Ba lợi ích mà MITRE ATT&CK mang lại cho hệ thống bảo mật của doanh nghiệp

Không phải ngẫu nhiên mà MITRE ATT&CK lại được các tổ chức và doanh nghiệp đặc biệt quan tâm và chú ý: Nó là một hệ thống tiêu chuẩn bảo mật rất khách quan và khoa học mà nhờ nó các tổ chức và doanh nghiệp có thể đo lường được khả năng của hệ thống bảo mật của họ cũng như khả năng bảo vệ mà các giải pháp EDR cung cấp. Tuy nhiên, cho dù các doanh nghiệp có sử dụng MITRE ATT&CK để giúp tăng cường khả năng bảo vệ cho hệ thống, không phải lúc nào họ cũng có thể hiểu được làm cách nào để tận dụng MITRE ATT&CK một cách hiệu quả. Bài viết này sẽ chỉ ra các cách mà các tổ chức, doanh nghiệp có thể dùng tận dụng tối đa hệ thống tiêu chuẩn MITRE ATT&CK.

Quote Ganesh Pai 08022021

Về cơ bản, ATT&CK là viết tắt của Adversarial Tactics (các chiến thuật phá hoại), Techniques (các kỹ thuật phá hoại) và Common Knowledge (các hiểu biết thông thường). MITRE đã xây dựng các chiến thuật cho Enterprise, Cloud và Industrial Control System (ICS). Một cuộc thăm dò được thực hiện vào tháng 9 năm 2020 bởi UC Berkeley nhận thấy rằng 81% các tổ chức/doanh nghiệp được khảo sát thì áp dụng ít nhất một trong các ma trận ATT&CK vào hệ thống của mình – một con số rất ấn tượng cho một hệ thống tiêu chuẩn mới được giới thiệu vào năm 2015!

ATT&CK đã thay thế The Cyber Kill Chain của Lookheed Martin để trở thành tiêu chuẩn phòng thủ cho các hệ thống bảo mật để giúp ngăn chặn các cuộc tấn công mạng. Được xây dựng bằng cách quan sát và phỏng theo các cuộc tấn công trong thực tiễn, ATT&CK cung cấp những thông tin chi tiết và sâu sắc khi mô tả các kỹ thuật tấn công, cho phép đội đỏ (red team) dùng các hệ thống giả lập tấn công mô phỏng lại hành vi của một loạt các tổ chức tấn công mạng khác nhau (ví dụ họ có thể dùng ATT&CK Arsenal để mô phỏng tấn công).

ATT&CK đồng thời cũng mô tác các hành vi phá hoại mà kẻ tấn công có thể thực hiện sau khi chúng thành công thực hiện bước tấn công Lateral Movement (tấn công lây lan lân cận) – thứ bị bỏ qua bởi hệ thống Cyber Kill Chain. Điều này cho phép các tổ chức xây dựng khả năng phát hiện những kẻ tấn công đã thành công xuyên qua lớp tấn công vòng ngoài (Perimeter Security) và các mối đe dọa bên trong (Insider Threat), những kẻ đang sử dụng các thông tin đăng nhập hợp lệ để phá hoại hệ thống.

Với tất cả những lợi ích trên, chắc hẳn bạn đang rất nóng lòng muốn biết làm cách nào để ứng dụng ATT&CK vào tổ chức của bạn. Dưới đây là ba cách mà bạn có thể thực hiện để có thể tận dụng tối đa hệ thống tiêu chuẩn này.

Dùng ATT&CK để có những hiểu biết sâu sắc về các mối đe dọa bảo mật

Bạn có thể dùng ATT&CK để hiểu được cách mà hacker thường dùng để tấn công vào hệ thống của bạn. Lý do của điều này là vì ATT&CK được xây dựng dựa trên các tài liệu ghi chép lại các cuộc tấn công thực tế vào các hệ thống mạng, các kỹ thuật tấn công điển hình cũng như các mã độc, malware đều được liệt kê trong ATT&CK.

Với hệ thống ATT&CK, bạn có thể nắm được cách mà kẻ tấn công thực hiện để xâm nhập hệ thống, qua đó đưa ra các giải pháp để ngăn ngừa. Nói cách khác, hệ thống này giúp bạn vạch ra chiến lược phòng thủ hiệu quả nhất để phát hiện các mối đe dọa. Và nên nhớ rằng, Ưu tiên xử lý các mối đe dọa nguy hiểm nhất chính là chìa khóa thành công cho mọi hệ thống bảo mật, bởi vì các mối đe dọa nguy hiểm nhất có thể không phải là các mối đe dọa có hệ số CVSS (Common Vulnerability Scoring System) cao nhất mà là các mối đe dọa mà có khả năng lớn nhất bạn sẽ phải đối mặt trong thực tế.

