MITRE Att&ck - Processen för en cyberattack

En kontinuerlig utveckling av MITRE Att&ck-ramverket

Cyberbrottslingar tar olika tillvägagångssätt beroende på målet för attacken. De använder till exempel olika taktiker, tekniker och procedurer (TTP) för att kompromettera företagssystem än när de attackerar industriella styrsystem eller mobila enheter. MITRE erbjuder olika matriser för att passa de olika miljöerna. MITRE initierade utvecklingen av ATT&CK-ramverket2013 för att hjälpa ingenjörsteam att implementera robust cybersäkerhet genom att studera attackvektorer. MITRE ATT&CK-ramverket möjliggör utbyte av attackbeteende över alla attacklivscykler och ger en gemensam taxonomi för att analysera och undersöka cyberhot.

I den här artikeln kommer vi att lära känna MITRE ATT & CK i detalj och diskutera MITRE-attackvektorer, cyberdödkedjan och rollen som privilegierad åtkomsthantering.

Vad är MITRE ATT&CK Framework?

MITRE ATT&CK-ramverket är ett nav under ständig utveckling, en kuraterad kunskapsbas och modell för angripares beteende som återspeglar olika stadier av en cyberattacks livscykel på målplattformar. ATT&CK står för Adversarial Tactics, Techniques, and Common Knowledge. Den taktiska och tekniska abstraktionen i ramverket ger en gemensam taxonomi för fiendens handlingar som förstås av de offensiva, attackerande och defensiva, attackerade sidorna av cybersäkerhet. Dessutom ger ramverket en lämplig kategoriseringsnivå för cyberattacker och specifika sätt att mildra dem.

MITRE ATT&CK-ramverket är en erkänd auktoritet för att förstå taktik, beteenden och tekniker som angripare använder mot organisationer. Ramverket är ett standardförfarande för att dokumentera vanliga skadliga cyberattacker, tekniker och förfaranden som används, med stöd av praktisk erfarenhet. Informationen om en cyberattack kan användas av incidenthanteringsteam och IT-avdelningar för att proaktivt eller efter att en cyberattack har inträffat, prioritera områden som måste åtgärdas först och för att upptäcka luckor i säkerhetsprocesser, kontroller och verktyg.

MITRE-ramverket kan användas som grund för att upptäcka sårbarheter och bygga skydd mot specifika cyberkriminella hot.

  • Taktik
    En angripares taktik är ett specifikt tekniskt mål som en brottsling avser att uppnå, till exempel ett defensivt intrång, lateral rörelse eller exfiltrering av data. MITRE ATT&CK-ramverket består av 11 taktiker som beskriver angriparnas beteende. På ATT&CK är vikten av säkerhetstäckning lika viktad för varje taktik.
  • Tekniker
    Varje taktik involverar en mängd olika tekniker. Detta är i grunden hur en brottsling uppnår ett mål och de åtgärder de vidtar för infiltration. Varje teknik består av en beskrivning av metoden, de plattformar som används och de system som den hänför sig till, de motsatta grupperna som använder den och sätten att mildra aktiviteten.
  • Procedur
    Procedurerna i MITRE-ramverket är specifika steg som en angripare vidtar för att köra och implementera en teknik.

MITRE ATT&CK-taktik

Attackmatrisen kategoriserar de olika taktiker som brottslingar använder i olika stadier. Följande är en lista över några av de taktiker som en angripare använder under hela attackcykeln.

