The MITRE ATT&CK Framework is powerful if …
Auteur: Richard de Vries - Security Warrior | Author | Public speaker
Vertaald uit het Engels van: www.tales-from-a-security-professional.com/the-mitre-attck-framework-is-powerfull-if
The MITRE ATT&CK Framework is powerful if …
Bij het beheren van een Security Operation Center (SOC) wordt vaak gevraagd hoeveel MITRE ATT&CK-tactieken en -technieken je hebt gedekt. Op het eerste gezicht lijkt dit eenvoudig, maar het antwoord is complexer. Het MITRE ATT&CK-framework is een uitgebreide kennisbank van vijandelijke tactieken, technieken en cyberaanvalprocedures. Het biedt een ongelooflijk waardevolle bron voor dreigingsdetectie, respons en mitigatie.
Wanneer je de MITRE ATT&CK-website bezoekt, word je geconfronteerd met een uitgebreid dashboard dat alle tactieken en technieken toont. Meer dan een dozijn tactieken en honderden technieken zijn verspreid over verschillende platforms, en hun aantal kan overweldigend zijn. Niet alle tactieken en technieken in het ATT&CK-framework zijn van toepassing op jouw specifieke omgeving. Verschillende factoren bepalen welke subset van het framework relevant is voor jou, waaronder:
- Besturingssystemen: Het platform dat je beschermt (Windows, Linux, macOS, enz.) kan de technieken aanzienlijk beperken. Sommige technieken zijn uniek voor specifieke besturingssystemen, dus filteren op basis van de aanwezige besturingssystemen in jouw omgeving helpt je te focussen op wat echt relevant is.
- Netwerkinfrastructuur: De architectuur van het netwerk van je organisatie speelt ook een sleutelrol bij het definiëren van de toepasselijke tactieken en technieken. Bepaalde tactieken die zijn ontworpen voor cloudomgevingen zijn bijvoorbeeld mogelijk niet relevant voor een on-premise netwerk.
- Industrie en nalevingsvereisten: Afhankelijk van de sector waarin je organisatie opereert (bijv. financiën, gezondheidszorg), kunnen sommige technieken en nalevingsnormen voorrang hebben boven andere. Regelgevende kaders bepalen vaak op welke technieken je je moet concentreren.
- Dreigingslandschap: De technieken die het meest van toepassing zijn op je SOC hangen ook af van het huidige dreigingslandschap en de specifieke dreigingen waarmee je organisatie wordt geconfronteerd. Als ransomware-aanvallen bijvoorbeeld een veelvoorkomend probleem zijn, zou je waarschijnlijk prioriteit geven aan het detecteren van technieken die verband houden met gegevensversleuteling en privilege-escalatie.
In een on-premises omgeving die uitsluitend bestaat uit Linux-systemen en netwerkapparaten, kun je uitdagingen tegenkomen bij het gebruik van bestaande MITRE ATT&CK Enterprise framework-dashboards voor beveiligingsmonitoring. Het probleem is dat de meeste vooraf gebouwde dashboards zijn ontworpen om een breed scala aan besturingssystemen, platforms en apparaten te dekken. Deze bevatten vaak technieken die niet relevant zijn voor jouw specifieke omgeving, wat leidt tot “ruis” en onnodige complexiteit. In dit scenario heb je twee veelvoorkomende keuzes:
- Gescheiden dashboards voor Linux en netwerkapparaten: Je kunt twee verschillende dashboards gebruiken, één gericht op Linux en een ander voor netwerkapparaten. Dit betekent echter dat je meerdere interfaces moet beheren en schakelen, wat de zichtbaarheid kan fragmenteren en de operationele overhead kan vergroten.
- Enterprise-dashboard: Deze optie dekt een breed scala aan systemen, waaronder Windows, macOS, cloudservices en andere platforms die niet in jouw omgeving bestaan. Hoewel uitgebreid, bevat het tal van tactieken en technieken die niet van toepassing zijn op Linux of netwerkapparaten, wat leidt tot rommel en het moeilijker maakt om je te concentreren op de meest kritieke problemen.
Ik gebruik twee verschillende versies van beveiligingsdashboards die zijn afgestemd op verschillende soorten gesprekken en belanghebbenden. Elke versie is geoptimaliseerd voor zijn publiek om duidelijkheid, relevantie en efficiëntie te waarborgen tijdens discussies over onze beveiligingspositie.
Beperkte versie voor ISO-gesprekken: Voor gesprekken met de Information Security Officer (ISO) gebruik ik een meer beperkte, gerichte versie van het beveiligingsdashboard. Deze versie is specifiek ontworpen om het specifieke gebied of domein van beveiliging aan te pakken waarvoor de ISO verantwoordelijk is, zoals een specifiek systeem (zoals Linux), netwerkapparaten of zelfs de infrastructuur van een specifieke bedrijfseenheid. Het doel is om afleiding te minimaliseren door alleen relevante technieken en tactieken te tonen die van toepassing zijn op het domein van de ISO. Door te focussen op deze beperkte versie:
- Precisie: Het gesprek wordt nauwkeuriger en we kunnen dieper ingaan op specifieke tactieken en technieken die relevant zijn voor hun gebied. We kunnen ook fijn afgestemde detectie-, responsmogelijkheden en mitigaties bespreken zonder overweldigd te worden door onnodige informatie.
