Det är avgörande för verksamheter inom kritisk infrastruktur att deras förmåga för att upptäcka cybersäkerhetsrelaterade hot och risker möter en ständigt föränderlig hotbild. Detta är extremt viktigt för att minska risken för att bli utsatt för en cyberattack. MITRE ATT&CK® är en kunskapsbas som kan användas för utvecklingen av hotmodeller och metoder för att upptäcka oönskad aktivitet i IT och OT system. Vad är MITRE ATT&CK® och hur kan metoden bidra till en balanserad säkerhet över tid i en verksamhet?
MITRE är en väletablerad kunskapsdatabas med strukturerad information baserad på verkliga observationer av cyberattacker som skett i världen. Den största fördelen med MITRE ATT&CK® är att den inte är begränsad till några specifika organisationer, utan databasen är öppen för alla att rapportera in observationer. Genom att ständigt analysera de tekniker och metoder som använts vid observerade attacker, så är det möjligt att hålla strukturen och kunskapsdatabasen väl uppdaterad.
Efter att de kontinuerligt inrapporterade observationerna har analyserats så kartläggs de olika metoderna som en hotaktör använt sig av för att ta sig in i ett nätverk. Metoder avser olika sätt att plantera exempelvis malware i ett nätverk. I kartläggningen analyseras aktörens syfte och förmåga att agera inom ett nätverk, det kan till exempel vara syftet och förmågan att överta rättigheter, tillgångar eller exfiltrera information. Genom att ha kunskap om vilka metoder och tekniker som används vid cyberattacker kan en heltäckande detektionsförmåga skapas.
Begreppet hotaktör syftar till någon som har för avsikt att genomföra skadliga handlingar riktade mot ett specifikt mål. Målet kan till exempel vara en specifik verksamhet eller funktion inom en organisation.
En monitoreringstjänst som tillämpar metoden kan arbeta proaktivt och identifiera redan kända hot och risker. Vilket innebär att chansen för att i tid upptäcka en eventuell attack mot verksamheten ökar. Dessutom genom att tillämpa MITRE som en integrerad del i monitoreringslösningen för både IT och OT så ger detta en ökad säkerhet över hela verksamheten.
Ytterligare en fördel är att genom tillämpning av MITRE kan tjänsten ge bra säkerhet över tid. För att hålla en önskad säkerhetsnivå över tid behöver detektionsförmågan uppdateras löpande.
Genom att integrera MITRE fullt ut i den tekniska lösningen, samt i processer, så säkerställs det att en MDR tjänst (Managed detection and response) alltid har den visibilitet och detektionsförmåga som krävs för att hantera alla typer av attacker. MITRE går med hela vägen och gör arbetet väldigt strukturerat och informativt.
Ett exempel på hur Sectra implementerar MITRE är när en detektionsingenjör använder metoden för att kartlägga information som rör sig i en verksamhets kritiska system, så att man ska kunna detektera intrång i form av initiala fotfästen.
Ett annat exempel är verklig detektionsförmåga, vilket också är något som Sectra använder sig av i sin lösning. Innebörden av begreppet är som namnet antyder: verklig detektionsförmåga är det som faktiskt kan upptäckas, mätas och visualiseras i ett nätverk, så det blir tydligare att se vad vi kan hjälpa kunden att detektera och skydda sig emot. Den verkliga detektionsförmågan baseras på vad som blir visuellt genom de loggar som skickas till övervakningssystemet kombinerat med de detektionsregler som Sectras detektionsingenjörer tar fram. För att enkelt kunna se och kommunicera den aktuella täckningen med en kund används en översiktsbild där man kan se vad som kan upptäckas utifrån MITRE-perspektivet. Denna används som ett verktyg för att diskutera behov av eventuella förändringar eller utökningar med en kund.
Med en ständigt föränderlig hotbild så är det viktigt att kunna upptäcka och anpassa sig till de aktuella cyberhot som finns för verksamheter inom kritisk infrastruktur. Att tillämpa ett verktyg som MITRE ATT&CK® är direkt nödvändigt för att hela tiden vara uppdaterad på vilka cyberattacker som hänt och vilka metoder som hotaktörer har använt sig av för att ta sig in i ett nätverk. Tillämpar man detta synsätt så ökar en verksamhet sin förmåga att i tid upptäcka avvikelser och misstänkt aktivitet i nätverken. Det resulterar i att risken för produktionsstopp minskar.
Olika kunder har olika förutsättningar och det är inte alltid möjligt att detektera allt som är känt av MITRE. Beroende på verksamheten så är det heller inte ekonomiskt försvarbart att försöka skydda sig mot allt. Visualiseringen, översiktsbilden, som tas fram gör att man kan ta rättfärdiga beslut efter verksamhetens förutsättningar och därmed upprätta en rimlig skyddsnivå, vilket ger en balanserad säkerhet över tid i verksamheten.
