Um bom plano de segurança cibernética excede seu objetivo principal de proteger os dados da sua empresa. Também ajuda você a cumprir com eficiência os requisitos de conformidade.
Em breve, 98 entidades não comerciais da Commonwealth definidas pelo governo australiano podem ser obrigadas a adicionar o Essential Eight à lista de seus mandatos de conformidade. Com o número de ataques cibernéticos aumentando diariamente, é melhor estar equipado com uma estratégia de defesa baseada em um repositório de conhecimento abrangente e atualizado, como a estrutura MITRE ATT&CK.
O que é o modelo de maturidade Essential Eight?
O Essential Eight é um conjunto de oito diretrizes de segurança cibernética do Australian Cyber Security Center (ACSC) que ajudam as organizações a se classificarem em sua maturidade em segurança cibernética. Quatro níveis, de 0 a 3, são baseados no nível crescente de riscos representados por agentes de ameaças para realizar ataques cibernéticos contra organizações.
Enquanto o nível zero é onde a maioria começa, o nível 3 é onde todas as organizações devem almejar estar. Cada nível tem requisitos personalizados para todos os oito controles. Para passar de um nível para outro, uma organização deve cumprir os requisitos para todas as oito medidas listadas para seu nível atual.
O que é a estrutura MITRE ATT&CK?
A estrutura MITRE ATT&CK é um repositório atualizado de várias técnicas e táticas usadas por adversários para comprometer e atacar sistemas. Ele é organizado na forma de uma matriz onde cada tática possui várias técnicas e subtécnicas listadas abaixo dela. Essa matriz cita as possíveis razões para um adversário atacar, bem como as táticas que eles podem empregar.
As organizações podem usar essa estrutura para avaliar o comportamento do adversário durante um ataque e configurar controles de segurança para combatê-lo.
Por que mapear esses dois frameworks?
Enquanto o modelo de maturidade Essential Eight ajuda as organizações a se categorizarem em vários níveis de risco e adotar medidas de segurança com base no comportamento do adversário, a estrutura MITRE ATT&CK ajuda as empresas a obter um entendimento profundo da cadeia de eliminação do invasor para cada ataque possível. A combinação de ambos ajuda a criar uma abordagem personalizada baseada em risco para combater as vulnerabilidades de ataques cibernéticos de sua organização.
Como você mapeia a estrutura MITRE ATT&CK com o modelo de maturidade Essential Eight?
Aqui, usaremos o exemplo do movimento lateral, uma tática crítica empregada pelos adversários para girar e mover-se pela rede de uma organização. Geralmente é difícil detectar esses espreitadores. Vamos ver como o mapeamento ajuda.
Classificamos as técnicas listadas no movimento lateral em três níveis: baixo, médio e alto. Eles correspondem aos níveis 1, 2 e 3 na estrutura do modelo de maturidade com base em sua dependência de ferramentas públicas e na eficácia de suas técnicas de ataque. Assim como o modelo de maturidade, quanto maior o número, maior o risco para uma organização. O nível 1 significa baixo risco, onde o adversário usa ferramentas previsíveis e disponíveis publicamente em uma ampla gama de vítimas, um e-mail de phishing em massa, por exemplo. O nível 3 significa alto risco, onde o adversário usa ferramentas específicas visando um determinado conjunto de pessoas. Limitaremos nosso exemplo ao Nível 3, que se refere aos riscos mais altos.
Técnicas de movimento lateral que se enquadram no Nível 3:
- Exploração de serviços remotos
- Serviços remotos
- Uso de um método de autenticação alternativo
Essas técnicas são classificadas como “altas” porque exigem conhecimento adicional de codificação e experiência em hackers. Para explorar um serviço ou conexão remota, o invasor deve ser capaz de identificar vulnerabilidades no programa, serviço ou sistema operacional e aproveitá-las para executar código malicioso. Isso requer um bom conhecimento de desenvolvimento e execução de códigos mal-intencionados.
O que as organizações podem ganhar com este exercício?
Eles alistam estratégias de mapeamento para frustrar as táticas de agentes de ameaças que visam sua organização. O uso dessa metodologia ajuda as equipes de segurança a identificar os diversos ataques e técnicas utilizadas pelos cibercriminosos, bem como:
-
Obtenha informações sobre seus níveis de risco cibernético, para que possam desenvolver e implementar um plano de segurança cibernética adequado
-
Identifique possíveis brechas em sua rede e resolva-as ativamente.
-
Detecte os indicadores de comprometimento (IOC) em sua organização.
-
Configure alertas para IOCs e implemente medidas de resposta a incidentes apropriadas.
Você gostaria de ver as outras técnicas de movimento lateral mapeadas para você? Você pode explorar isso e muito mais em nosso e-book, programado para ser lançado em outubro.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Anupama. A.