Až budou ATT&CK, budeme D3FEND

Dne 22. června vydala společnost MITRE nový rámec nazvaný D3FEND, který doplňuje průmyslově uznávanou matici ATT&CK. Cílem nového rámce, který sponzorovala NSA, je vytvořit základ pro identifikaci složek a schopností bezpečnostní obrany. MITRE není soukromá nezisková organizace, jedná se o federální výzkumnou a vývojovou organizaci.

D3FENSE není jen znalostní báze obranných technik. Je to znalostní graf, katalog zobecněných obranných technik a jejich vztahů k metodám protivníka.

Příležitost porazit nepřítele poskytuje sám nepřítel - Sun Tzu

Abychom pochopili D3FEND, musíme začít se základním uspořádáním "znalostního grafu kybernetických bezpečnostních protiopatření" (viz obrázek). Jádrem tohoto rámce je pět "taktik" - Harden, Detect, Isolate, Deceive a Evict. Jestliže "taktiky" nám říkají, CO obránci plánují dosáhnout, "techniky" nám říkají, JAK toho dosáhnout. Existuje 17 technik nejvyšší úrovně, například "Analýza souborů" nebo "Zpevnění aplikace" (Application Hardening). Pod základními technikami je téměř 100 dílčích technik, které obsahují další poznatky - definici, způsob fungování, úvahy, odkazy na patenty a další. Rámec D3FEND je v rané fázi. Jedná se stále o experimentální projekt - počáteční verze není komplexní a společnost MITRE bude tento seznam pravděpodobně dále rozšiřovat.

S ATT&CK víme, jaké hrozby je třeba řešit. S D3FEND víme, jak je řešit. D3FEND doplňuje rámec ATT&CK, nikoli jej nahrazuje.

Pro podporu mapování mezi rámci ATT&CK a D3FEND zavedla společnost MITRE koncept "digitálních artefaktů". Přemýšlejte o něm z pohledu archeologie - artefakt existuje díky činnostem protivníka (například soubor, e-mail nebo proces). Například když útočníci provádějí skenování vašeho prostředí, vytvářejí digitální artefakty. Když protivník odešle phishingový e-mail, vzniknou digitální artefakty v systému původu i v cílovém systému (po cestě). Pro rámec D3FEND není důležité, zda jsou digitální artefakty pozorovány nebo dokonce dostupné (např. v odchozí schránce protivníka) - důležité je pouze to, že někde kdysi existovaly.

Digitální artefakty jsou lepidlem, které spojuje útočný a obranný model. Jsou příležitostí pro obránce, jak útočníkům zabránit, odhalit je, izolovat, oklamat nebo je vypudit. To je jádro rámce D3FEND - znalostní graf, způsob, jak mapovat útočné a obranné techniky dohromady do jednoho uceleného obrazu.

Toto mapování je užitečné zejména pro revizi stávajících bezpečnostních kontrol. Jedná se o mapu pro obranu do hloubky. Můžete zkontrolovat stávající portfolio bezpečnostních nástrojů, abyste si ověřili, zda jsou pokryty všechny základní taktiky, a ujistit se, že jste připraveni odhalit artefakty vytvořené protivníky. Jedná se o vícevrstvé zabezpečení realizované z jiného úhlu pohledu.

"Mňau" znamená v kočičím jazyce "haf" - George Carlin

Možná ještě zajímavější je, že rámec D3FEND má potenciál změnit způsob, jakým mluvíme o bezpečnostních kontrolách. Může pomoci standardizovat slovník, který používáme k popisu obranných technologií.

Bezpečnostní průmysl je známý používáním zkratek a slovních popisů. Natolik, že analytické firmy musí každý rok vytvářet novou taxonomii, často s mírnými technickými změnami. Vzhledem k tomu, že na trhu kybernetické obrany působí více než 5 000 společností, z nichž každá přidává do bezpečnostní oblasti nový žargon, mají protivníci často výhodu.

Rozdělením bezpečnostních produktů na jejich schopnosti a používáním předvídatelného pojmenování může D3FEND pomoci modrým týmům založit svá nákupní rozhodnutí na schopnostech, nikoli na tvrzeních dodavatelů. Díky menšímu zmatku mohou bezpečnostní týmy lépe zajistit maximální ochranu uživatelů a dat.

D3FEND může usnadnit pochopení oborového žargonu - a odstranit bariéru, která mnoha lidem brání v zahájení kariéry v oblasti kybernetické bezpečnosti. Nedostatek společného jazyka trápí naše odvětví již dlouho. Společný rámec by mohl tuto bariéru odstranit.

Cesta do pekla je dlážděna dobrými úmysly - Samuel Johnson

Mluvili jsme o tom, co je D3FEND. Stejně důležité je ale vysvětlit, co to není. D3FEND neurčuje priority bezpečnostních protiopatření ani nekomentuje jejich účinnost. Stejně jako rámec ATT&CK je otevřený interpretaci různých dodavatelů zabezpečení (o dekódování hodnocení MITRE ATT&CK jsme psali na blogu již dříve).

Pokud jde o D3FEND, existuje několik varovných úvah. Předpokládejme, že rámec D3FEND bude široce přijat dodavateli kybernetické bezpečnosti, ale stane se spíše "zaškrtávacím" cvičením. Tím, že se dodavatelé budou snažit zahrnout co nejvíce položek D3FEND - aniž by skutečně řešili bezpečnostní problémy, bude výsledkem průměrná kvalita. Proto bude i nadále důležité mít na paměti, že ne všechna bezpečnostní řešení jsou stejná - a používání nezávislých webů (jako je AV-TEST nebo AV-Comparatives) k ověření tvrzení dodavatelů může být ještě důležitější než dnes.

Dobrou zprávou pro ověřování je však to, že máme k dispozici také rámec ATT&CK, který umožňuje měřit takové věci, jako je detekce. Díky mapování na techniky rámce ATT&CK bude snazší ověřovat tvrzení dodavatelů zabezpečení. Rozdělení produktů na schopnosti usnadní kupujícím ověřit, jak adekvátní jsou bezpečnostní kontroly. Díky tomu bude snazší porovnávat tvrzení více produktů se společnou obrannou taxonomií. Namísto hledání řešení "vše v jednom" může lepší přístup kombinovat nejlepší bezpečnostní kontroly ověřené metodou ATT&CK.

Sjednocení jazyka našeho odvětví může také pomoci při sběru a analýze dat. Čtení některých brožur o kybernetické bezpečnosti je náročný úkol i pro lidskou inteligenci a zdaleka nedosažitelný pro současné modely zpracování přirozeného jazyka. Normalizace vstupních dat by mohla urychlit jejich zpracování - a jednoho dne možná získáme i korelaci mezi MITRE D3FEND a Verizon Data Breach Investigations Report. Rád bych viděl tepelnou mapu bezpečnostních kontrol a jejich použitelnost na skutečné útoky.

Závěr

D3FEND se zdá být užitečný jako znalostní báze, ale důležitější je jako znalostní graf. Je to katalog obranných technik kybernetické bezpečnosti a jejich vztahu k technikám útoku. Neurčuje jejich priority - ani nekomentuje jejich účinnost. Jeho hlavním cílem je pomoci standardizovat slovník, který popisuje bezpečnostní komponenty a schopnosti, a myslíme si, že je velkým přínosem pro odvětví, které se posouvá vpřed. Jakmile dodavatelé přijmou tento společný jazyk, budou mít organizace lepší možnost pochopit, jaké bezpečnostní kontroly jsou poskytovány a nasazovány.