Instrumente pentru testarea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice ale OSE

/ 28 decembrie 2020

Fie că privim lucrurile din perspectiva auditului fie din perspectivă operațională, „măsuri de securitate„ înseamnă „control„. iar obiectivul oricărui control este să ofere asigurări cu privire la atingerea obiectivelor procesului pentru care au fost proiectate. Pentru a obține aceste asigurări, măsurile de securitate trebuie testate.

MITRE ATT&CK

MITRE ATT&CK este un cadru deschis și o bază de cunoștințe de tactici și tehnici bazate pe observații din lumea reală.  Cadrul oferă o taxonomie comună a obiectivelor tactice ale atacatorilor și a metodelor acestora. În universul securității IT să avem o taxonomie înseamnă să utilizăm un vocabular comun pentru schimbul de informații cu alții din comunitate. MITRE ATT&CK trece dincolo de teorie și adaugă informații tehnice – descrie fiecare metodă de atac și oferă modalități de detectare și atenuare a amenințării:

  • Tactici – ce folosește un atacator pentru a-și atinge obiectivele (recunoaștere, exfiltrare etc)
  • Tehnici – ce folosește din punct de vedere tehnic un atacator pentru a pune în practică o tactică
  • Exemple – pentru fiecare tehnică, MITRE ATT&CK oferă exemple (cu referințe documentare) de cazuri cunoscute în care tehnica este: 
    • utilizată de un grup
    • implementată prin software 
  • Reducere – pentru fiecare tehnică, MITRE ATT&CK indică orice controale preventive care pot fi aplicate. Se precizează că nu toate măsurile sînt practice pentru unele tehnici (de exemplu cele care țin de „bucătăria„ SO)
  • Detectare – MITRE ATT&CK oferă îndrumări cu privire la modul de detectare a utilizării tehnicilor de către atacatori cu informații din diferite surse și analize de securitate.

Sistemele pentru control industrial au propria secțiune.

Cadrul general poate fi instalat și local: ATT&CK Navigator web application.

Atomic Red Team

Scriu despre MITRE ATT&CK deoarece poate fi folosit de orice rol, intern sau extern, care se ocupă de securitate IT/cibernetică și pentru că am citit de curînd despre alinierea cu NIST 800-53. Din perspectiva auditului, am același punct de vedere de ani de zile: „pen test„ trebuie să se facă obligatoriu, în orice misiune de audit și nu doar la cererea auditatului. Pentru că este singura modalitate prin care auditorul obține asigurări rezonabile cu privire la atingerea obiectivelor de către un control tehnic. Ca auditor nu pleci de la presupunerea implicită că un control descris într-o procedură este eficient ci trebuie să îl testezi folosind cele mai realiste metode.

Atomic Red Team este o bibliotecă de teste pe care fiecare echipă de securitate/audit le poate executa pentru a testa eficiența și eficacitatea controalelor tehnice. Testele sînt mapate pe tacticile din cadrul MITRE ATT&CK , pe tipuri de SO și sunt definite într-un format structurat care poate fi utilizat în orice sistem automatizat/formal de testare (în acest moment nu există teste pentru toate tacticile din MITRE). Acest lucru oferă avantajul de a începe imediat să testezi controalele împotriva unui spectru larg de atacuri.

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.