ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), savunucuların ve güvenlik analistlerinin hızlı bir şekilde MITRE ATT&CK eşleme raporları oluşturmasına yardımcı olan açık kaynaklı bir araç olan ‘Decider’ı yayınladı.
MITRE ATT&CK çerçevesi, siber saldırı gözlemlerine dayalı düşman taktiklerini ve tekniklerini belirlemeye ve izlemeye yönelik bir standarttır ve savunucuların güvenlik duruşlarını buna göre ayarlamasına olanak tanır.
Kuruluşlar, ortak bir standarda sahip olarak, yeni keşfedilen veya ortaya çıkan tehditler hakkında kapsamlı ve doğru bilgileri hızlı bir şekilde paylaşabilir ve bunların etkinliğini engellemeye yardımcı olabilir.
CISA kısa bir süre önce MITRE ATT&CK haritalaması hakkında, standardı kullanmanın önemini vurgulayan bir “en iyi uygulamalar” kılavuzu yayınladı.
Decider, İç Güvenlik Sistemleri Mühendislik ve Geliştirme Enstitüsü ve MITRE ile ortaklaşa geliştirildi ve CISA’nın GitHub deposu aracılığıyla ücretsiz olarak kullanıma sunuldu.
Bir CISA duyurusunda, “Bugün, CISA, siber güvenlik topluluğunun tehdit aktörü davranışını MITRE ATT&CK çerçevesine eşlemesine yardımcı olacak ücretsiz bir araç olan Decider’ı piyasaya sürdü.”
“İç Güvenlik Sistemleri Mühendislik ve Geliştirme Enstitüsü (HSSEDI) ve MITRE ile ortaklaşa oluşturulan Decider, rehberli sorular, güçlü bir arama ve filtreleme işlevi ve kullanıcıların sonuçları yaygın olarak kullanılan biçimlere aktarmasına olanak tanıyan bir alışveriş sepeti işlevi aracılığıyla haritalamanın hızlı ve doğru olmasına yardımcı olur. .”
Araç, gözlemlenen düşman etkinliği hakkında kullanıcı tarafından yönlendirilen sorular sorar ve karşılık gelen MITRE ATT&CK raporunu oluşturur.
Örneğin, bir soru “Düşman ne yapmaya çalışıyor?” olabilir. Buna olası bir yanıt, İlk Erişim taktiğine karşılık gelen “Ortam içinde bir ilk dayanak noktası elde edin” şeklindedir.
Sorular, tüm taktikler için bir alt tekniğe veya belirli bir etkinliğe uyan bir alt teknik yoksa en azından bir tekniğe ulaşılana kadar devam eder.
Savunan, oluşturulan MITRE ATT&CK raporunu hedefli savunma taktikleri geliştirmek için kullanabilir veya ortak formatlarda dışa aktarabilir ve belirlenen tehdidin yayılmasını önlemek için sektördeki diğer kişilerle paylaşabilir.
CISA’nın, Decider’ın piyasaya sürülmesiyle birlikte yayınlanan bir bilgi notunda açıkladığı gibi, MITRE ATT&CK haritalama raporları, aşağıdakiler de dahil olmak üzere tehdit yanıtının sonraki aşamalarına geçmeye yardımcı olabilir:
- Bulguları ATT&CK Navigator’da görselleştirme
- Tehdit istihbaratı raporları yayınlayarak bulguları başkalarıyla paylaşma
- Bu teknikleri tespit etmek için sensörler ve analizler bulma
- Tekniklerin ilk etapta çalışmasını engellemeye yardımcı olan azaltmaları keşfetme
- Savunmaları doğrulamak için tehdit öykünme planları derleme
CISA, siber güvenlik topluluğunu Decider’ı indirip kullanmaya ve geri bildirimlerini, hata raporlarını ve hatta özellik önerilerini göndermeye teşvik ediyor.