¿Por qué es importante MITRE ATT & CK? | Blogs de McAfee


Empresa MITRE ATT & CK es una "base de conocimientos de adversarios tecnicas”. En un Centro de operaciones de seguridad (SOC), este recurso está sirviendo como un marco progresivo para que los profesionales le den sentido a la comportamientos (técnicas) que conducen a intrusiones del sistema en las redes empresariales. Este recurso se centra en cómo los profesionales del SOC de todos los niveles pueden elaborar estrategias de defensa con propósito para evaluar la eficacia de sus inversiones en seguridad contra esa base de conocimientos.

Para que los profesionales puedan poner en práctica estas estrategias, la base de conocimientos proporciona la "por qué" y el "qué" con documentación completa que incluye las descripciones y mapeos relacionales de los comportamientos observados por la ejecución de malware, o incluso cuando esas armas fueron utilizadas por adversarios conocidos en su selección de diferentes víctimas según lo informado por los proveedores de seguridad. Va un paso más allá al introducir el "cómo" en forma de planes de emulación de adversario que agilizan tanto el diseño de modelos de amenazas como los recursos técnicos necesarios para probar esos modelos, es decir, emulando el comportamiento del adversario

Para escenarios en los que los SOC pueden no tener la capacidad de realizar estas pruebas por sí mismos, MITRE Corporation realiza evaluaciones anuales de los proveedores de seguridad y sus productos frente a un plan de emulación de adversarios cuidadosamente elaborado, y publica el resultados para consumo público. Las evaluaciones pueden ayudar a los equipos de SOC a evaluar tanto las preocupaciones estratégicas como la efectividad táctica para sus necesidades defensivas mientras exploran soluciones de mercado.

Este enfoque es transformador para la seguridad cibernética, proporciona una forma efectiva de evolucionar desde las limitaciones de depender únicamente de Centrado en el COI o impulsado por firmas modelos de defensa a tener ahora una capacidad impulsada por el comportamiento para que los SOC adapten sus objetivos estratégicos a resultados de seguridad realistas medidos a través de eficacia defensiva metas. Con un paradigma impulsado por el comportamiento, el énfasis está en el valor de visibilidad rodeando los eventos de una acción de detección o prevención tomada por un sensor de seguridad – esto coloca de manera efectiva el contexto como el recurso esencial que un defensor debe tener disponible para perseguir resultados procesables.

¡Fresco! Entonces, ¿de qué se trata todo esto de la "eficacia"?

Creo que para lograr resultados de seguridad significativos, nuestros productos (defensas) deben demostrar cuán efectivos son (eficacia) para habilitar o preservar la misión de seguridad que perseguimos en nuestras organizaciones. Por ejemplo, para ver la eficacia en un SOC, veámoslo como una base de 5 dimensiones:

Detección Brinda a los analistas de SOC una mayor capacidad de acción de eventos y eficiencias en el manejo de alertas con un enfoque en los comportamientos adversarios más prevalentes, es decir, ¡Abordemos la limitación de la fatiga por alerta!
Prevención Da confianza a los líderes / patrocinadores de SOC para mostrar la reducción del riesgo con un impacto / gravedad minimizados de incidentes con preocupaciones creíbles, por ejemplo, ransomware o amenazas destructivas.
Respuesta Brinda a los respondedores de SOC la capacidad de acortar el tiempo entre la detección y la activación de las acciones de respuesta relevantes, es decir, saber cuándo y cómo comenzar. contener, mitigar o erradicar.
Investigador Brinda a los gerentes de SOC la capacidad de mejorar la calidad y la velocidad de las investigaciones al correlacionar pistas de baja señal para el personal de TIER 1 y agilizar los procesos de escalamiento a recursos limitados pero avanzados.
Caza Permite a los cazadores de SOC la capacidad de rebobinar el reloj tanto como sea posible y expandir el descubrimiento a través de entornos para indicadores de alto valor derivados de eventos de seguridad anómalos.

Entonces, ¿cómo se relaciona la "eficacia" con mi SOC?

La eficacia en los niveles de seguridad y liderazgo técnico confirma cómo se espera que las inversiones de la cartera produzcan la postura defensiva de nuestra estrategia de seguridad, por ejemplo, compare sus inversiones hoy con cualquiera de las siguientes:

Estrategia (Inversión)

Enfoque de la cartera

Metas de eficacia

Seguridad equilibrada

Habilidad para:

  • Centrarse en los comportamientos prevalentes
  • Prevenga con confianza cadenas de ataque con impacto / gravedad relevante
  • Proporcionar accionabilidad de alerta
  • Aumentar la flexibilidad en los planes de respuesta según el tipo de alerta y la situación de impacto.

Advertencias:

  • Necesita un programa de pruebas de eficacia con planes de emulación de adversarios

Enfoque de detección

Habilidad para:

  • Centrarse en los comportamientos prevalentes
  • Proporcionar accionabilidad de alerta
  • Descubra indicadores de forma proactiva con la caza

Advertencias:

  • Requiere humanos
  • Madurez mínima en prevención
  • Requiere experiencia sólida en respuesta a incidentes
  • Difícil de escalar a fases proactivas debido a la madurez de la prevención

Enfoque de prevención

Habilidad para:

  • Prevenga con confianza cadenas de ataque con impacto / gravedad relevante
  • Planes de respuesta a incidentes ajustados
  • Proporcionar acciones de alerta y planes de monitoreo Lean

Advertencias:

  • Difícil de implementar en toda la empresa sin interrumpir la experiencia y la productividad del usuario
  • Normalmente para zonas de red reguladas o de baja tolerancia como sistemas PCI
  • Necesita un TCO elevado para la gestión de productos de prevención

Enfoque de respuesta

Habilidad para:

  • Responder de manera efectiva a diferentes escenarios identificados por productos o reportados al SOC

Advertencias:

  • Siempre reaccionando
  • Requiere humanos
  • Es difícil retener al personal de trabajo
  • Incapaz de detectar comportamientos prevalentes
  • Detección subdesarrollada
  • Prevención subdesarrollada

MITRE ATT & CK es importante, ya que presenta el sentido práctico que necesitan los profesionales de SOC para que puedan distinguir las cadenas de ataque frente a los eventos de seguridad a través de la visibilidad de los comportamientos más frecuentes.

En consecuencia, permite a los profesionales superar las limitaciones cruciales de la dependencia de modelos de defensa basados ​​en indicadores que sesgan los objetivos de eficacia realistas, maximizando así el valor de una inversión de cartera de valores.





Enlace a la noticia original