Wat is het MITRE ATT&CK Framework?

Steeds meer geavanceerde beveiligingsoplossingen integreren met MITRE ATT&CK. Maar wat is dit nu eigenlijk?

Het detecteren en classificeren van alle online dreigingen vereist inzicht in veelgebruikte technieken van cybercriminelen, met name de aanvallen die voor jouw organisatie een bedreiging kunnen vormen. Met dit inzicht kunnen digitale aanvallen snel worden gedetecteerd en beperkt, alleen het bijhouden van alle aanvalstechnieken is voor organisaties een onmogelijke klus. Hiervoor heeft de non-profit organisatie MITRE het ATT&CK-framework ontwikkeld. ATT&CK staat voor; Adversarial, Tacktics, Techniques & Common Knowledge (Vijandig, Technieken, en Algemene Kennis).

Deze technieken worden voor MITRE geïndexeerd en bevatten gedetailleerde informatie over de exacte stappen en methodes van cybercriminelen. Hierdoor is jouw security team beter in staat om te begrijpen welke criminele activiteiten er voor jouw organisatie relevant zijn en gericht te kunnen toetsen en verbeteren van de huidige beveiligingsoplossingen.

Het MITRE ATT&CK-framework bestaat uit 11 tactieken/doelen van hackers met daarbij verschillende technieken om tot het doel te komen.

Hoe gebruik je de MITRE ATT&CK-matrix?

Het framework kan je organisatie op verschillende manieren helpen:

1. Hacker emulatie:  Met het ATT&CK-framework kunnen hacker-scenario’s worden nagebootst om de huidige beveiliging op de proef te stellen.

2. Red Teaming: Het framework wordt gebruikt om voor Red Teams om de impact van een mogelijke digitale inbraak vast te stellen.

3. Gedragsanalyse: het kunnen volgen en ordenen van verdachte activiteiten.

4. GAP-Analyse: Met het ATT&CK-framework kunnen jouw huidige beveiligingsoplossingen worden getoetst, of nieuwe oplossingen worden getest voordat ze worden aangeschaft.

5. SOC-Assessment: Het ATT&CK-framework wordt veelal gebruikt om te beoordelen hoe goed je huidige Security Operations Center (SOC) is in detectie, analyse en response.

6. Cyber Threat Intelligence: Voor het verrijken van de informatie over online bedreigingen voor jouw organisatie zoals specifieke Advanced Persistent Threats (ATP).

Voor het succesvol implementeren van MITRE & ATT&CK kan er het beste van een integratie gebruik worden gemaakt met beveiligingsoplossingen zoals Security Information and Event Management (SIEM), Endpoint Detection and Reponse (EDR) en Cloud Access Security Broker (CASB).