"Networking" zur Verteidigung des "Netzwerks": der Fall MITRE ATT & CK

(Di Orazio Danilo Russo)
02/06/21
Wie in einem von mir erwähnt vorheriger Artikel, jeder Hacker hat eine "Angriffsbetriebsprofil", erkennbar an der Beobachtung seiner Taktiken, Techniken und Betriebsverfahren (TTPs); Als Reaktion darauf - aus den Erkenntnissen aus den Ermittlungen und aus der Untersuchung der zahlreichen Cyber- und Cyber-Angriffe - haben die Geheimdienst- und Cyber-Sicherheitsstrukturen längst adäquate Gegenmaßnahmen zur Prävention und Repression verfeinert.

Es gibt mehrere Systeme zur Charakterisierung und Katalogisierung von Cyberangriffen, die im Allgemeinen begründet werden "Verfahrensweise" des Gegners; einige unterliegen offensichtlich dem Staats- und Bündnisgeheimnis oder dem Ermittlungsgeheimnis der Strafverfolgungsbehörden, um die Informationsüberlegenheit gegenüber dem Feind oder die Wirksamkeit gerichtlich-repressiver Maßnahmen zu wahren. Es gibt jedoch auch Initiativen zum öffentlichen Austausch dieses wichtigen Wissensrahmens: Der erste und wichtigste defensive Eckpfeiler ist in der Tat die "gemeinsamer Faktor"  ein Glossar, eine Methode und eine Reihe von Sicherheitsmaßnahmen, die weithin bekannt sind und unter denen angewendet werden, die Netzwerke, Informationssysteme und IT-Dienste gemeinsam nutzen.

In diesem Zusammenhang ist die Initiative von Die MITRE Corporation, eine gemeinnützige Organisation, die seit 1958 aktiv ist. Gegründet auf dem Betrieb von Forschungs- und Entwicklungszentren, die mit öffentlichen US-Mitteln finanziert werden, ist MITRE in der F&E-Unterstützung für die Regierung der Vereinigten Staaten von Amerika tätig. MITRE hat ein entwickelt öffentlich zugänglicher Wissensspeicher - Die MITRE ATT & CK - die in indizierter Weise die Taktiken von Cyberangriffen aufdeckt. Das Akronym ATT & CK Es steht für "Gegnerische Taktiken, Techniken und allgemeines Wissen"

In der Bibliothek die TTPs sie werden beschrieben, indem die ausgenutzten Schwachstellen identifiziert und die kriminellen Gruppen von größtem Interesse, ihre Betriebsprofile und verwendeten Schadcodes aufgelistet sowie ihre Algorithmen und Auswirkungen beschrieben werden. Für jede Kategorie, MITRE ATT &CK kombiniert die Gegenmaßnahmen, die allgemein als geeignet angesehen werden, um Taktiken zu verhindern oder abzuschwächen, um effektiv und an mehreren Fronten auf die verschiedenen Vorfälle zu reagieren, einschließlich der Maßnahmen, die zur Überwachung und Erkennung von Elementen erforderlich sind "ruhend" o "verdeckt" heimlich in Informationssystemen oder Netzwerken operieren.

Il Basisdatum Es verfügt über eine intuitive und multimodale grafische Benutzeroberfläche, sodass die Suche unabhängig davon durchgeführt werden kann, ob sie von Taktiken ausgeht und nicht von Techniken, Gegenmaßnahmen, bösartigen Codes oder beobachteten kriminellen Gruppen. Das Archiv ermöglicht es Ihnen, die Suche nach Infrastruktur- oder Technologietyp abzuschließen: Sie können somit die spezifischen Angriffsmethoden und Cyber-Bedrohungsmodelle überprüfen, die auf Clients, Laptops oder Desktops abzielen, anstatt auf zentralisierte Verarbeitungsinfrastrukturen, Speicher und Dienste oder sogar auf Netzwerke. ob kabelgebunden oder über Funk.

Ein Abschnitt der Anwendung ist Bedrohungen für industrielle Steuerungssysteme (ICS). Hier wird die Katalogisierung von Angriffshandlungen und die Angabe von Abwehr- und Reaktionsmaßnahmen komplizierter und weniger unmittelbar. Ursache ist die Heterogenität des industriellen technologischen Umfelds, verständlicherweise geprägt von Altlasten und oft selbst entwickelten Infrastrukturlösungen. Eine unzureichende Standardisierung führt zu einer Diversifizierung von Plattformen, Protokollen und Anwendungen, was es schwierig macht, häufig vorgeschlagene Erkennungs- und Abwehrtechniken zu standardisieren. MITRE ATT & CK mildert das Problem, indem eine übergeordnete Kategorisierung industrieller Steuerungsanlagen vorgeschlagen wird, die den Benutzer bei der Anpassung von Schutz- und Reaktionsphilosophien an seine spezifische technologische Plattform vereinfacht und anleitet.

Die Anwendung bietet auch einen Schulungskurs zur effektiven Nutzung der zur Verfügung gestellten Ressourcen sowie einen Abschnitt zur Pflege, Verfeinerung und Aktualisierung des Archivs. Letzteres wird durch eine Schnittstelle zum Sammeln von Berichten über neue Beweise erleichtert, die Webbenutzer senden, um zu diesen Bemühungen beizutragen "gemeinsames kollektives Wissen" .

Kurz gesagt, eine gemeinsame Ressource, die von MITRE ATT & CK, die nur Teil derUtensilien eines Sicherheitsexperten und dessen Interaktion ich sowohl denjenigen, die sich in der Ausbildung befinden, als auch denjenigen, die bereits in der Professionalität gereift sind, die beabsichtigen, mit Elementen persönlicher Erfahrung oder Berichterstattung zusammenzuarbeiten, in der Rubrik wärmstens empfehle "Beitragen" - Neu TTPs beobachten.

So wird auch das kollektive Präventions- und Reaktionssystem verbessert: "Netzwerken, um das Netzwerk zu verteidigen!"

Um mehr zu erfahren:

https://www.mitre.org/

https://attack.mitre.org