Cybersecurity How To

MITRE ATT&CK คืออะไร? แล้วมีประโยชน์อย่างไร?

แนะนำให้รู้จักกับการทำงานของ MITRE ATT&CK และเหตุผลว่าทำไมถึงช่วยองค์กรจากภัยคุกคามและพฤติกรรมที่เป็นอันตรายได้

แนะนำให้รู้จักกับการทำงานของ MITRE ATT&CK และเหตุผลว่าทำไมถึงช่วยองค์กรจากภัยคุกคามและพฤติกรรมที่เป็นอันตรายได้

MITRE เป็นองค์กรไม่แสวงหาผลกำไรที่ก่อตั้งขึ้นเมื่อปี ค.ศ. 1958 โดยมีจุดประสงค์เพื่อ “แก้ไขปัญหาเพื่อโลกที่ปลอดภัยกว่าเดิม” แล้ววันนี้ MITRE ก็มีความรู้เกี่ยวกับ MITRE ATT&CK ที่มาจากคำว่า “Adversarial Tactics, Tecniques, and Common Knowledge” เป็นแพลตฟอร์มจัดการและจัดหมวดหมู่ของกลยุทธ์ เทคนิค และกระบวนการ (TTPs) ที่แฮกเกอร์ใช้ในโลกดิจิตอล ช่วยให้องค์กรสามารถเพิ่มความปลอดภัยได้

ข้อมูลทั้งหมดรวบรวมจากหลายที่ทั้ง องค์กร (Enterprise) อุปกรณ์พกพา (Mobile) และการโจมตีล่วงหน้า (Pre-attack) โดยตัวอย่างขององค์กร (Enterprise) มีหมวดหมู่ดังนี้:

  • Initial Access
  • Execution
  • Persistence
  • Privilege Escalation
  • Defense Evasion
  • Credential Access
  • Discovery
  • Lateral Movement
  • Collection
  • Command and Control
  • Exfiltration
  • Impact

ในแต่ละหมวดหมู่มีหัวข้อย่อยเกี่ยวกับการโจมตีแต่ละหมวด มีรายละเอียดเกี่ยวกับเทคนิค ตัวอย่าง ข้อมูลเพิ่มเติม (วัน เวลาที่พบ แพลตฟอร์มที่ถูกโจมตี) และการบรรเทาผลกระทบหรือป้องกัยภัยคุกคาม

ยกตัวอย่างเช่น หัวข้อลิงก์ SpearPhishing จะมีคำอธิบายเกี่ยวกระบวนการเข้าถึง จากตัวอย่างที่เราเอามาคือ Ocean Lotus, aka APT32 ซึ่งอธิบายเทคที่กลุ่มแฮกเกอร์ใช้ แล้วมีข้อมูลสำหรับการลดความเสี่ยงกับการตรวจจับ

นอกจากนี้ยังมีการวิเคราะห์และข้อมูลเกี่ยวกับการโจมตีที่เป็นประโยชน์ เช่น เป้าหมาย ปัจจัยการโจมตี และก่อน-หลังการโจมตี

ข้อมูลเหล่านี้เป็นประโยชน์ต่อผู้รับผิดชอบด้านความปลอดภัยมาก ทำให้พวกเขาสามารถอัพเดตการโจมตีใหม่ๆและดำเนินมาตรการป้องกันได้ทันเวลา

องค์รกรสามารถวางแผนการป้องกัน และสามารถอธิบายถึงพฤติกรรม กระบวนการ และความเป็นไปได้ของการโจมตี ให้กับพนักงานภายในองค์กรได้เมื่อจำเป็น

ATT&CK ให้รายละเอียดเกี่ยวกับแฮกเกอร์และกลุ่มแฮกเกอร์ รวมถึงเทคนิคที่พวกเขาใช้ นอกจากนี้ MITRE ATT&CK ยังสามารถจำลองภาพจุดแข็งและจุดอ่อนองค์กร สำหรับการทดสอบระบบภายในได้อีกด้วย

ยังมีข้อมูลอีกมากใน ATT&CK เช่นตัวอย่างการจำลององค์กร Verodin, SafeBreach และ AttackIQ เพื่อทดสอบการโจมตี และมีทางเลือก Open-Source อย่าง MITRE CalderaUber MettaRed Team Automation (RTA), หรือ Atomic Red Team

MITRE ATT&CK เป็นแหล่งรวบรวมข้อมูลสำหรับการป้องกันไซเบอร์ ปกป้ององค์กรด้วยการตรวจจับและรับมือกับการแทรกแซง ไม่ให้ถูกโจมตีโดยแฮกเกอร์ได้ง่ายๆ

Author: Luis Lubeck
Source: https://www.welivesecurity.com/2019/09/03/what-is-mitre-attck-useful/
Translated by: Worapon H.

%d bloggers like this: