การปรับปรุงการรักษาความปลอดภัยทางไซเบอร์ในหน่วยงานของรัฐบาลกลางนั้นจำเป็นต้องอยู่ด้านบนสุดของภัยคุกคามใหม่และที่กำลังพัฒนา ขณะนี้ MITER Corporation มีทรัพยากรใหม่ที่เรียกว่า ATT&CK เพื่อสานต่อภารกิจดังกล่าวRichard Struse หัวหน้านักยุทธศาสตร์ของ Cyber Threat Intelligence ที่ MITER Corporation เรียก ATT&CK ว่าเป็น “สารานุกรมข้อมูล” เกี่ยวกับศัตรูทางไซเบอร์และเทคนิคในการเข้าสู่ระบบ
“และมันเป็นสิ่งที่เติบโตและวิวัฒนาการอย่างต่อเนื่องในขณะ
ที่ศัตรูเติบโตและวิวัฒนาการ จาก นั้นจึงเกิดขึ้นจากโครงการวิจัยภายในของ MITER” Struse กล่าวในFederal Monthly Insights — Strategic Threat Intelligence Month “เราใช้มันเพื่อแก้ปัญหาบางอย่างของเราเอง และเราเห็นว่ามันมีประโยชน์มากจริงๆ และตั้งแต่นั้นมา ตั้งแต่เราเผยแพร่ต่อสาธารณะ ผู้คนจำนวนมากก็ตัดสินใจว่ามันมีค่ามากที่จะมีความเข้าใจอย่างลึกซึ้งว่าฝ่ายตรงข้ามกำลังทำอะไรอยู่”
เว็บไซต์ของแหล่งข้อมูลอธิบายว่า ATT&CK นำข้อมูลที่เปิดเผยต่อสาธารณะเกี่ยวกับการค้าของฝ่ายตรงข้ามและจัดระเบียบในสองวิธี หนึ่งคือการระบุสิ่งที่ฝ่ายตรงข้ามพยายามบรรลุทางเทคนิค
“พวกเขากำลังพยายามเข้าสู่ระบบ พวกเขากำลังพยายามย้ายภายในเครือข่ายของคุณหรือไม่? พวกเขาพยายามยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็นผู้ดูแลระบบหรือไม่ เป็นต้น” เขากล่าวกับ Tom Temin ในFederal Drive “จากนั้นภายใต้แต่ละกลยุทธ์ที่เราเรียกมัน มีเทคนิคที่แตกต่างกันซึ่งแสดงถึงวิธีการต่างๆ ที่ฝ่ายตรงข้ามได้รับการบันทึกไว้ในที่สาธารณะเพื่อให้บรรลุเทคนิคเหล่านั้น”
Struse เน้นย้ำว่า MITER ไม่ได้ระบุแหล่งที่มาของฝ่ายตรงข้าม แต่อาศัยการรายงานต่อสาธารณะ จากจุดนั้น MITER จะดูแลและตรวจสอบการแสดงที่มาเหล่านั้น เขากล่าวว่าความแตกต่างนี้เป็นสิ่งที่ทำให้ ATT&CK เป็นที่นิยมทั้งภาครัฐและเอกชน
“ในขณะที่องค์กรอื่น ๆ และแน่นอนว่ารัฐบาลพูดในแง่ของการระบุแหล่ง
ที่มาและประเภทของเป้าหมายเชิงกลยุทธ์ของกลุ่มฝ่ายตรงข้าม ATT&CK ให้ความสำคัญกับประเภทของสิ่งที่ผู้ปกป้องเครือข่ายสามารถใช้ได้ การทำความเข้าใจวัตถุประสงค์ทางเทคนิคของฝ่ายตรงข้ามและวิธีการที่เฉพาะเจาะจง กลุ่มฝ่ายตรงข้ามมีสาเหตุมาจากพฤติกรรมเฉพาะ”
ในความพยายามที่จะแบ่งปันข้อมูลที่เชื่อถือได้ แต่ละรายการของ ATT&CK จะมีแหล่งข้อมูลสำหรับการระบุแหล่งที่มาเหล่านี้ ตามที่ Struse รับทราบ การมีอยู่ของคอลเลกชันนี้บ่งชี้หรือบอกเป็นนัยว่าไม่มีองค์กรเดียวที่รู้ทุกสิ่งที่เกิดขึ้นบนอินเทอร์เน็ต
“นั่นคือคุณค่า และบางครั้งคุณก็มีหลายคนที่ไม่เห็นด้วยกับประเด็นใดประเด็นหนึ่งเกี่ยวกับการระบุแหล่งที่มาของกลุ่มที่เป็นปฏิปักษ์” เขากล่าว “ความรู้สึกของเราคือเราต้องการให้ข้อมูลในรูปแบบที่มีโครงสร้าง – ในรูปแบบปกติ – เพื่อให้ง่ายสำหรับผู้ป้องกันทางไซเบอร์ในการบริโภค จากนั้นพวกเขาสามารถตัดสินใจได้เองว่าพวกเขาจะเชื่อถือผู้ขาย A กับผู้รายงานหรือไม่ บี”
สำหรับหัวหน้าเจ้าหน้าที่ข้อมูลและคนอื่นๆ ที่ทำงานอย่างใกล้ชิดกับการป้องกันเครือข่าย Struse กล่าวว่า ATT&CK มีประโยชน์ในการสื่อสารภัยคุกคามอย่างเป็นรูปธรรม โดยแสดงเป็นเมทริกซ์ที่มีเซลล์ 223 เซลล์ในปัจจุบัน ซึ่งสามารถช่วยองค์กรจัดลำดับความสำคัญของภัยคุกคาม ตลอดจนตัดสินว่าส่วนใดของโครงสร้างพื้นฐานทางไซเบอร์ได้รับการปกป้องอย่างเพียงพอ
ในช่วงไม่กี่ปีที่ผ่านมา Struse กล่าวว่ามีความคืบหน้าอย่างมากในการปรับปรุงคุณภาพและปริมาณของข่าวกรองภัยคุกคาม การเปลี่ยนแปลงที่สำคัญอย่างหนึ่งที่เขาอธิบายคือการย้ายออกจากข้อมูลภัยคุกคามที่ไม่มีโครงสร้างไปสู่สภาพแวดล้อมที่มีโครงสร้างมากขึ้นด้วยการแบ่งปันแบบเครื่องต่อเครื่อง
“สิ่งที่ช่วยให้เราทำได้คือให้เครื่องจักรทำการคัดแยก ตรวจสอบ และดำเนินการเบื้องต้นเกี่ยวกับตัวบ่งชี้ภัยคุกคามทางไซเบอร์ แทนที่จะให้นักวิเคราะห์กรองข้อมูลกองโต” เขากล่าว “ฉันมักจะคิดในแง่ที่คุณมีนักวิเคราะห์ที่มีทักษะจริงๆ ที่ทำงานร่วมกันระหว่างนักวิเคราะห์กับนักวิเคราะห์ แต่โดยพื้นฐานแล้วพวกเขานั่งอยู่บนสุดของระบบนิเวศอัตโนมัติ นั่นเป็นสถานที่ที่ฉันอยากเห็นเราไป”
Credit :ยูฟ่าสล็อต