  • Spaning – Upplysningen.
    Detta är det första steget där angriparen samlar in information för att underlätta sina attacker. Några vanliga exempel på en attack är aktiv genomsökning, nätfiske eller riktad insamling av information om det potentiella offret.
  • Resursutveckling – Påfyllningen.
    Brottslingen har byggt upp de färdigheter och resurser som behövs för att utföra en cyberattack. Tekniker inkluderar att kompromissa med konton, förvärva infrastruktur och utveckla färdigheter.
  • Jagnitial tillgång - Det första steget.
    Det första försöket av en brottsling att komma åt ett IT-nätverk. Tekniker inkluderar spear phishing, drive-by kompromiss och utnyttja svaga lösenord och externa fjärrtjänster.
  • Execution - Genomförandet.
    Angriparen kör skadlig kod i målnätverket. Detta kan göras genom att kompromissa med inbyggda skriptmiljöer och tolkar för att köra kod för datastöld och nätverksutforskning.
  • Uthållighet - Fixeringen.
    Brottslingen försöker få fotfäste och undvika defensiva försök. De använder tekniker som att manipulera konton och ändra SSH-autentiseringsnycklar.
  • Privilege eskalering - Övertagandet.
    Hackaren har fått tillgång till förhöjda behörigheter i nätverket. Tekniker inkluderar portlyssning, cachelagring av sudo och förbikoppling av användaråtkomstkontroll.
  • Försvarsflykt.
    Brottslingen kringgår sin egen upptäckt genom att inaktivera säkerhetssystem och skript. Tekniker som används inkluderar körning på högre nivå, tokenpersonifiering och missbruk av höjdkontrollmekanismer.
  • Åtkomst till autentiseringsuppgifter – Den nya identiteten.
    Angriparen stjäl autentiseringsuppgifterna för konton. Tekniker inkluderar keylogging, lösenordssprickning och brute force.
  • Upptäckt - Upptäckten.
    Brottslingen genomsöker nätverket och förstår ingångspunkterna samt motsvarande omgivande nätverksmiljö.
  • Lateral rörelse - Spionering.
    Brottslingen rör sig i sidled genom nätverksmiljön. Tekniker inkluderar fjärrtjänstutnyttjande, internt spjutfiske och SSH-kapning.
  • Insamling – Insamling av data.
    Angriparen samlar in information och resurser som krävs för att exfoliera data.
  • Exfiltrering – Datautflödet.
    Angriparen exfiltrerar data från det komprometterade nätverket. Tekniker inkluderar automatisk exfiltrering och exfiltrering via webbservrar.
  • Påverkan – Effekten.
    Livscykeln slutar med manipulering eller förstörelse av komprometterade system, nätverk, data och konton. Tekniker inkluderar att ta bort kontoåtkomst, kryptera och manipulera data, denial-of-service-attacker och kapa resurser.

Hur hjälper en PAM-lösning (Privileged Access Management) till att skydda mot MITRE ATT&CK-vektorer?

Angripare går ofta in i och utforskar ett nätverk med obehörig åtkomst, men kräver förhöjda privilegier för att uppnå sina mål. Att öka dessa privilegier består av tekniker som brottslingar använder för att få förhöjda privilegier i ett nätverk eller system. Vanliga metoder är utnyttjande av systemsvagheter, säkerhetsluckor och felkonfigurationer. Privileged Access Management (PAM) hjälper organisationer att skydda sina program och sin infrastruktur och upprätthålla konfidentialiteten för kritisk infrastruktur och känsliga data.

Vet hela tiden vem som gjorde vad och när.

Företag implementerar en PAM-lösning för att skydda sig mot dataläckor, systemintrång, infiltration och hot från stöld av åtkomstdata. Principen om minsta behörighet anses vara den bästa cybersäkerhetspraxisen för att skydda mot cyberattacker, inklusive registrering av laterala rörelser, förnekande av förhöjda privilegier och administratörsövertaganden.

VISULOX – PAM från den ledande tyska tillverkaren

Med AMITEGOS VISULOX kan IT-säkerhetsteam säkra åtkomst till privilegierade konton i tid genom att tillämpa multifaktorautentisering och konfigurera åtkomstprinciper baserat på plats, tid, användarroll och andra definierbara faktorer. Detta säkerställer att åtkomst endast beviljas behöriga användare och endast när det krävs omedelbart. VISULOX möjliggör samarbete för både interna och externa användare utan att kompromissa med säkerheten, med revisioner som säkerställer en sann fyrögonsprincip .

Säkerhetsteam kan också enkelt och fjärrövervaka all åtkomst på administrativ nivå till kritiska IT-program och OT-komponenter från en central instrumentpanel. Lösningens sessionsinspelningsfunktioner gör det möjligt för säkerhetsteam att spela in användaraktivitet under privilegierade sessioner och logga vem som har auktoriserat varje privilegierad session. Dessa poster kan sedan användas för att skapa robusta granskningsspår och tillhandahålla kriminaltekniska bevis på riskabelt beteende. Alla granskningsdata säkerhetskopieras automatiskt för att skapa ytterligare ett säkerhetslager och säkerställa efterlevnad av strikta dataskyddsbestämmelser.

amitego är en global cybersäkerhetsleverantör som specialiserat sig på identitets- och åtkomstsäkerhet, fjärranvändarkontroll och säker dataöverföringsteknik. VISULOX är amitegos lösning för hantering av privilegierad åtkomst. VISULOX är utformat för att hjälpa företag runt om i världen att säkra och övervaka all åtkomst till kritiska affärssystem. VISULOX minskar risken för kompromettering av privilegierade konton och skyddar privilegierade autentiseringsuppgifter från stöld av externa och interna hotaktörer.

Vi har ännu fler ämnen som vi gillar att skriva om.

Cookie-samtycke med riktig cookie-banner