Khung MITRE ATT&CK là một tài nguyên công nghệ quan trọng! MITRE ATT&CK giúp tổ chức/doanh nghiệp đánh giá các biện pháp bảo mật một cách có hệ thống trước những mối đe dọa tiềm ẩn mà tổ chức có thể gặp phải.Hiểu được những điểm yếu trong tình hình bảo mật an ninh mạng hiện tại của tổ chức là bước cần thiết trong quá trình bảo vệ tài sản số của toàn bộ tổ chức.
Vậy hãy cùng Mi2 JSC tìm hiểu một số trường hợp quan trọng cần ứng dụng khung MITRE ATT&CK khiến nó trở thành lựa chọn hấp dẫn trong kế hoạch bảo mật mạng dành cho các tổ chức/doanh nghiệp thuộc mọi quy mô.
Mô hình MITRE ATT&CK là gì?
MITRE ATT&CK – Adversarial Tactics, Techniques, and Common Knowledge là một khung làm việc được phát triển bởi tổ chức MITRE Corporation để mô tả các kỹ thuật, chiến thuật và kiến thức chung liên quan đến các cuộc tấn công của những thực thể độc hại (như hacker, malware, kẻ tấn công mạng) trong môi trường công nghệ thông tin của tổ chức/doanh nghiệp.
Cụ thể, ATT&CK mô tả các “tactics” (chiến thuật) mà kẻ tấn công có thể thực hiện, như kiểm soát từ xa, thực thi mã, đánh cắp thông tin, và nhiều hơn nữa. Mỗi chiến thuật được phân thành các “techniques” (kỹ thuật) cụ thể, ví dụ như sử dụng mã độc, phishing người dùng, khai thác lỗ hổng, v.v. Ngoài ra, ATT&CK cũng mô tả các “procedures” (thủ tục) chi tiết mà kẻ tấn công có thể sử dụng để thực hiện các kỹ thuật.
MITRE ATT&CK đã trở thành một công cụ hữu ích cho cả người quản lý an ninh thông tin và những người làm việc trong lĩnh vực phân tích an ninh mạng. Nó giúp họ hiểu rõ hơn về cách các thực thể độc hại có thể tấn công hệ thống. Từ đó giúp cải thiện các chiến lược ứng phó sự cố để phòng tránh và phát hiện xâm nhập. Hãy cùng Mi2 JSC khám phá một số trường hợp quan trọng có thể ứng dụng MITRE ATT&CK dưới đây.
Các trường hợp quan trọng cần sử dụng Mitre ATT&CK
1. Ứng dụng tình báo về mối đe dọa mạng
Trong bối cảnh mối đe dọa đang phát triển nhanh chóng ngày nay, đội bảo vệ không gian mạng liên tục tiếp nhận dữ liệu tình báo về mối đe dọa. Nếu tổ chức/doanh nghiệp không biết vì sao các biện pháp bảo mật của mình không thể ngăn chặn các cuộc tấn công dù đã áp dụng quy trình làm việc rõ ràng, thì có thể tổ chức chưa có một hệ thống khai thác thông tin tình báo về mối đe dọa và biến thông tin thành hành động phù hợp.
Khi đó, MITRE ATT&CK cho phép tổ chức tích hợp hiệu quả và ưu tiên xử lý những dữ liệu ấy. Thay vì bị choáng ngợp bởi núi thông tin tình báo về mối đe dọa, MITRE ATT&CK cho phép các nhà bảo vệ mạng lập sơ đồ chiến lược các chiến thuật và kỹ thuật của kẻ tấn công tiềm năng đối với rủi ro được xác định trong dữ liệu tình báo về mối đe dọa.
Phương pháp này cho phép đội bảo vệ mạng vượt ra ngoài chế độ phản ứng đối với các cảnh báo và sự cố ưu tiên cao. Có cái nhìn một cách chiến lược hơn về môi trường phòng thủ không gian mạng của tổ chức.
