Ap dụng MITRE ATT&CK cho tổ chức của bạn như thế nào ?

Khám phá tất cả các cách mà MITRE ATT&CK có thể giúp bạn bảo vệ tổ chức của mình. Xây dựng chiến lược và chính sách bảo mật của bạn bằng cách tận dụng tối đa khuôn khổ quan trọng này.

Khuôn khổ MITRE ATT&CK là gì?

MITRE ATT&CK (Adversarial Tactics, Techniques, & Common Knowledge hiểu sơ qua là Chiến thuật đối địch, Kỹ thuật và Kiến thức chung) là một khuôn khổ và cơ sở kiến ​​thức được áp dụng rộng rãi, phác thảo và phân loại các chiến thuật, kỹ thuật và quy trình (TTP) được sử dụng trong các cuộc tấn công mạng . Được tạo bởi tổ chức phi lợi nhuận MITRE, khuôn khổ này cung cấp cho các chuyên gia bảo mật thông tin chi tiết và bối cảnh có thể giúp họ hiểu, xác định và giảm thiểu các mối đe dọa trên mạng một cách hiệu quả.

Các kỹ thuật và chiến thuật trong khuôn khổ được tổ chức trong một ma trận năng động. Điều này làm cho việc điều hướng trở nên dễ dàng và cũng cung cấp một cái nhìn tổng thể về toàn bộ các hành vi của đối thủ. Kết quả là, khung có thể thao tác và sử dụng hiệu quả hơn nso với một danh sách tĩnh.

Bạn có thể tìm thấy Khuôn khổ MITRE ATT&CK tại đây: https://attack.mitre.org/

Hãy chú ý: Xu hướng khuôn khổ MITRE ATT&CK

Theo Etay Maor, Giám đốc cấp cao về chiến lược bảo mật tại Cato Networks , “Kiến thức được cung cấp trong khuôn khổ MITRE ATT&CK được lấy từ bằng chứng thực tế về hành vi của những kẻ tấn công. Điều này khiến nó dễ bị ảnh hưởng bởi những thành kiến ​​nhất định mà các chuyên gia bảo mật cần lưu ý. Điều quan trọng là phải hiểu những hạn chế này.”

  • Xu hướng mới lạ – Các kỹ thuật hoặc tác nhân mới được báo cáo, trong khi các kỹ thuật được sử dụng lặp đi lặp lại thì không.
  • Xu hướng khả năng hiển thị – Các nhà xuất bản báo cáo của Intel có xu hướng khả năng hiển thị dựa trên cách họ thu thập dữ liệu, dẫn đến khả năng hiển thị đối với một số kỹ thuật chứ không phải các kỹ thuật khác. Ngoài ra, các kỹ thuật cũng được xem khác nhau trong các sự cố và sau đó.
  • Xu hướng của nhà sản xuất – Các báo cáo do một số tổ chức xuất bản có thể không phản ánh toàn bộ ngành hoặc thế giới nói chung.
  • Xu hướng nạn nhân – Một số tổ chức nạn nhân có nhiều khả năng báo cáo hoặc bị báo cáo hơn những tổ chức khác.
  • Xu hướng sẵn có – Các tác giả báo cáo thường bao gồm các kỹ thuật nhanh chóng xuất hiện trong các báo cáo của họ.

Các trường hợp sử dụng Bộ bảo vệ MITRE ATT&CK

Khung MITRE ATT&CK giúp các chuyên gia bảo mật nghiên cứu và phân tích các cuộc tấn công và quy trình khác nhau. Điều này có thể giúp thu thập thông tin về mối đe dọa, phát hiện và phân tích, mô phỏng cũng như đánh giá và kỹ thuật. MITRE ATT&CK Navigator là một công cụ có thể giúp khám phá và trực quan hóa ma trận, tăng cường phân tích cho phạm vi phòng thủ, lập kế hoạch bảo mật, tần suất kỹ thuật, v.v.

Etay Maor cho biết thêm, “Khuôn khổ có thể đi sâu như bạn muốn hoặc nó có thể ở mức cao như bạn muốn. Nó có thể được sử dụng như một công cụ để hiển thị bản đồ và nếu chúng ta tốt hay xấu tại một số khu vực nhất định, nhưng nó có thể đi sâu như hiểu quy trình rất cụ thể và thậm chí cả dòng mã được sử dụng trong một cuộc tấn công cụ thể.”

Dưới đây là một số ví dụ về cách sử dụng framework và Navigator :

Phân tích tác nhân đe dọa

Các chuyên gia bảo mật có thể tận dụng MITRE ATT&CK để điều tra các tác nhân đe dọa cụ thể. Ví dụ: họ có thể đi sâu vào ma trận và tìm hiểu kỹ thuật nào được sử dụng bởi các tác nhân khác nhau, cách chúng được thực thi, công cụ nào chúng sử dụng, v.v. Thông tin này giúp điều tra các cuộc tấn công nhất định. Nó cũng mở rộng kiến ​​thức và cách suy nghĩ của các nhà nghiên cứu bằng cách giới thiệu cho họ các phương thức hoạt động bổ sung mà những kẻ tấn công thực hiện.

