Az elmúlt évtizedekben számos különböző, egyre kifinomultabb módszerrel próbálkoztak a kiberbűnözők, ám a céljaik nem sokat változtak: vagy el akarnak lopni valami értékeset, vagy manipulálni, esetleg törölni akarják a céges adatokat, vagy meg akarják zavarni a szervezetek működését.
Találékonyságból csillagos ötös
A rosszindulatú tevékenységekhez pedig számos különféle technikát és taktikát vetnek be, amelyeket mindig az aktuális trendekhez, illetve változó felhasználói szokásokhoz alkalmazkodva finomítanak és alakítanak, folyamatosan törekedve az egyre hatékonyabbá váló védelmi mechanizmusok megkerülésére.
(Kép: depositphotos.com)
Módszereikhez tartozik például, hogy információkat gyűjtenek az infrastruktúrákról, és kritikus fontosságú rendszereket törnek fel. Kihasználva a felhasználók naivitását, hozzáférési adatokat lopnak el, és kiemelt fiókok jogosultságaival élnek vissza. Képesek egyetlen kiskapun keresztül beszivárogni a cég teljes infrastruktúrájába, és átvenni az irányítást az áldozataik rendszerei felett. Adatokat szivárogtatnak ki vagy ejtenek túszul, hogy aztán óriási összegeket követeljenek értük – természetesen mindenféle biztosíték nélkül arra vonatkozóan, hogy valóban vissza is adják a felügyeletet az érzékeny információk felett, és nem élnek vissza velük a fizetés után. Mindemellett pedig különféle rafinált technikákat vetnek be, hogy megkerüljék az elhárításukat célzó megoldásokat.
Támadási kisokos a védekezéshez
A módszerek és fenyegetések száma tehát végtelen. A szervezetek számára pedig egyre nagyobb terhet jelent, hogy mindegyik típusú veszélyforrással foglalkozzanak. A biztonsági információ- és eseménykezelő rendszerek nagy segítséget nyújtanak, de önmagukban nem elegendőek minden esetben, és nem kínálnak átfogó receptet a cégeknek ahhoz, hogyan azonosítsák a különféle módszereket alkalmazó rosszindulatú támadókat minden felületen.
A MITRE ATT&CK keretrendszer viszont segít felmérni, mennyire hatékony a szervezet védekezési és detektálási stratégiája, illetve az infrastruktúrában alkalmazott biztonsági megoldások. Az eszköz egy rendszeresen frissített, szabadon és világszerte elérhető tudásbázison alapul, amely a való életben alkalmazott betörési taktikákat és technikákat tartalmazza. Széles körben használják a kormányzati és a privát szektorban is, mivel segítségével azonosíthatók a hiányosságok a védelemben, az átláthatóságban és a folyamatokban.
A keretrendszer közös szótárt és közös nyelvet biztosít a szervezetek biztonsági csapatai számára, amelyre hivatkozva kezelhetik a kiberfenyegetéseket és az ellenük alkalmazható védekezési stratégiákat. Emellett a megoldás olyankor is hasznos lehet, amikor egy harmadik féltől származó biztonsági megoldás bevezetését tervezik a szervezetnél.
Automatizált ellenőrzés
A keretrendszer katalogizálja a támadási módszereket és eszközöket, így átfogó képet nyújt a különféle típusú fenyegetésekről. Ennek köszönhetően az IT-biztonsági szakemberek naprakészen és pontosan látják, milyen jellegű módszerekkel támadnak a kiberbűnözők a leggyakrabban.
Természetesen a lista hosszú és összetett, tehát tetemes munkával jár, ha a szakértők egyesével kezdik el felderíteni, hogy védett-e a vállalatuk az adott támadási módszerekkel szemben. Ilyen esetben nyújt hasznos segítséget, hogy a Micro Focus biztonsági információ- és eseménykezelő megoldása, az ArcSight képes együttműködni a keretrendszerrel. A szoftver beépített MITRE ATT&CK vezérlőpultot tartalmaz, amelyen keresztül a cégek egyszerűen ellenőrizhetik, hogy melyik típusú fenyegetéssel szemben rendelkeznek megfelelő védelemmel, és mely területeken van még szükség fejlesztésre.