2. Thử nghiệm thâm nhập của Red Team
MITRE ATT&CK là một công cụ được sử dụng rộng rãi cung cấp ngôn ngữ và phân loại tiêu chuẩn cho thử nghiệm thâm nhập (Pen Test) của Red Team. Công cụ này đã trở nên phổ biến trong ngành an ninh mạng nhờ khả năng mang lại cách tiếp cận tốt để lựa chọn kỹ thuật Red Team sử dụng một cách nhất quán và có khả năng lặp lại cao.
Một trong những lợi ích chính của việc sử dụng MITRE ATT&CK là nó mô phỏng những kẻ tấn công trong thế giới thực, khiến nó trở thành công cụ lý tưởng để các Red Team xây dựng kế hoạch Pen Test chi tiết và chính xác.
Đọc thêm: Pen Test là gì?
3. Trường hợp sử dụng của Blue Team & SOC Team
Ngoài tính hữu ích của nó đối với Red Team, MITRE ATT&CK có thể mang lại những lợi ích có giá trị cho Blue Team và trung tâm điều hành an ninh. Bằng cách cho phép Blue Team đánh giá nhanh chóng và chính xác các cuộc tấn công đang diễn ra và phân loại các dấu hiệu mà họ quan sát được thành các loại kỹ thuật, MITRE ATT&CK có thể giúp xác định kẻ tấn công và ngăn chặn chuỗi tấn công trước khi nó đạt mục tiêu.
Điều quan trọng là cần có thời gian và không phải lúc nào cũng cần phải ngăn chặn chúng ngay từ đầu. Tuy nhiên, điều quan trọng là phải ngăn chặn trước khi chúng có thể lấy cắp dữ liệu hoặc gây thiệt hại cho các hoạt động mạng của tổ chức. Với MITRE ATT&CK, tổ chức có thể đạt được lợi thế trong việc xác định các động thái phản công tốt nhất trong thời gian thực, ngay cả trong một cuộc tấn công đang diễn ra.
4. Đánh giá nhà cung cấp
Một trường hợp sử dụng MITRE ATT&CK khác là trong lĩnh vực đánh giá nhà cung cấp. Bằng cách cho phép tổ chức đánh giá hợp lý và cẩn thận các nhà cung cấp và biện pháp kiểm soát bảo mật hiện tại của họ, MITRE ATT&CK cho phép đưa ra các quyết định sáng suốt trước khi triển khai các biện pháp kiểm soát bảo mật mới. Tuy nhiên, không phải tất cả các biện pháp kiểm soát bảo mật của tường lửa (fire wall) hoặc phát hiện và phản hồi điểm cuối (EDR) đều giống nhau.
5. Giải pháp giả lập tấn công (Breach & Attack Simulation – BAS)
BAS là một thị trường mới nổi tập trung vào các nền tảng phần mềm tự động hóa và vận hành khuôn khổ MITRE ATT&CK. Các tổ chức có thể thường xuyên kiểm tra môi trường sản xuất của họ bằng các cuộc tấn công mô phỏng bằng cách tự động hóa khung để xác định các lỗ hổng theo thời gian thực.
6. Triển khai phân tích hành vi
Malware signatures và các chỉ số gợi ý về việc bị xâm nhập (Indicators of Compromise – IoCs) đang trở nên kém hiệu quả hơn vì các tác nhân đe dọa mạng có thể dễ dàng sửa đổi phần mềm độc hại và các công cụ có thể khiến IoC hoạt động không hiệu quả. Sử dụng phân tích hành vi để xác định hành vi của kẻ tấn công là một cách tiếp cận đáng tin cậy hơn.
Các kỹ thuật MITRE ATT&CK mô tả cách có thể giải quyết được các cuộc tấn công mà không cần xác định một công cụ cụ thể, cho phép người bảo vệ xác định các cuộc tấn công và biết nguồn gốc của chúng dựa trên danh sách các tác nhân đe dọa đã biết bằng kỹ thuật đó.
