моделирование угроз с помощью Mitre ATT & CK framework
Модель угроз

Начало работы: моделирование угроз с помощью Mitre ATT & CK framework

Платформа Mitre ATT & CK на первый взгляд может показаться сложной, но это ключевой инструмент, который помогает командам SOC проводить моделирование угроз. Узнайте, как начать.

Команды центра управления безопасностью могут использовать Mitre ATT & CK framework для оценки состояния безопасности своей организации и выявления любых уязвимостей. Благодаря 14 тактикам противостояния – каждая тактика включает от восьми до 42 приемов, каждый со своими собственными подтехнологиями – фреймворк является сложной задачей как для новых, так и для опытных команд SOC.

“Самая большая проблема для SoC заключается в том, что Mitre ATT & CK framework содержит слишком много информации, что может быть непросто. Это действительно хороший ресурс, но в нем слишком много информации для анализа “, – сказала Ребекка Блэр, автор и менеджер SOC в компании-разработчике программного обеспечения Toast Inc.

Чтобы помочь командам SOC всех уровней зрелости внедрять платформу или ссылаться на нее, Блэр написал, приведя операции безопасности в соответствие с MITRE ATT & CK Framework. Книга дает читателям представление о том, что предлагает Mitre ATT & CK framework и как использовать тактику, приемы и подтехнологии для укрепления системы безопасности организации.

Изучить фреймворк особенно важно, поскольку он является общей основой для моделирования угроз, ключевым компонентом любой современной программы кибербезопасности. Моделирование угроз включает в себя выявление и понимание различных потенциальных рисков безопасности, с которыми сталкивается конкретная организация. Mitre предоставляет обширный центр знаний о тактиках и приемах, которые команды SOC могут использовать для моделирования действий злоумышленников, включая повышение привилегий, уклонение и боковое перемещение.

Здесь Блэр подробнее рассказывает о фреймворке и его роли в моделировании угроз.

Является ли ли по-прежнему сложной для внедрения платформа Mitre ATT & CK для команд SOC?

Ребекка Блэр: И да, и нет. Кажется, что почти каждый инструмент использует Mitre; на это часто ссылаются. Тем не менее, внедрение этого может оказаться непосильным для команд, если они будут делать все с самого начала. Например, я раньше работал государственным подрядчиком, и соблюдение требований очень важно – вы пытаетесь выполнить все, что указано в вашем листе соответствия требованиям. Организации часто реализуют то же самое мышление с помощью Mitre ATT & CK framework, и это просто нереально. У платформы есть действия и цели, и может быть сложно выбрать, какие из них использовать, или сопоставить с вашей стратегией безопасности. Большинству команд следует сосредоточиться на оптимизации с использованием Mitre, чтобы получить максимальную отдачу от вложенных средств.

Как вы рекомендуете командам SOC приступить к внедрению Mitre ATT & CK framework?

Блэр: Начните с создания реестра рисков, который я рекомендую в главе 2 “Согласование операций безопасности с MITRE ATT & CK Framework”. Определите, в чем заключаются некоторые из ваших проблем, а затем начните сопоставлять свою стратегию безопасности с методами платформы. Имея реестр рисков, вы можете начать определять, насколько велик ваш риск. Затем используйте Mitre ATT & CK framework в качестве справочного руководства, чтобы ознакомиться с различными рекомендациями по снижению рисков.

Как Mitre ATT & CK framework помогает командам SOC в моделировании угроз? Могут ли SoC всех уровней зрелости использовать его?

Блэр: Это действительно помогает с идентификацией уязвимостей. Вы определяете уязвимости, имеющиеся в вашей организации, и сопоставляете их с методами платформы. Mitre помогает прояснить риски и предоставить контекстную информацию. Ее могут использовать SOC всех уровней, хотя ваш уровень зрелости будет определять, с чего вы начнете использовать платформу. Mitre особенно полезен для только запускающихся SOC – в идеале, вы хотите запустить SOC правильным образом с самого начала, чтобы не рисковать тем, что вам придется начинать все сначала и делать все правильно во второй раз. Используйте Mitre ATT & CK framework в качестве ориентира. Используйте его, чтобы определить уровни риска для текущих мер безопасности вашей организации, а затем определить, какие меры по снижению рисков необходимо внедрить.

Как вы рекомендуете SoC использовать Mitre для моделирования угроз?

Блэр: Это зависит от инструментов, которыми располагает ваша SOC. Например, если вы являетесь магазином Splunk, вы, вероятно, уже используете Splunk Security Essentials, в который встроена платформа. Но у Mitre ATT & CK framework есть свое место для использования наряду с существующими инструментами. Для многих сред, в которых я работал, мы сами разработали множество правил обнаружения. После этого у нас будет система управления обращениями. Затем мы будем использовать систему оформления заявок, такую как ServiceNow или Jira, для получения уведомлений о предупреждениях. В этих заявках у нас могут быть поля, отражающие тип техники или общую тактику для реализации. Затем мы можем начать фиксировать показатели на основе того, что мы видим, и выяснить, каковы наши угрозы более высокого уровня. Простой способ связать моделирование угроз и Mitre ATT & CK framework – сделать процессы SOC более применимыми и даже автоматизировать процессы после настройки.

Как Mitre ATT & CK framework соотносится с такими моделями угроз, как PASTA (Процесс моделирования атак и анализа угроз) или STRIDE (подделка, вмешательство, отказ, раскрытие информации, отказ в обслуживании и повышение привилегий? Рекомендуете ли вы использовать вторую модель угроз наряду с Mitre?

Блэр: Платформа Mitre ATT & CK более применима для моделирования угроз по всем направлениям. Например, STRIDE в основном используется в средах Windows, в то время как Mitre может использоваться более широко. Я использую гибридную модель угроз в своих средах, используя Mitre наряду с другой моделью угроз, причем популярным вариантом является VAST [Визуальная, гибкая и простая угроза]. В зависимости от среды мой SOC может использовать PASTA или STRIDE или даже просто использовать деревья атак в дополнение к Mitre. Может иметь смысл использовать несколько фреймворков, но вам может сойти с рук использование одного фреймворка для моделирования угроз. Часто это зависит от бюджета. Если у вас есть время и ресурсы, более комплексно комбинировать модели угроз.

admin
Author: admin