- Actiegerichte inzichten: Deze versie benadrukt alleen die technieken die de ISO actief beheert of waar hij zich zorgen over maakt, waardoor we gerichte discussies kunnen voeren over kwetsbaarheden, risicobeperking of operationele verbeteringen. Het snijdt de ruis van technieken weg die niet van toepassing zijn op hun specifieke rol of de infrastructuur die ze beheren.
- Efficiënte gesprekken: De beperkte reikwijdte van dit dashboard helpt ons te focussen op actiegerichte inzichten. Het faciliteert snellere besluitvorming en meer betekenisvolle samenwerking omdat de informatie altijd direct relevant is voor hun zorgen.
Aangepaste generieke versie voor CISO-gesprekken: Daarentegen gebruik ik een meer generieke dashboardversie tijdens gesprekken met de Chief Information Security Officer (CISO). Deze versie is echter niet zomaar het standaard “enterprise” dashboard; het is een aangepaste versie die is afgestemd om een overzicht op hoog niveau te bieden en toch actiegericht te zijn.
Om het beheersbaar te maken, heb ik technieken die niet van toepassing zijn op onze specifieke omgeving grijs gemaakt. Dit stelt de CISO in staat zich te concentreren op het grotere geheel - de algehele beveiligingspositie, risicoblootstelling en het dreigingslandschap - zonder te worden overweldigd door irrelevante details. Hier is hoe de generieke maar aangepaste versie CISO-gesprekken verbetert:
- Strategische focus: De CISO is doorgaans meer bezig met strategisch toezicht en het bredere beveiligingslandschap. Door een dashboard te presenteren waarin niet-toepasselijke technieken grijs zijn gemaakt, zorgen we ervoor dat ze alleen zien wat relevant is voor onze systemen en infrastructuur, waardoor ze de risicoprofiel van de organisatie beter kunnen beoordelen.
- Visuele eenvoud: Het grijs maken van irrelevante technieken voegt een laag visuele duidelijkheid toe. De CISO kan onmiddellijk onderscheid maken tussen kritieke gebieden voor onze omgeving en die welke kunnen worden gedeprioriteerd, waardoor het beheer van bedrijfsbrede risico’s effectiever wordt.
- Aangepast aan onze omgeving: Hoewel dit dashboard een breder perspectief biedt, zorgt de aanpassing ervoor dat het nog steeds de realiteit van onze infrastructuur weerspiegelt. Terwijl een generiek enterprise-dashboard bijvoorbeeld technieken kan bevatten die verband houden met Windows- of cloudomgevingen, worden die technieken in deze versie visueel geminimaliseerd als ze niet op ons van toepassing zijn, waardoor de focus blijft op relevante risico’s en mitigatiestrategieën.
- Gebalanceerde diepte en breedte: Hoewel deze versie een breder spectrum van beveiligingstechnieken en -tactieken kan dekken, helpt de aanpassing om een balans te vinden tussen zichtbaarheid op hoog niveau en relevante operationele details. Dit stelt ons in staat om een gesprek te voeren dat alles raakt, van risicotrends tot meer specifieke operationele zorgen - zonder te verdrinken in irrelevante details.
Waarom dashboards aanpassen op basis van belanghebbenden? Het gebruik van twee verschillende dashboardversies die zijn afgestemd op verschillende rollen (ISO en CISO) verbetert de communicatie op verschillende manieren:
- Relevantie voor het publiek: Elke belanghebbende (ISO of CISO) heeft een andere verantwoordelijkheid en een unieke focus binnen het beveiligingskader van de organisatie. Het dashboard moet hun behoeften weerspiegelen, zodat ze direct kunnen omgaan met de informatie die relevant is voor hun rol.
- Verbeterde duidelijkheid: Door irrelevante informatie grijs te maken of te verwijderen, worden de dashboards gemakkelijker te interpreteren. Wanneer irrelevante details worden geminimaliseerd, verlopen zowel technische als strategische discussies soepeler.
- Efficiëntie in besluitvorming: Wanneer de dashboards zijn afgestemd op hun publiek, kunnen gesprekken sneller overgaan van informatieverzameling naar besluitvorming. ISO’s kunnen operationele taken uitvoeren, en de CISO kan beter middelen toewijzen of strategieën aanpassen op basis van een duidelijk, beknopt beeld van de beveiligingspositie van de organisatie.
- Aangepaste risicodiscussies: De ISO richt zich op operationele risico’s in zijn domein, zoals systeemmisconfiguraties of patching-gaten. De CISO bespreekt bredere organisatorische risico’s, zoals naleving, algemene dreigingsvectoren en strategisch risicobeheer. Aangepaste dashboards bieden precies de juiste gegevens om deze genuanceerde gesprekken te voeren.
- Actiegericht rapporteren: Aan het einde van deze discussies zullen ISO’s waarschijnlijk duidelijke operationele taken hebben. Tegelijkertijd moet de CISO mogelijk afstemmen op beveiligingsinvesteringen op hoog niveau of risicobeperkingstrategieën prioriteren in de hele onderneming. Het hebben van dashboards die aansluiten bij deze uitkomsten leidt tot productievere vergaderingen.
De meeste SOC’s passen een zelfgemaakte versie van het MITRE ATT&CK-framework toe omdat het meer flexibiliteit biedt en gemakkelijker te integreren is in verschillende rapportage- en monitoringworkflows. Hoewel het MITRE ATT&CK-framework uitgebreid is, biedt een aangepaste versie die is afgestemd op de specifieke omgeving en het dreigingsland.