Kennisbank | Behaav

Cyberveilig handelen met MITRE ATT&CK®

Geschreven door Melvin Broersma | Jul 4, 2024 7:43:27 AM

Cyber Kill Chain vs. MITRE ATT&CK®

In een eerdere blog namen we je mee door Lockheed Martin’s Cyber Kill chain vanuit, hoe kan het ook anders, het menselijk perspectief. Het is goed om de Kill chain enigszins te begrijpen voordat we je meenemen in het soms wat complexe MITRE ATT&CK® framework. Wij vinden dat MITRE meer verdieping biedt per aanvalsfase en de bijbehorende technieken en tactieken. Cyberveilig handelen met het MITRE ATT&CK® framework betekent dat je al jouw securityteams continu de skills biedt om hackers bij te blijven en zo de negatieve impact door cyber security incidenten te minimaliseren.

Wat is het MITRE ATT&CK® framework?

Het is goed om te begrijpen wat het MITRE ATT&CK® framework behelst om vervolgens te verklaren waarom het zo belangrijk is om continu te trainen op gerelateerde skills.

MITRE Att&ck staat voor “MITRE Adversarial Tactics, Techniques, and Common Knowledge”. Wij beschouwen het als een model dat ons veel vertelt over het gedrag van cyberaanvallers. MITRE is een non-profit organisatie met als doel om gratis uitgebreide en actuele informatie over cyberdreigingen te leveren. Vervolgens biedt MITRE technieken en modellen om deze cyberdreigingen het hoofd te bieden.

Bij Behaav werken we graag aan cyberveilig gedrag in alle lagen van de organisatie en daarvan zijn dus de security-, software- en infrastructuurspecialisten niet uitgesloten. Immers als zij beter weten hoe cyberaanvallers zich gedragen, zijn jouw specialisten beter in staat om hun gedrag daarop aan te passen.

Verdieping van security awareness- en trainingprogramma's

We hebben regelmatig gesprekken over awareness en cyberveilig gedrag, waarbij klanten zich vooral willen beperken tot de populatie buiten de hierboven genoemde specialisten. Dan zijn onderwerpen als phishing, sociale media en dataveiligheid in de basis de onderwerpen waarop getraind moet worden.

Maar we gaan graag een laagje dieper en dat is belangrijk, omdat niet alle security -en IT-afdelingen binnen organisaties goed genoeg georganiseerd zijn om weerbaar te zijn tegen cyberaanvallen. Dáárbij neem je direct weerstand weg bij die groep die vaak al de kennis bezit van de basistrainingen die aangeboden worden vanuit reguliere programma’s en daarom niet participeren in reguliere programma’s.

Laten we het ‘Beyond Security Awareness’ noemen. We bieden trainingen aan, volledig gebaseerd op het MITRE Att&ck Framework. We beseffen ons dat dit vanaf nu snel kan veranderen in een zeer technisch artikel, maar weest gerust, we helpen je er doorheen mocht je wat minder technisch onderlegd zijn.

Het MITRE framework beschrijft 14 fases. In elke fase worden er verschillende technieken uitgelegd die overeenkomen met het gedrag van een kwaadwillende in die verschillende fases. Ofwel welke technieken, tactieken en procedures volgen kwaadwillende per fase om jouw organisatie aan te vallen. Je voelt het wellicht al aankomen, maar als jouw organisatie in staat is en de skills heeft om diezelfde technieken, tactieken en procedures na te lopen, dan kun je jouw organisatie in staat stellen om optimaal weerbaar te worden tegen hackers. We pakken de eerste fase even als voorbeeld, de reconnaissance ofwel verkenningsfase. In deze fase bereidt een hacker zich optimaal voor om jouw organisatie zo goed mogelijk aan te kunnen vallen.

 

Binnen deze verkenningsfase worden 10 technieken gebruikt (eerste kolom in de afbeelding hieronder). Achter elk van deze technieken zitten theoretische trainingen en praktische opdrachten in de vorm van LABS om daadwerkelijk te toetsen of je naast het begrijpen van de theorie ook in staat bent om het toe te passen in de praktijk (zie afbeelding 2). In dit voorbeeld leren jouw securityteams in een veilige Cloud omgeving hoe te werken met een vulnerability scanner. Een hacker zou deze scanner in de verkenningsfase gebruiken om te bekijken welke systemen van buitenaf bereikbaar zijn en welke kwetsbaarheden deze bevatten, uiteraard met als doel om deze te misbruiken tijdens een aanval. Vanuit de organisatie beredeneerd kun je met deze technieken jouw organisatie juist beter beveiligen omdat je het bewustzijn creëert rondom dergelijke kwetsbaarheden.

Op deze manier bieden we training in alle 14 fases met daaronder 237 verschillende technieken voor jouw werknemers die de verantwoordelijkheid dragen voor security, IT of riskmanagement. Tegelijkertijd biedt het jouw organisatie inzicht in welke domeinen binnen het MITRE framework het nog ontbreekt aan de nodige kennis en vaardigheden. De belangrijkheid per onderdeel is aan te duiden met hoog, middel of laag. Dit is erg handig, want aan datgene dat je reeds hebt uitbesteed hoef je in eerste instantie minder aandacht te geven als het gaat om interne vaardigheden.

De beste securitystrategie is een 'gelaagde' strategie

Ter afsluiting willen we het belang duiden van een gelaagde securitystrategie die wat ons betreft bestaat uit goede technologie, processen en procedures en die alleen effectief kan zijn als de ‘mens’ daar onderdeel van is. Naast de standaardtrainingen op bijvoorbeeld informatieveiligheid, privacy, e-mail en internetgebruik is de toevoeging van diepgaande training voor jouw specialistische teams fundamenteel. Op deze manier ben je in staat om sneller te reageren op aanvallen en incidenten. En precies dat is de hoofdreden die bepaalt hoe groot de impact is van een succesvolle aanval op jouw organisatie.

Wij hopen dat je na het lezen van dit artikel eens het gesprek aan gaat met jouw CISO of securityteam om te praten over de vaardigheden die al dan niet aanwezig zijn om weerbaar te zijn – en te blijven – tegen hackers.