Bài viết này ra mắt về quy mô MITRE ATT&CK và những quyền lợi mà nền tảng này mang lại trong việc tổ chức triển khai và phân loại những mối rình rập đe dọa và hành vi phá hoại nhắm tới những tổ chức triển khai .
MITRE ATT&CK là gì?
MITRE là một công ty phi doanh thu được xây dựng vào năm 1958 với thiên chức “ xử lý những yếu tố vì một quốc tế bảo đảm an toàn hơn ”. Mục tiêu này đang được hoàn thành xong trải qua một cơ sở tri thức có tinh lọc của công ty với tên gọi MITRE ATT&CK. ATT&CK là tên viết tắt của “ Adversarial Tactics, Techniques, and Common Knowledge ”. ( Tạm dịch : Các giải pháp, kỹ thuật phá hoại và những hiểu biết thường thì ). Đây là một nền tảng tổ chức triển khai và phân loại những loại giải pháp, kỹ thuật và tiến trình ( TTP ) khác nhau được những tác nhân rình rập đe dọa sử dụng trong quốc tế kỹ thuật số, từ đó giúp những tổ chức triển khai xác lập những lỗ hổng trong mạng lưới hệ thống bảo vệ bảo mật an ninh mạng .
Tất cả thông tin tích lũy tương quan đến những cuộc tiến công được trình diễn bằng nhiều ma trận khác nhau, ví dụ điển hình như ma trận doanh nghiệp, di động và tiền tiến công. Ví dụ, Ma trận Doanh nghiệp gồm có những giải pháp sau :
- Truy nhập Ban đầu
- Thực thi
- Duy trì truy cập
- Nâng cấp đặc quyền
- Trốn tránh hệ thống bảo vệ
- Truy nhập thông tin xác thực
- Phát hiện
- Mở rộng khai thác
- Sưu tập
- Điều khiển và kiểm soát
- Trích xuất dữ liệu
- Tác động
Mỗi chiến thuật được chia thành các kỹ thuật cụ thể tương ứng với từng loại tấn công. Ngoài ra còn có các chi tiết về kỹ thuật. Ví dụ như, tài liệu tham khảo (cho biết nền tảng nào có thể bị tấn công, ngày phát hiện sự cố, v.v.) và các đề xuất giảm thiểu và phát hiện mối đe dọa.
Ví dụ, phần link Spearphishing bên trong giải pháp Truy cập Ban đầu ( Initial Access ) có lý giải những nội dung tương quan đến giải pháp truy vấn bắt đầu này. Tại thời gian viết bài, phần này gồm có 19 ví dụ về những tác nhân rình rập đe dọa sử dụng kỹ thuật ( Hình 1. Nhóm tin tặc Ocean Lotus APT32 ). Đương nhiên, số lượng này sẽ tăng lên theo thời hạn kèm theo đó là những báo cáo giải trình mới, hoàn hảo với những lý giải và khuyến nghị về cách giảm thiểu những mối rình rập đe dọa và những kỹ thuật phát hiện nào cần cho việc bảo mật thông tin .
Nền tảng MITRE cung ứng một loạt những thông tin có ích cho việc nghiên cứu và phân tích hàng loạt quy trình của một tiến công mạng, gồm có việc thăm dò tiềm năng, những vectơ tiến công, sự xâm nhập trong thực tiễn và những hành vi hậu xâm nhập .
Tại sao nên sử dụng MITRE ATT&CK?
Kho tàng trữ này cực kỳ giúp ích cho những chuyên viên bảo đảm an toàn thông tin trong việc update thông tin về những kỹ thuật tiến công mới và ngăn ngừa những cuộc tiến công xảy ra .
Các tổ chức có thể tận dụng khung MITRE ATT&CK để tạo ra một bản đồ hệ thống phòng thủ của họ. Mặc dù khung này chủ yếu mô phỏng hành vi đối nghịch, nhưng các doanh nghiệp- nhất là những doanh nghiệp thiết kế các cơ chế bảo mật- có thể điều chỉnh cho phù hợp với các kịch bản tấn công có thể xảy ra. Bên cạnh đó, họ cùng có thể đào tạo đội ngũ nhân viên nếu cần.
