MITRE Engenuity heeft de release aangekondigd van een nieuwe tool waarmee gebruikers van cyberbeveiliging hun eigen kennis en ervaringen kunnen toevoegen aan ATT&CK.
Jon Baker, de onderzoeksdirecteur van het Center for Threat-Informed Defense, schreef een blogpost over de tool – genaamd ATT&CK Workbench – waarin hij uitlegde dat het is gebouwd omdat geavanceerde gebruikers van MITRE ATT&CK “moeite hebben gehad om te integreren de lokale kennis van hun organisatie over tegenstanders en hun tactieken, technieken en procedures met de openbare ATT&CK-kennisbank.”
Richard Struse, directeur van het Center for Threat Informed Defense voor MITRE Engenuity, vertelde ZDNet het idee voor dit project kwamen voort uit gesprekken met organisaties die ATT&CK gebruiken als een manier om hun beveiligingshouding te organiseren.
“Sommigen van hen worstelden met het managen van twee verschillende opvattingen: de 'officiële' MITRE ATT&CK-kennisbank op basis van openbaar gerapporteerd gedrag van tegenstanders, en hun eigen interne kennis van tegenstanders en hun TTP's,” zei Struse.
“We zagen dat er veel tijd en moeite werd gestoken in het proberen om deze twee handmatig te integreren, en we waren van mening dat een oplossing die mensen een 'enkelvoudig deelvenster' gaf dat ze konden gebruiken om hun bedreigingsinformatie te beheren, een aanzienlijke positieve impact op de veiligheidsgemeenschap. Onze leden waren het daarmee eens en dit leidde tot de oprichting van dit R&D-project.”
Struse voegde toe dat het hebben van een modern, API-gestuurd platform voor het organiseren en beheren van alle TTP-gerelateerde informatie over bedreigingen het voor organisaties veel gemakkelijker zal maken om ATT&CK volledig in hun processen te integreren.
“ATT&CK Workbench heeft het potentieel om het gebruik van ATT&CK door beveiligingsprofessionals over de hele wereld fundamenteel te verbeteren en te versnellen”, aldus Struse.
De inspanning werd gesponsord door Microsoft, Verizon, JPMorgan Chase, AttackIQ en HCA Healthcare, oorspronkelijk begonnen als een onderzoeksproject. Baker zei dat Workbench een gebruiksvriendelijke open-sourcetool is waarmee organisaties hun eigen lokale versie van ATT&CK kunnen beheren en uitbreiden en deze gesynchroniseerd kunnen houden met de ATT&CK-kennisbank.
“Met Workbench kunnen gebruikers extensies van de ATT&CK-kennisbank verkennen, maken, annoteren en delen. Organisaties of individuen kunnen hun eigen exemplaren van de applicatie initialiseren om als middelpunt te dienen voor een aangepaste variant van de ATT&CK-kennisbank, het toevoegen van andere tools en interfaces naar wens”, schreef Baker.
“Via de Workbench kan deze lokale kennisbank worden uitgebreid met nieuwe of bijgewerkte technieken, tactieken, mitigatiegroepen en software. Bovendien biedt Workbench een gebruiker de mogelijkheid om zijn extensies te delen met de grotere ATT&CK-gemeenschap, wat een hoger niveau mogelijk maakt van samenwerking binnen de gemeenschap dan mogelijk is met de huidige tools.”
Baker voegde eraan toe dat als een organisatie ATT&CK gebruikt voor beveiligingsoperaties, bedreigingen tegen ATT&CK actief worden gevolgd of beveiligingsinvesteringen plant op basis van ATT& CK, dan wordt de Workbench-tool voorgesteld.
Het centrum was in staat om notities toe te voegen aan het Workbench-platform, waarmee gebruikers annotaties in hun exemplaar van ATT&CK kunnen plaatsen met betrekking tot matrices, technieken, tactieken, oplossingen, groepen en software .
Baker legde uit dat gegevens die binnen Workbench zijn gemaakt, kunnen worden opgenomen in bestaande ATT&CK-gegevens en dat nieuwe groepen of software kunnen worden gekoppeld aan bestaande technieken door middel van procedurevoorbeelden, of dat nieuwe subtechnieken kunnen worden gecreëerd onder bestaande ATT&CK-technieken.
Via Workbench kunnen gebruikers hun werk ook publiceren en delen met anderen die zich in een vergelijkbare situatie bevinden. Andere gebruikers kunnen zich dan abonneren op bepaalde verzamelingen notities in ATT&CK-gegevens.
Baker zei dat het centrum van plan is om in 2021 door te gaan met het toevoegen aan het platform en was benieuwd hoe gebruikers op de tool reageerden.
Naast Workbench heeft MITER een nieuw door de NSA gefinancierd project aangekondigd, D3FEND genaamd. In een verklaring zei de NSA dat D3FEND “een raamwerk is voor cyberbeveiligingsprofessionals om de verdediging tegen specifieke cyberbedreigingen aan te passen [en] nu beschikbaar is via MITRE.”
De NSA werkte samen met MITRE om de verdediging van de nationale veiligheidssystemen, het ministerie van Defensie en de industriële defensiebasis te versterken.
“De technische kennisbank van D3FEND met defensieve tegenmaatregelen voor veelvoorkomende offensieve technieken is een aanvulling op die van MITRE. ATT&CK, een kennisbank over het gedrag van cybercriminelen”, aldus de NSA in een verklaring.
“D3FEND stelt terminologie vast van verdedigingstechnieken voor computernetwerken en belicht voorheen niet-gespecificeerde relaties tussen defensieve en offensieve methoden. Dit raamwerk illustreert de complexe wisselwerking tussen computernetwerkarchitecturen, bedreigingen en cybertegenmaatregelen.”
MITRE voegde eraan toe dat het heeft D3FEND uitgebracht als aanvulling op het ATT&CK-framework en zei dat het een model biedt van verschillende manieren waarop organisaties offensieve technieken kunnen bestrijden.
De oprichting van D3FEND, volgens de NSA, zal helpen “een effectiever ontwerp, implementatie en verdediging van netwerksystemen te stimuleren.”
“Frameworks zoals ATT&CK en D3FEND bieden de industrie en de overheid missie-onafhankelijke tools om analyses uit te voeren en bevindingen te communiceren”, aldus de NSA-verklaring. “Of het nu gaat om het categoriseren van het gedrag van de tegenstander of om te beschrijven hoe defensieve capaciteiten bedreigingen verminderen, [deze] kaders bieden algemene beschrijvingen die het delen van informatie en operationele samenwerking mogelijk maken voor een steeds evoluerend cyberlandschap.”
ZDNet beveelt aan
De beste cyberbeveiligingscertificering: verdiep uw kennis
Cyberbeveiligingscertificeringen kunnen u helpen een voet tussen de deur te krijgen in wat snel een industrie is geworden met een grote vraag naar geschoold personeel. Hier leest u hoe u aan de slag gaat.
Lees meer
Verwante onderwerpen:
Digitale transformatie Beveiliging TV-gegevensbeheer CXO-datacenters 