MITRE Engenuity hat die Veröffentlichung eines neuen Tools angekündigt, mit dem Cybersicherheitsbenutzer ihr eigenes Wissen und ihre Erfahrungen in ATT&CK einbringen können.
Jon Baker, der Forschungsdirektor des Center for Threat-Informed Defense, schrieb einen Blog-Beitrag über das Tool – genannt ATT&CK Workbench – und erklärte, dass es entwickelt wurde, weil erfahrene Benutzer von MITRE ATT&CK „gekämpft haben, sich zu integrieren“. das lokale Wissen ihrer Organisation über Gegner und ihre Taktiken, Techniken und Verfahren mit der öffentlichen ATT&CK-Wissensdatenbank.”
Richard Struse, Direktor des Center for Threat Informed Defense für MITRE Engenuity, sagte gegenüber ZDNet, die Idee zu diesem Projekt sei aus Gesprächen mit Organisationen entstanden, die ATT&CK nutzen, um ihre Sicherheitslage zu organisieren.
„Einige von ihnen hatten Schwierigkeiten, zwei verschiedene Ansichten zu verwalten: die ‚offizielle‘ MITRE ATT&CK-Wissensdatenbank, die auf öffentlich gemeldetem Gegnerverhalten basiert, und ihr eigenes internes Wissen über Gegner und ihre TTPs“, sagte Struse.
“Wir haben gesehen, dass viel Zeit und Mühe aufgewendet wurde, um diese beiden manuell zu integrieren, und wir waren der Meinung, dass eine Lösung, die den Benutzern einen 'Einzelbereich' bietet, mit dem sie ihre Aufgaben verwalten können Threat-Intel würde einen erheblichen positiven Einfluss auf die Sicherheits-Community haben. Unsere Mitglieder waren sich einig, und dies führte zur Gründung dieses F&E-Projekts.”
Struuse fügte hinzu, dass eine moderne, API-gesteuerte Plattform zum Organisieren und Verwalten aller gegnerischen TTP-bezogenen Bedrohungsinformationen es für Unternehmen viel einfacher machen wird, ATT&CK vollständig in ihre Prozesse zu integrieren.
“ATT&CK Workbench hat das Potenzial, den Einsatz von ATT&CK durch Sicherheitsexperten auf der ganzen Welt grundlegend zu verbessern und zu beschleunigen”, sagte Struse.
Die Bemühungen wurden von Microsoft, Verizon, JPMorgan Chase, AttackIQ und HCA Healthcare gesponsert und begannen ursprünglich als Forschungsprojekt. Baker sagte, dass Workbench ein einfach zu bedienendes Open-Source-Tool ist, das es Unternehmen ermöglicht, ihre eigene lokale Version von ATT&CK zu verwalten und zu erweitern und sie mit der ATT&CK-Wissensdatenbank zu synchronisieren.
“Workbench ermöglicht es Benutzern, Erweiterungen der ATT&CK-Wissensdatenbank zu erkunden, zu erstellen, zu kommentieren und freizugeben. Organisationen oder Einzelpersonen können ihre eigenen Instanzen der Anwendung initialisieren, um als Kernstück einer benutzerdefinierten Variante von zu dienen die ATT&CK-Wissensdatenbank und fügt nach Wunsch andere Tools und Schnittstellen hinzu”, schrieb Baker.
“Durch die Workbench kann diese lokale Wissensdatenbank mit neuen oder aktualisierten Techniken, Taktiken, Schadensbegrenzungsgruppen und Software erweitert werden. Darüber hinaus bietet Workbench einem Benutzer die Möglichkeit, seine Erweiterungen mit der größeren ATT&CK-Community zu teilen, was eine höhere Ebene ermöglicht der Zusammenarbeit innerhalb der Community, als dies mit aktuellen Tools möglich ist.”
Baker fügte hinzu, dass das Workbench-Tool empfohlen wird, wenn ein Unternehmen ATT&CK für Sicherheitsvorgänge einsetzt, Bedrohungen gegen ATT&CK aktiv verfolgt oder Sicherheitsinvestitionen auf der Grundlage von ATT&CK plant.