7. Đánh giá mức độ trưởng thành của SOC
Việc phát hiện và ứng phó với các cuộc tấn công mạng là trách nhiệm của trung tâm điều hành an ninh (SOC). Dễ bị tấn công có thể xảy ra nếu SOC không thể phát hiện hoặc phản hồi một loại tấn công nhất định.
Trường hợp này, khung MITRE ATT&CK đóng một vai trò quan trọng bằng cách giúp đo lường sự trưởng thành và hiệu quả của SOC. Thử nghiệm các kỹ thuật trong khuôn khổ cho phép các tổ chức đánh giá hiệu quả của SOC và khả năng phòng thủ trước các mối đe dọa mạng có thể xảy ra.
8. Ưu tiên phát hiện mối đe dọa
Thông thường, ngay cả những đội có nguồn lực tốt cũng không thể chống lại toàn bộ các vectơ tấn công. MITRE ATT&CK có thể giúp các nhóm ưu tiên các nỗ lực phát hiện mối đe dọa của họ bằng cách cung cấp một kế hoạch chi tiết. Các nhóm có thể ưu tiên xác định các kỹ thuật duy nhất được sử dụng bởi một nhóm kẻ tấn công cụ thể hoặc tập trung vào các mối đe dọa xảy ra sớm hơn trong vòng đời tấn công.
9. Theo dõi nhóm kẻ tấn công
Để theo dõi các hành vi của các nhóm kẻ tấn công trong lĩnh vực, các tổ chức thường tập trung nỗ lực giám sát vào các hành vi đã biết. Khung ATT&CK phát triển liên tục để phù hợp với các mối đe dọa mới nổi và đang phát triển, giúp các tổ chức hiểu và giám sát hành vi/kỹ thuật được sử dụng bởi các nhóm hacker.
10. Mô phỏng kẻ tấn công
Trong quá trình kiểm tra thâm nhập, khả năng phục hồi của tổ chức trước các mối đe dọa mạng thực tế được kiểm tra. Việc mô phỏng hoạt động của các tác nhân đe dọa cụ thể có thể hữu ích và chuẩn bị các biện pháp phòng thủ chống lại các chiến thuật thường được sử dụng là rất quan trọng.
MITRE ATT&CK có thể hỗ trợ xác minh tính đầy đủ của hệ thống phòng thủ của tổ chức trước các mối đe dọa trong thế giới thực. Nó cung cấp thông tin về các vectơ tấn công tiềm năng và những đối thủ đã biết sử dụng chúng.
11. Đánh giá lỗ hổng phòng thủ
Để xác định các lỗ hổng tiềm ẩn trong hệ thống phòng thủ mạng của tổ chức mà kẻ tấn công có thể khai thác, một đánh giá lỗ hổng phòng thủ sẽ được tiến hành. Những khoảng trống như vậy có thể khó khám phá vì chúng liên quan đến việc tìm kiếm những gì không có ở hiện tại.
MITRE ATT&CK cung cấp danh sách đầy đủ các kỹ thuật được kẻ tấn công sử dụng ở mỗi giai đoạn của cuộc tấn công mạng. Khuôn khổ này có thể được sử dụng để tiến hành đánh giá lỗ hổng phòng thủ bằng cách đánh giá liệu một tổ chức có phòng thủ đầy đủ tại chỗ để phát hiện và ngăn chặn từng vectơ tấn công tiềm năng hay không.
Kết hợp Acalvio ShadowPlex với các kỹ thuật tấn công khác nhau trong MITRE ATT&CK
Acalvio ShadowPlex được thiết kế đặc biệt để phát hiện những kẻ tấn công cũng như các chiến thuật, kỹ thuật tiên tiến của chúng một cách chắc chắn tuyệt đối. Khi được kết hợp với các kỹ thuật của kẻ tấn công trong MITRE ATT&CK, công nghệ đánh lừa (Cyber Deception) sẽ phá vỡ các chuỗi tấn công và cung cấp khả năng phát hiện gần như hoàn hảo, ngay cả đối với các nỗ lực do thám. Cơ hội để những kẻ tấn công trốn tránh công nghệ đánh lừa là rất nhỏ, vì chúng có thể sẽ gặp phải nó ở tất cả các lượt trong chuỗi tấn công.
