Simulasi ATT & AMP; CK terbaru menangani pertahanan cloud

Pada tahun 2025, sebuah perusahaan fintech internasional akan menghadapi serangan melalui infrastruktur cloud hybrid oleh beberapa operator cyber paling canggih di Internet, menargetkan instance direktori aktif perusahaan, profil LinkedIn karyawan, dan repositori kode bersama untuk melanjutkan kompromi mereka.

Prediksi? Tidak cukup.

Itu skenario adalah premis dari Tes Evaluasi Att & CK Mitre terbaru, sebuah tantangan penilaian tahunan yang mengadu domba cybersecurity terhadap teknik dan taktik aktor ancaman cyber terbaru. Untuk vendor, latihan-yang dilakukan oleh mitra kontraktor pemerintah-memungkinkan mereka untuk menguji kemampuan deteksi, perlindungan, dan respons mereka dalam skenario dunia nyata untuk melihat apa yang dapat ditingkatkan. Untuk profesional keamanan siber, hasil penilaian dapat membantu mereka menentukan apakah mereka siap untuk bertahan melawan serangan canggih.

Sementara beberapa vendor menggembar -gemborkan peringkat deteksi mereka dalam evaluasi, intinya lebih sedikit tentang nilai untuk perangkat lunak keamanan dan lebih banyak tentang meningkatkan pertahanan perusahaan dan produk vendor, kata Lex Crumpton, insinyur keamanan siber utama di MITER.

“Evaluasi ATT & CK lebih merupakan upaya kolaborasi musuh, tim-tim, jika Anda mau-kami menilai alat vendor di lingkungan yang kami bangun di rumah,” katanya. “Mereka tidak tahu teknik mana yang akan kita pilih, atau apa yang tidak akan kita pilih, berdasarkan dari teknik dan dokumen lingkup itu.”

Kerangka kerja mitra & ck terkenal sebagai taksonomi taktik dan teknik Digunakan oleh cyberattackers, tetapi setiap tahun Miter juga melakukan pengujian produk keamanan terhadap ancaman terbaru yang menargetkan organisasi. Pada tahun 2024, misalnya, latihan ini meniru serangan oleh kelompok Lockbit Ransomware-as-a-Service, geng ransomware CL0P, dan kelompok ancaman yang disponsori negara Korea Utara, yang biasanya menggunakan ransomware untuk mendanai tujuan nasional.

Berbagai serangan ransomware ditiru di lingkungan pengujian, termasuk mereka yang menargetkan Windows dan MacOS, kata Mitter Pernyataan Desember 2024.

Untuk tahun 2025, salah satu bagian dari evaluasi-yang dikenal sebagai evaluasi layanan terkelola-akan fokus pada “serangan berbasis cloud, strategi respons/penahanan, dan analisis pasca-insiden,” menurut Garis besar skenario organisasi.

Perusahaan dapat menggunakan evaluasi ATT & CK dalam dua cara, kata Greg Young, wakil presiden keamanan siber di Trend Micro, yang berpartisipasi dalam evaluasi 2024 bersama dengan 18 perusahaan lain.

“Untuk [a company’s] Keputusan pembelian, ini adalah salah satu jenis input data – seharusnya bukan satu -satunya input data karena pengujian untuk mitra sangat sempit terhadap beberapa teknik dan taktik, “katanya.” Untuk bagian kedua, tes tersebut [can inform] Pusat Ops Keamanan Perusahaan sendiri dan perilaku tim merah mereka sendiri – melihatnya dan berkata, 'Yah, apa yang digunakan musuh hari ini?' “

Mengembangkan musuh yang lebih realistis

Evaluasi ATT & CK menggunakan pengamatan keamanan siber dan pelaporan ancaman dari analis di seluruh dunia, dikumpulkan dari kedua tim intelijen ancaman cyber in-house mitra dan dari komunitas CTI pada umumnya. Grup mengumpulkan informasi tentang serangan dan memilih musuh untuk evaluasi. Tim pengembangan merah menciptakan serangkaian alat untuk meniru teknik saat ini yang digunakan oleh musuh terpilih, sementara tim deteksi – tim biru – menegaskan apakah pendekatan tersebut sah dalam hal evaluasi.

Mitre melakukan dua putaran pengujian yang berbeda. Salah satunya adalah putaran layanan yang dikelola, di mana organisasi menciptakan lingkungan pengujian kotak hitam, tidak memberikan informasi tentang serangan terhadap vendor yang dievaluasi kecuali untuk kategori umum ancaman. Dalam putaran perusahaan, vendor diberi ruang lingkup teknis dan informasi potensial tentang musuh, seperti apakah mereka negara-bangsa, seperti Cina atau DPRK, atau menggunakan beberapa taktik lainnya.

Seperti banyak organisasi pengujian, Miter telah menghadapi beberapa pushback pada aspek -aspek skenario, kata Crumpton.

“Salah satu komentar terbesar yang kami miliki tahun ini adalah-karena kami membawa suara positif palsu [such as] Aktivitas Pengguna Jinak – Beberapa vendor berpendapat bahwa, 'Hei, ini bisa dianggap sebagai aktivitas jahat', “katanya.” Saya pikir salah satu kasus penggunaan jinak adalah melumpuhkan firewall. Seorang vendor berkata, 'Hei, Sys Admin dari perusahaan kami tidak akan pernah menonaktifkan firewall.' “

Evaluasi mendorong perbaikan

Vendor dinilai tentang kinerja mereka, tetapi fokusnya adalah memberikan informasi kepada vendor dan bisnis tentang bagaimana mereka dapat meningkatkan pertahanan mereka, kata Crumpton.

“Pada akhirnya, kami ada di sana untuk meningkatkan alat,” jelasnya. “Jika kami meniru musuh ini dan kami menemukan teknik ini yang tidak dapat dideteksi alat Anda, dapatkah kami membantu Anda meningkatkan alat Anda sehingga Anda sekarang dapat mendeteksi teknik itu? Itu adalah sesuatu yang saya pikir juga pelanggan atau komunitas harus melihat pada.”

Pembela dapat mengambil halaman dari evaluasi ATT & CK juga, membuat buku pedoman untuk mendeteksi dan melindungi terhadap ancaman yang diuji, kata Trend Micro's Young. Selama evaluasi ATT & CK, Aktivitas Log Miter dan Mengambil Tangkapan Tangkapan layarmemberi organisasi gambaran terperinci tentang serangan yang berlangsung dan memetakan langkah -langkah terhadap kerangka ATT & CK.

“Mengetahui bahwa musuh sekarang menggunakan teknik semacam ini – katakanlah, gerakan lateral semacam ini, atau mereka akan mengejar sumber daya semacam ini – itu sangat membantu untuk [a company] Merancang pertahanan mereka, “katanya.” Saya hampir berpikir ada lebih banyak nilai dalam melihat [ATT&CK] kerangka kerja dari evaluasi, tetapi itu tergantung pada tujuan Anda. “