Das Center konnte der Workbench-Plattform eine Notizfunktion hinzufügen, die es Benutzern ermöglicht, Anmerkungen in Bezug auf Matrizen, Techniken, Taktiken, Abwehrmaßnahmen, Gruppen und Software in ihre Kopie von ATT&CK zu setzen .
Baker erklärte, dass in Workbench erstellte Daten in bestehende ATT&CK-Daten integriert werden könnten und neue Gruppen oder Software durch Verfahrensbeispiele mit bestehenden Techniken verbunden werden können oder neue Untertechniken unter bestehenden ATT&CK-Techniken erstellt werden können.
Über Workbench können Benutzer ihre Arbeit auch veröffentlichen und mit anderen teilen, die sich möglicherweise in einer ähnlichen Situation befinden. Andere Benutzer können dann bestimmte Sammlungen von Notizen in ATT&CK-Daten abonnieren.
Baker sagte, das Zentrum plant, die Plattform im Laufe des Jahres 2021 weiter zu erweitern, und war gespannt, wie die Benutzer auf das Tool reagieren.
Neben Workbench kündigte MITRE ein neues von der NSA finanziertes Projekt namens D3FEND an. In einer Erklärung sagte die NSA, dass D3FEND “ein Rahmen für Cybersicherheitsexperten ist, um Abwehrmaßnahmen gegen bestimmte Cyberbedrohungen anzupassen [und] jetzt über MITRE verfügbar ist”.
Die NSA arbeitete mit MITRE zusammen, um die Verteidigung der Nationalen Sicherheitssysteme, des Verteidigungsministeriums und der Verteidigungsindustriebasis zu stärken.
„Die technische Wissensdatenbank von D3FEND über Abwehrmaßnahmen für gängige Offensivtechniken ergänzt MITREs ATT&CK, eine Wissensdatenbank über das Verhalten von Cyber-Gegnern“, heißt es in einer Erklärung der NSA.
“D3FEND etabliert die Terminologie der Abwehrtechniken von Computernetzwerken und beleuchtet bisher nicht näher spezifizierte Beziehungen zwischen defensiven und offensiven Methoden. Dieses Framework veranschaulicht das komplexe Zusammenspiel zwischen Computernetzwerkarchitekturen, Bedrohungen und Cyber-Gegenmaßnahmen.”
MITRE fügte hinzu, dass es D3FEND als Ergänzung zum ATT&CK-Framework veröffentlicht und ein Modell für verschiedene Möglichkeiten bietet, wie Organisationen offensive Techniken bekämpfen können.
Die Schaffung von D3FEND wird laut der NSA dazu beitragen, “das Design, die Bereitstellung und die Verteidigung von vernetzten Systemen im Großen und Ganzen effektiver zu gestalten”.
„Frameworks wie ATT&CK und D3FEND bieten der Industrie und der Regierung missionsunabhängige Werkzeuge, um Analysen durchzuführen und Ergebnisse zu kommunizieren“, heißt es in der NSA-Erklärung. „Ob das Verhalten von Gegnern kategorisiert oder detailliert beschrieben wird, wie Abwehrkräfte Bedrohungen abwehren, [diese] Frameworks bieten allgemeine Beschreibungen, die den Informationsaustausch und die operative Zusammenarbeit für eine sich ständig weiterentwickelnde Cyberlandschaft ermöglichen.“
ZDNet empfiehlt
Die beste Cybersicherheitszertifizierung: Vertiefen Sie Ihr Wissen
Cybersicherheitszertifizierungen können Ihnen dabei helfen, einen Fuß in eine Branche zu bekommen, die sich schnell entwickelt hat mit hohem Fachkräftebedarf. So legen Sie los.
Weiterlesen
Verwandte Themen:
Digitale Transformation Sicherheit TV-Datenverwaltung CXO-Rechenzentren 