Với Acalvio ShadowPlex, các doanh nghiệp được trang bị công nghệ đánh lừa được tối ưu hóa và có cấu trúc tốt để bảo vệ chống lại các mối đe dọa tinh vi. Bằng cách tận dụng MITRE ATT&CK, bạn có thể sắp xếp các nỗ lực của mình một cách hợp lý hơn và hiểu rõ hơn về cách công nghệ đánh lừa có thể nâng cao khả năng phục hồi phòng thủ mạng.
Các câu hỏi thường gặp về MITRE Att&CK
1. Tại sao nhà phân tích SOC lại sử dụng khuôn khổ MITRE Att&CK?
Vì khuôn khổ MITRE ATT&CK là cơ sở kiến thức được tuyển chọn cho hành vi của kẻ thù, nên các nhà phân tích SOC có thể sử dụng nó như một hướng dẫn để phát triển, tổ chức và sử dụng chiến lược phòng thủ có thông tin về mối đe dọa cũng như tiến hành điều tra.
2. Tại sao MITRE Att&CK lại quan trọng?
Khuôn khổ MITRE ATT&CK (chiến thuật & kỹ thuật đối nghịch) rất quan trọng đối với các tổ chức đang đối mặt với mối đe dọa ngày càng tăng của các cuộc tấn công mạng. Nó cung cấp một khuôn khổ an ninh mạng toàn diện cho phép các tổ chức hiểu, ưu tiên và giảm thiểu rủi ro của các cuộc tấn công mạng, cung cấp hướng dẫn có giá trị về cách ngăn chặn và ứng phó với các mối đe dọa đó.
3. MITER ATT&CK có phải là thông tin tình báo về mối đe dọa không?
Vì thông tin tình báo về mối đe dọa là dữ liệu được thu thập và phân tích để hiểu động cơ, chiến thuật và kỹ thuật của kẻ thù, MITRE ATT&CK có thể được coi là thông tin tình báo về mối đe dọa, vì nó cũng chứa thông tin về chiến thuật và kỹ thuật mà các tác nhân đe dọa sử dụng để nhắm mục tiêu vào doanh nghiệp.
4. Những hạn chế của MITRE Att&ck là gì?
Khung này rất phức tạp và có thể yêu cầu chuyên môn chuyên sâu để sử dụng đầy đủ các tính năng của nó, đặc biệt là khi quy kết các tác nhân đe dọa. Ngoài ra, nó tập trung nhiều vào các công cụ và kỹ thuật mà kẻ tấn công sử dụng nhưng có thể không cung cấp đủ hướng dẫn về việc cải thiện tình hình bảo mật tổng thể và các phương pháp hay nhất để phòng thủ chủ động.
5. Khung MITRE dùng để làm gì?
Khung MITRE ATT&CK là kho lưu trữ các chiến thuật và kỹ thuật được sử dụng để giúp các tổ chức hiểu rõ hơn về tình trạng rủi ro của họ và xác định các lỗ hổng trong kiểm soát bảo mật mà kẻ tấn công có thể khai thác.
Nó được tạo ra để hỗ trợ những người săn mối đe dọa, người bảo vệ và đội đỏ trong việc phân loại các cuộc tấn công mạng, quy chung cho các tác nhân đe dọa cụ thể, xác định mục tiêu của chúng và đánh giá tình trạng rủi ro của một tổ chức.
6. MITER Att&ck có phải là một mô hình đe dọa không?
MITRE ATT&CK là một khung mô hình hóa mối đe dọa để hiểu và phân loại các chiến thuật, kỹ thuật và quy trình (TTPs) của đối thủ trong các cuộc tấn công mạng. Nó có thể được sử dụng để xây dựng một mô hình mối đe dọa toàn diện bằng cách xác định các tác nhân đe dọa tiềm ẩn và phương pháp của chúng.