«Нетворкинг» для защиты «сети»: дело MITER ATT & CK

(Ди Орацио Данило Руссо)
02/06/21
Как упоминалось в одном из моих предыдущая статья, у любого хакера есть "операционный профиль атаки", узнаваемый по тактике, методам и рабочим процедурам (ТПД); в ответ - на основании доказательств, полученных в результате расследований и изучения многочисленных кибератак и кибератак, - структуры разведки и кибербезопасности уже давно усовершенствовали адекватные контрмеры для предотвращения и пресечения.

Существует несколько систем описания и каталогизации кибератак, обычно обосновываемых "образ действия" оппонента; некоторые явно покрываются секретностью государств и альянсов или следственной конфиденциальностью правоохранительных органов, чтобы поддерживать информационное превосходство над противником или эффективность судебно-репрессивных действий. Тем не менее, существуют также инициативы по обмену этими важными знаниями с общественностью: по сути, первым и наиболее важным защитным краеугольным камнем является  Общий делитель  глоссарий, метод и набор мер безопасности, широко известных и применяемых теми, кто совместно использует сети, информационные системы и ИТ-услуги.

В связи с этим инициатива Корпорация МИТЕР, некоммерческая организация, действующая с 1958 года. Основанная на базе научно-исследовательских центров, финансируемых за счет государственных средств США, MITER принимает активное участие в поддержке НИОКР для правительства Соединенных Штатов Америки. MITER разработала общедоступный репозиторий знаний - MITRE ATT & CK - который раскрывает в индексированном виде тактику кибератак. Аббревиатура ATT & CK собирается "Противоборствующие тактики, методы и общие знания"

В библиотеке ТПД они описываются путем выявления используемых уязвимостей и перечисления наиболее интересных преступных групп, их рабочих профилей и используемых вредоносных кодов, с описанием их алгоритмов и последствий. Для каждой категории MITER ATT &CK сочетает в себе контрмеры, которые обычно считаются подходящими для предотвращения или смягчения тактики, для эффективного реагирования на различных инцидентах на нескольких фронтах, включая меры, необходимые для мониторинга и обнаружения элементов "бездействующий" o "под прикрытием" тайно действуют в информационных системах или сетях.

Il базовая дата он имеет интуитивно понятный и мультимодальный графический интерфейс, поэтому поиск может выполняться независимо от того, начинается ли он с тактики, а не с методов, контрмер, вредоносных кодов или наблюдаемых преступных групп. Архив позволяет завершить поиск по типу инфраструктуры или технологии: поэтому вы можете проверить конкретные методологии атак и модели киберугроз, которые нацелены на клиентов, ноутбуки или настольные компьютеры, а не на централизованную инфраструктуру обработки, хранилище и услуги или даже сети, будь то проводное или радио.

Раздел приложения посвящен угрозам для промышленные системы управления (ИСУ). Здесь каталогизация наступательных действий и указание мер защиты и реагирования становится более сложным и менее немедленным. Причина - неоднородность промышленной технологической среды, на которую, по понятным причинам, влияют унаследованные и часто разработанные собственные инфраструктурные решения. Плохая стандартизация приводит к диверсификации платформ, протоколов и приложений, что затрудняет стандартизацию обычно предлагаемых методов обнаружения и смягчения последствий. MITRE ATT & CK смягчает проблему, предлагая высокоуровневую категоризацию активов промышленного контроля, которая упрощает и направляет пользователя в адаптации философии защиты и реагирования к его конкретной технологической платформе.

Приложение также предлагает учебный курс по эффективному использованию доступных ресурсов, а также раздел, посвященный загрузке, уточнению и обновлению архива. Последнему способствует интерфейс для сбора отчетов о новых доказательствах, которые пользователи сети отправляют, чтобы внести свой вклад в эти усилия по "общие коллективные знания .

Короче говоря, общий ресурс, это MITER ATT & CK, что не может не быть частьюатрибутика специалиста по безопасности, чье взаимодействие я настоятельно рекомендую как тем, кто проходит обучение, так и тем - уже зрелым в профессионализме - кто намерен сотрудничать, привнося элементы личного опыта или отчетности - в раздел "Способствовать" - новый ТПД наблюдать.

Таким же образом улучшается система коллективного предупреждения и реагирования:  сеть для защиты сети!"

Для углубления:

https://www.mitre.org/

https://attack.mitre.org

оборона рейнметалла