
onlinewebinargatewatcherna żądanie
BEZPŁATNY WEBINAR
Na żądanie
Gatewatcher – Śledź, wykrywaj i reaguj! Klucz do skutecznej ochrony sieci z Network detection and response(NDR)
onlinewebinargatewatcherna żądanie
BEZPŁATNY WEBINAR
Na żądanie
Armie cyfrowych zombie – czyli jak budowane i wykorzystywane są sieci botnet
onlinewebinargatewatcherna żądanie
BEZPŁATNY WEBINAR
Na żądanie
Machine learning w cyberbezpieczeństwie - jak pomaga wykrywać C&C
onlinewebinargatewatcherna żądanie
BEZPŁATNY WEBINAR
19 marca 2025 r. | godz: 12:00
CTI: Klucz do przewidywania cyberzagrożeń
onlinewebinargatewatcherna żywo
arrow_forward_ios