Thực tế, tại CyStack, những kỹ sư bảo mật thông tin đã tổng hợp những thông tin vector tiến công trong ma trận MITRE ATT&CK vào những ứng dụng bảo mật thông tin của mình, giúp bảo vệ mạng lưới hệ thống IT của những doanh nghiệp người mua tốt hơn trước những rủi ro đáng tiếc tiến công có chủ đích .
ATT&CK cung ứng chi tiết cụ thể về một số lượng lớn những tin tặc và nhóm tiến công, gồm có những kỹ thuật và công cụ mà họ dùng, dựa trên báo cáo giải trình nguồn mở. ATT&CK còn hữu dụng trong việc tình báo về những mối rình rập đe dọa bảo mật an ninh mạng bằng cách miêu tả hành vi thù địch một cách chuẩn hóa. Mô hình này đưa ra hướng dẫn để đội ngũ bảo mật thông tin hoàn toàn có thể so sánh với những giải pháp trấn áp hoạt động giải trí sẵn có nhằm mục đích khai thác những điểm mạnh và xác lập những điểm yếu trước khi những tác nhân nguy cơ tiềm ẩn xâm nhập .
Tạo những mục nhập trong công cụ MITRE ATT&CK Navigator cho những tác nhân đơn cử là cách hiệu suất cao để nhìn nhận những điểm mạnh và điểm yếu trong môi trường tự nhiên của một tổ chức triển khai tương quan đến những tác nhân hoặc nhóm này. Ngoài ra, ATT&CK còn được dùng để phân loại những thử nghiệm được triển khai bên trong nội bộ của tổ chức triển khai dựa trên những hiệu quả thử nghiệm đó. Công cụ nói trên hoàn toàn có thể được sử dụng trực tuyến hoặc tải xuống để sử dụng không thay đổi và vĩnh viễn hơn .
Có nhiều tài nguyên bổ sung liên kết với ATT&CK và những tài nguyên cung cấp các cơ chế để kiểm tra các kỹ thuật tấn công trong môi trường mô phỏng. Ví dụ, các công ty như: Verodin, SafeBreach và AttackIQ cung cấp khả năng tiến hành mô phỏng một cuộc tấn công. Một số tùy chọn mã nguồn mở cho phép mô phỏng cuộc tấn công và có liên kết với ATT&CK, chẳng hạn như: MITRE Caldera, Uber Metta, Red Team Automation (RTA), hoặc Atomic Red Team. Phải hết sức thận trọng khi tiến hành những loại thử nghiệm này trong mạng sản xuất do không lường trước được mức độ rẽ nhánh có thể xảy ra. Chúng tôi luôn khuyến nghị người dùng sử dụng các môi trường kiểm soát tách biệt nhiều nhất có thể với những mạng lưới có thiết bị sản xuất lưu trữ dữ liệu chính thống của công ty.
Tóm lại, MITRE ATT&CK gồm có một loạt những công cụ và tài nguyên để Giao hàng cho bất kể kế hoạch bảo mật thông tin nào. Mô hình này cung ứng cho những công ty thông tin tình báo về mối rình rập đe dọa, đồng thời đưa ra cách để phát hiện và ứng phó với những cuộc xâm nhập. Bằng cách đó, những tổ chức triển khai hoàn toàn có thể bảo vệ bảo mật an ninh mạng và chuẩn bị sẵn sàng đối phó khi có kẻ xấu tiến công .
Không có gì đáng kinh ngạc khi hồi đầu năm nay, nhóm nghiên cứu và điều tra của hãng bảo mật an ninh công nghệ ESET đã quyết định hành động đưa ma trận MITRE ATT&CK vào hầu hết những nghiên cứu và phân tích ứng dụng ô nhiễm được công bố .
Theo Welivesecurity