Mỗi tổ chức/doanh nghiệp sẽ có một hồ sơ mối đe dọa (Threat Profile) của riêng mình. Hồ sơ này phụ thuộc vào loại dữ liệu mà họ cần bảo vệ, luật lệ trong ngành kinh doanh của họ và những tổ chức tin tặc nào nhắm đến doanh nghiệp của họ.

Đánh giá khả năng bảo vệ của các sản phẩm bảo mật

Một khi bạn đã biết được mình cần phải phát hiện ra những kỹ thuật tấn công nào trong ATT&CK, bạn sẽ cần tìm cho mình một giải pháp bảo mật phù hợp. Một điều cần lưu ý: Một giải pháp bảo mật thường sẽ không giúp bạn chống lại mọi mối đe dọa. Và bạn cần phải quyết định xem liệu mình có nên tìm kiếm thêm các giải pháp bảo mật khác bổ xung không hay bản thân bạn có thể tự xử lý các mối đe dọa mà giải pháp bảo mật hiện có chưa ngăn chặn được.

MITRE giúp bạn có thể dễ dàng đánh giá được khả năng của các giải pháp bảo mật nhờ vào việc đánh giá hàng năm (annual evaluation). Mỗi năm, MITRE lại đề nghị các công ty chuyên về giải pháp EDR tham dự các bài kiểm tra về sản phẩm của họ. Mỗi năm, một nhóm tin tặc khác nhau sẽ được lựa chọn để làm tiêu chuẩn đánh giá:

  • Vào năm 2018, nhóm tin tặc APT3 – nhóm tin tặc được cho là do cục an ninh mạng quốc gia Trung Quốc tài trợ – được chọn là tiêu chuẩn đánh giá và các phương thức tấn công của nhóm này được mô phỏng trong những bài test.
  • Vào năm 2019, nhóm tin tặc APT29 – nhóm tin tặc được cho là được tài trợ bởi chính phủ Nga – được chọn là tiêu chuẩn đánh giá và các phương thức tấn công của nhóm này được mô phỏng trong những bài test.
  • Năm 2020, Carbanak và FIN7 – hai nhóm tin tặc chuyên nhắm vào các tổ chức tài chính và các hệ thống bán lẻ – được chọn là tiêu chuẩn đánh giá và các phương thức tấn công của nhóm này được mô phỏng trong những bài test.

Nhờ vào ATT&CK, các tổ chức, doanh nghiệp giờ đây có thể đánh giá được khả năng bảo mật của các sản phẩm EDR. Các bài test được thực hiện một cách khách quan và khoa học, đảm bảo tính minh bạch và chính xác của chúng. 

Dùng ATT&CK để phát hiện ra các mối đe dọa bảo mật một cách dễ dàng hơn

ATT&CK có thể giúp bạn đẩy nhanh tốc độ phát hiện ra các nguy cơ bảo mật nhờ vào việc cung cấp những thông tin quan trọng liên quan đến một mối đe dọa nhất định. Bạn nên tìm kiếm một giải pháp bảo mật mà liên kết việc phát hiện mối đe dọa với các chiến thuật trong ATT&CK, điều này sẽ giúp các quản trị viên hệ thống có thể nhanh chóng trả lời các câu hỏi như “những hành vi nguy hại vừa phát hiện được liên quan như thế nào với nhau?” và ” độ nguy hiểm của chúng với hệ thống”

Thời gian chính là yếu tố quan trọng nhất đối với một quản trị viên trong việc phát hiện và ngăn chặn các mối đe dọa. Với việc cung cấp cho các quản trị viên những thông tin ngắn gọn, chính xác, các quản trị viên hệ thống có thể nhanh chóng xác định được độ tin cậy của một cảnh báo và đưa ra những đối sách phù hợp trong trường hợp cảnh báo là chính xác. Tốc độ trong việc xử lý các cảnh báo là vô cùng quan trọng bởi nó giúp các quản trị viên có thêm tự tin cũng như giảm thiểu tối đa thiệt hại mà các mã độc gây ra lên hệ thống.

Kết luận

Với việc MITRE ATT&CK đang ngày càng được các doanh nghiệp và tổ chức ứng dụng nhiều hơn, bạn cần hiểu cách để có thể tận dụng tối đa hệ thống này. Với ATT&CK, các chuyên gia bảo mật có thể nắm được các cách mà kẻ tấn công thường sử dụng để tấn công họ, các sản phẩm bảo mật phù hợp với họ cũng như đẩy nhanh tốc độ phát hiện các mối đe dọa.

Tham khảo:

Three ways MITRE ATT&CK can improve your organizational security

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *