V posledních letech se žádný framework nestal rozšířenějším než MITRE ATT&CK™, což je zkratka pro Adversarial Tactics, Techniques a Common Knowledge. Proč? Protože je to jeden z nejúplnějších, nejkomplexnějších a nejrealističtějších modelů kybernetické bezpečnosti - a neustále se zdokonaluje.
MITRE ATT&CK framework
Tento framework je založen na vrstvené matici, která pokrývá všechny možné vektory útoku, a zaměřuje se spíše na indikátory kompromitace a chování aktérů hrozby, než na singulární hrozby. Umožňuje studovat anomálie v chování a mapovat je s ohledem na použitelnost v reálném světě, přičemž se neustále přizpůsobuje novým metodám.
Od svého uvedení v roce 2015 byl tento rámec široce přijat poskytovateli zabezpečení, protože pomáhá jak ofenzivním (červeným), tak defenzivním (modrým) bezpečnostním týmům. Od dubna 2021 obsahuje podniková verze matice ATT&CK 14 různých taktik, 185 technik a 367 dílčích technik. Existuje matice pro mobilní prostředí a také matice věnovaná průmyslovým řídicím systémům.
Samotné taktiky představují široké kategorie založené na vektorech útoku a jejich chování. Odpovídají na otázky "Jaký je účel útoku?" a "V jaké fázi se útok nachází?".
Při použití frameworku ATT&CK se kybernetické hrozby identifikují ve fázi průzkumu, vývoje prostředků nebo počátečního přístupu. Jiné lze identifikovat ve fázi jejich provedení nebo přetrvávání. Analyzuje se také eskalace oprávnění, obranný únik a přístup k pověřením, stejně jako techniky odhalování a laterálního pohybu. Framework rovněž kontroluje chování při shromažďování dat, příkazů a řízení a exfiltraci, a poslední kategorii si vyhrazuje pro dopad hrozeb.
Každá fáze přichází s vlastními technikami a hrozba může přecházet přes více taktik najednou. Například hrozba, která se snaží vyhnout obraně převzetím exekučního toku (způsobu, jakým operační systém spouští své programy), se může podobnou technikou pokusit také o eskalaci oprávnění. Ve skutečnosti APT často procházejí několika fázemi a k dosažení svých cílů používají širokou škálu taktik.
Bitdefender a MITRE ATT&CK
V loňském roce byl vydán velmi očekávaný hodnotící framework MITRE ATT&CK. Toto hodnocení, které je v nezávislém testování jedinečné, simuluje sofistikovaný útok a zároveň vyžaduje deaktivaci všech blokovacích funkcí, kterými může bezpečnostní řešení disponovat. Jinými slovy, nutí bezpečnostní platformu spoléhat se spíše na zkušenosti, efektivitu a inteligenci, než na jednoduché obcházení.
Společnost Bitdefender dosáhla nejvyššího počtu detekcí ve všech krocích a dílčích krocích útoku (366), což poskytuje rozšířený přehled a kontext. Díky tomu měla společnost Bitdefender téměř o 50 % vyšším průměre detekcí než ostatních 29 zúčastněných dodavatelů.
Společnost Bitdefender nejenže poskytla analytické poznatky pro 96 % všech detekcí, ale také odhalila 100 % útočných technik proti systémům Linux - což je důležitý úspěch vzhledem k tomu, že mnoho podniků provozuje ve svém provozu servery Linux.
Co to znamená pro váš bezpečnostní tým?
Řešení Bitdefender nejenže poskytuje nejširší pokrytí, ale také šetří nejvíce zdrojů a zabraňuje únavě z upozornění - zajišťuje minimální výskyt falešných poplachů. Díky pokrytí všech kroků řetězce útoku nabízí Bitdefender nejvyšší šanci na odhalení komplexních útoků dříve, než dojde ke katastrofálním škodám.
MITRE ATT&CK není teoretický framework, ale framework, který je určen ke každodennímu používání. Kromě toho, že framework nabízí společný výchozí bod pro bezpečnostní analytiky, nabízí možnost zmapovat vaše obranné kontroly, provádět vyhledávání hrozeb a digitální forenzní analýzu, a mapovat vaše zranitelnosti na techniky útoku. Tímto způsobem jste chráněni před známým malwarem i budoucími hrozbami.
Nejnovější hodnocení potvrzuje, že jedinečná kombinace EDR, síťové bezpečnosti, analytiky a analýzy hrozeb společnosti Bitdefender, je optimální volbou pro podniky a poskytovatele řízených bezpečnostních služeb (MSSP), kteří chtějí zlepšit kybernetickou odolnost.