Upozorenje se oglašava u 14:17.
Smatrate se srećnim što je ovo popodne, a ne ujutru. Ostavljate ono što radite, otvarate konzolu i počinjete da kopate.
Oh, značajan skok odlaznog saobraćaja sa Kubernetes čvora. Privilegovani servisni nalog se autentifikuje sa nepoznate IP adrese. Hmm, neki DNS zahtevi izgledaju… čudno, ali ne toliko čudno. Prelazite kroz kontrolne table, pratite izvor u svom SIEM-u, proveravate logove u oblaku, ispitujete podatke o identitetu, pa čak i povlačite logove kontejnera. Ništa definitivno. Nema potvrđenog kršenja. Ne pojavljuje se jasna priča.
Da li je to bilo pogrešno konfigurisano radno opterećenje? Programer koji testira skriptu za implementaciju? Legitiman posao automatizacije ili prvi korak bočnog kretanja od strane nekoga ko je već unutra? Indikatori se zamagljuju dok ne možete da razaznate da li ste uhvatili napad u toku ili još jedan lažno pozitivan rezultat u moru buke.
Dvadeset minuta kasnije, zatvarate tiket sa istom napomenom kao i prethodni: „Praćenje“.
Zamislite da to radite pedeset puta dnevno. Zaostatak raste kako se pretnje kreću kroz mrežu koristeći validne akreditive, mešajući se sa legitimnim aktivnostima, ostavljajući dvosmislene tragove. Mnogi bezbednosni timovi se suočavaju sa surovim realnošću: tradicionalni sistemi za detekciju hvataju poznate pretnje kao što su eksploatacije potpisa, anomalije i dokumentovani indikatori. Ali napadači sada imitiraju ponašanje korisnika, otimaju procese i okreću se dalje od pravila korelacije, preplavljujući upozorenja sa malo značajnih. Analitičari su preopterećeni jurenjem lažnih uzbuna dok stvarne pretnje ostaju neprimećene.
Bezbednost ne bi trebalo da se odnosi samo na zaustavljanje lošeg, već na razumevanje kako se loše zapravo dešava. Upoznajte MITRE ATT&CK okvir. Izgrađen na osnovu godina istraživanja pretnji iz stvarnog sveta, on nudi živu mapu kako protivnici funkcionišu, kreću se bočno i iskorišćavaju sisteme korak po korak. A kada se upari sa modernom analitičkom platformom, to razumevanje pretvara u delotvornu vidljivost pokazujući tačno gde je vaša odbrana jaka i, nasuprot tome, gde može biti slaba.
Ovaj članak objašnjava kako MITRE ATT&CK menja detekciju pretnji sa reaktivne na proaktivnu, kako moderne analitičke platforme podržavaju ovo i deli najbolje prakse za razvoj adaptivne logike detekcije.
Okvir ATT&CK
Većina bezbednosnih okvira počinje sa onim što je pošlo po zlu nakon što se dogodilo. MITRE ATT&CK počinje sa tim kako stvari uopšte krenu po zlu.
Korišćenje ATT&CK za bolje bezbednosne operacije
Prava snaga MITRE ATT&CK nije u njegovoj taksonomiji. U svojoj suštini, taksonomija ATT&CK je šema za suparničko ponašanje. Svaka taktika je poput faze u radnom procesu napadača, dok svaka tehnika opisuje specifičnu implementaciju tog koraka. To je struktura kako se napadi odvijaju, zasnovana na empirijskim dokazima iz stvarnih upada, a ne na teorijskim modelima. Ova taksonomija omogućava prelazak sa reaktivnog gašenja požara na proaktivnu odbranu.
Mnoge organizacije provode dane jureći upozorenja. Svako otkrivanje se tretira kao izolovani događaj umesto koraka u većoj naraciji. ATT&CK menja taj način razmišljanja. Mapiranjem aktivnosti na poznate suparničke taktike i tehnike, timovi počinju da razmišljaju kao napadači i time predviđaju šta sledi umesto da čekaju da im drugo upozorenje kaže.
Kada se kombinuje sa pravim alatom, ovaj način razmišljanja postaje operativan. Možete testirati hipoteze („Ako bi napadač dobio početni pristup putem fišinga, da li bismo videli njegovo bočno kretanje?“), validirati logiku otkrivanja i kontinuirano meriti poboljšanja tokom vremena. Ponovo, cilj nije prikupljanje više podataka same po sebi; već prikupljanje tačnih podataka i razumevanje šta vam oni govore u kontekstu.
Pošto se ATT&CK razvija zajedno sa protivnicima, vaša logika detekcije takođe može da raste. Nove tehnike se pojavljuju u okviru dok se posmatraju u praksi, dajući inženjerima prednost u ažuriranju pravila korelacije, kontrolnih tabli i priručnika za automatizaciju pre nego što se te taktike pojave u proizvodnim okruženjima.
Proaktivna bezbednost je proces, a ne stacionarno stanje. Sa ATT&CK kao vašim planom i pravim alatom kao vašim sočivom, vaš tim može da pređe sa reagovanja na upozorenja na predviđanje ponašanja napadača. To je razlika između toga da vas iznenadi kršenje bezbednosti i da li je to detektovano pre nego što postane.
MITRE ATT&CK je vaš plan
Bezbednost nije izgradnja viših zidova; već razumevanje kako se napadači kreću unutar njih. Sledeći put kada se upozorenje u 14:17 aktivira, ne mora da se završi sa „Praćenjem“. Okvir MITRE ATT&CK funkcioniše jer je zasnovan na načinu na koji stvarni protivnici razmišljaju i deluju.
Sa MITRE ATT&CK kao vašim planom i pravim alatom kao vašim sočivom, ti isti signali postaju kontekst, a ne haos. Znaćete koja su ponašanja važna, gde se nalaze vaše odbrambene mere i kako da ih ojačate pre nego što se napadači mogu prilagoditi. Zajedno, oni transformišu bezbednost od reaktivnog upravljanja bukom u ciklus kontinuiranog učenja i proaktivne odbrane, zbog čega ATT&CK nastavlja da radi u praksi, a ne samo u teoriji.