Ở cấp độ cao hơn, khung có thể được sử dụng để trả lời các câu hỏi cấp độ C về vi phạm hoặc tác nhân đe dọa. Ví dụ: nếu được hỏi- “Chúng tôi nghĩ rằng chúng tôi có thể là mục tiêu của các tác nhân đe dọa nhà nước quốc gia Iran.” Khung này cho phép đi sâu vào các tác nhân đe dọa của Iran như APT33, cho biết chúng sử dụng kỹ thuật nào, ID tấn công, v.v.

Phân tích nhiều tác nhân đe dọa

Ngoài việc nghiên cứu các tác nhân cụ thể, khung MITRE ATT&CK còn cho phép phân tích nhiều tác nhân đe dọa. Ví dụ: nếu một mối lo ngại được đưa ra rằng “Do các sự kiện chính trị và quân sự gần đây ở Iran, chúng tôi tin rằng sẽ có một cuộc trả đũa dưới hình thức tấn công mạng. Các chiến thuật tấn công phổ biến của các tác nhân đe dọa Iran là gì?”, khuôn khổ có thể được sử dụng để xác định các chiến thuật phổ biến được sử dụng bởi một số chủ thể quốc gia-nhà nước.

Dưới đây là hình ảnh phân tích nhiều tác nhân đe dọa được trực quan hóa, với màu đỏ và màu vàng đại diện cho các kỹ thuật được sử dụng bởi các tác nhân khác nhau và màu xanh lá cây đại diện cho sự chồng chéo.

Phân tích lỗ hổng

Khung MITRE ATT&CK cũng giúp phân tích các lỗ hổng hiện có trong phòng thủ. Điều này cho phép những người bảo vệ xác định, trực quan hóa và sắp xếp những thứ mà tổ chức không có phạm vi bảo hiểm.

Đây là giao diện của nó, với các màu được sử dụng để sắp xếp thứ tự ưu tiên.

Thử nghiệm Atomic

Cuối cùng, Atomic Red Team là một thư viện kiểm tra mã nguồn mở được ánh xạ tới khung MITRE ATT&CK. Các thử nghiệm này có thể được sử dụng để thử nghiệm cơ sở hạ tầng và hệ thống của bạn dựa trên khuôn khổ, nhằm giúp xác định và giảm thiểu các khoảng trống về phạm vi bảo hiểm.

MITRE CTID (Trung tâm phòng thủ trước mối đe dọa)

MITRE CTID (Trung tâm phòng thủ trước mối đe dọa) là một trung tâm R&D, được tài trợ bởi các tổ chức tư nhân, hợp tác với cả các tổ chức thuộc khu vực tư nhân và các tổ chức phi lợi nhuận. Mục tiêu của họ là cách mạng hóa cách tiếp cận đối thủ thông qua tập hợp nguồn lực và nhấn mạnh vào ứng phó sự cố chủ động hơn là các biện pháp phản ứng. Nhiệm vụ này được thúc đẩy bởi niềm tin, lấy cảm hứng từ John Lambert, rằng những người phòng thủ phải chuyển từ suy nghĩ theo danh sách sang suy nghĩ theo biểu đồ nếu họ muốn vượt qua lợi thế của kẻ tấn công.

Etay Maor nhận xét: “Điều này rất quan trọng. Chúng tôi cần tạo điều kiện thuận lợi cho sự hợp tác giữa những Người bảo vệ ở các cấp độ khác nhau. Chúng tôi rất tâm huyết với điều này.”

Một sáng kiến ​​quan trọng trong bối cảnh này là dự án “Dòng chảy tấn công”. Attack Flow giải quyết thách thức mà những người bảo vệ phải đối mặt, những người thường tập trung vào các hành vi tấn công nguyên tử, cá nhân. Thay vào đó, Luồng tấn công sử dụng một ngôn ngữ và công cụ mới để mô tả luồng kỹ thuật ATT&CK. Những kỹ thuật này sau đó được kết hợp thành các mẫu hành vi. Cách tiếp cận này cho phép những người bảo vệ và các nhà lãnh đạo hiểu sâu hơn về cách thức hoạt động của đối thủ, để họ có thể tinh chỉnh các chiến lược của mình cho phù hợp.

Bạn có thể thấy ở đây Luồng tấn công trông như thế nào.

Với các luồng tấn công này, người phòng thủ có thể trả lời các câu hỏi như:

  • Đối thủ đã và đang làm gì?
  • Các đối thủ đang thay đổi như thế nào?

Các câu trả lời có thể giúp họ nắm bắt, chia sẻ và phân tích các kiểu tấn công.

Sau đó, họ sẽ có thể trả lời những câu hỏi quan trọng nhất:

  • Điều rất có thể tiếp theo họ sẽ làm là gì?
  • Chúng ta đã bỏ lỡ điều gì?

CTID mời cộng đồng tham gia vào các hoạt động của mình và đóng góp vào cơ sở tri thức của mình. Bạn có thể liên hệ với họ trên LinkedIn .

Để tìm hiểu thêm về khuôn khổ MITRE ATT&CK,  hãy tham khảo thêm các video sau :


Bình luận

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *