3.12.20

ATT&CK: okvir za anatomiju cyber prijetnji

Početkom listopada ove godine sam održao predavanje za hrvatski ogranak organizacije ISACA u kojoj sam predstavio okvir MITRE ATT&CK.

Okvir MITRE ATT&CK nije nepoznat među našim stručnjacima. Ranije su se pojavili radovi o tom okviru a polako se nazire primjena i u našem okruženju. Ipak, čini mi se svijest o značenju ovog okvira još uvijek nije dovoljno prisutna među najvećem brojem naših kolega na području informacijske sigurnosti i revizije. A da o managementu IT službi i ne govorimo…

Kako je nastao okvir MITRE ATT&CK i zbog čega je značajan?

Kada je početkom desetljeća koje upravo završava postalo jasno da ondašnji antivirusni sustavi ne mogu djelotvorno odgovoriti na novu generaciju računalnih prijetnji (napredne prijetnje, sa svojstvima persistencije i ciljano motivirani prema specifičnoj žrtvi), strategija sprječavanja ovih prijetnji prebacila je težište na područje detekcije napada i prepoznavanja indikatora o proboju napadača, ali i na sve značajnije sudjelovanje ljudskog faktora u provedbi nove strategije. Suradnja među stručnjacima i timovima, unutar pojedine organizacije ili, još češće, među različitim i raznovrsnim organizacijama postala je neophodna. Osim stručnosti i iskrenosti u namjerama, značajan preduvjet za uspješnu suradnju je standardizacija terminologije i zajednička taksonomija ključnih pojmova na ovom području.

Nakon nekoliko dobrih poticajnih koraka (npr. „The Cyber Kill Chain” tvrtke Lockheed Martin iz 2011.), organizacija MITRE je pristupila razvoju strukturiranog opisa cyber prijetnji, kategorizaciji taktika i tehnika napada i bogatom opisu pojedinih elemenata ove strukture (od katalogiziranja organiziranih izvora cyber prijetnji pa do opisa izvora indikatora unutar operativnog sustava).

Lavina se pokrenula negdje oko 2015. i danas je ATT&CK ne samo okvir za opis i komuniciranje podataka cyber prijetnjama, nego i djelotvorna baza znanja koja posredno pokreće niz drugih mehanizama za zaštitu informacijskih sustava, dodajući im novu razinu značenja - „Threat-Informed Defense”.

U svojoj prezentaciji sam opisao glavne točke u evoluciji okvira ATT&CK, značajke ovog okvire i načine primjene u praksi.

U nastavku možete pogledati video zapis prezentacije.






Nema komentara:

Objavi komentar