Wat is het Mitre Attack Framework, en waar gebruiken we het voor?

In diverse gesprekken met bestaande klanten en relaties kwam naar voren dat er bij het verzamelen van data van de verschillende bronnen teneinde diepgaande analyses te kunnen uitvoeren om dreigingen op te sporen, veel uitdagingen leven. Hoe vind je de spelt in de hooiberg? Wat is een effectieve manier om te zoeken naar patronen die duiden op iets ongewoons. In dit artikel leggen we uit hoe we bij SBL Cyber Monitoring gebruik maken van het Mitre Attack Framework.  

Wat is het Mitre Attack Framework? 

Om deze uitdaging aan te gaan, maken wij gebruik van het Mitre Attack Framework. Maar wat is dit framework precies? Het Mitre Attack Framework is een uitgebreide 'kaart' van cyberdreigingen en -aanvallen. Het beschrijft in detail:

1. Hoe aanvallers te werk gaan
2. Welke methoden ze gebruiken
3. Hoe we deze aanvallen kunnen detecteren en voorkomen

In onze cybersecurity assessments passen we dit framework toe om:

• Het mogelijke aanvalspad van een hacker in kaart te brengen
• Te analyseren hoe weerbaar onze klanten zijn tegen verschillende aanvalspatronen
• Effectieve beschermingsmaatregelen voor te stellen

 

Het Mitre Attack Framework om een assessment te doen 

In onze cybersecurity assessments passen we al het Mitre Attack Framework toe om het aanvalspad van een aanvaller te duiden en op basis van het aanvalspad te analyseren in hoeverre onze klant weerbaar is tegen een dergelijk aanvalspatroon. In het Mitre Attack Framework staan namelijk enerzijds de mogelijkheden om tegen een bepaald aanvalspatroon te beschermen en anderzijds hoe men een dergelijk patroon kan detecteren. Dit laatste is enorm zinvol gebleken bij het uitvoeren van diepgaande dreigingsanalyses in grote hoeveelheden data (Threat Hunting).

Van framework naar praktijk: WatchEagle 

De WatchEagle, die automatisch data van het IT- en OT-netwerk analyseert en daarmee de cyberdreigingen in de gaten houdt, is ook gebaseerd op het Mitre Attack Framework. 

Deze technologie stelt ons in staat om:

1. Realtime data te analyseren op verdachte patronen
2. Historische data te doorzoeken op eerdere voorvallen van bepaalde aanvalspatronen
3. Specifieke dreigingen te herkennen, zoals:

• DNS Tunneling (een methode om ongemerkt data te exfiltreren)
• Lateral Movement (hoe aanvallers zich door een netwerk verspreiden)
• Persistence (tactieken om langdurig toegang te behouden)

Waarom het Mitre Attack Framework? 

Het agent-framework waarop het Mitre Attack Framework is gebaseerd, is uitermate geschikt om de diversiteit aan patronen te analyseren. In het framework zijn de agents namelijk taakgericht en door nu een patroon op te splitsen in diverse taken, kan op deze wijze de samenwerking tussen de agents worden geconfigureerd en kunnen ze hun werk doen om de patronen te herkennen. Met WatchEagle zijn we in staat om dit nagenoeg realtime te doen op basis van de data dat WatchEagle te verwerken krijgt. Maar WatchEagle kan dit ook indien het nodig blijkt op historische data te analyseren om te zien of het patroon al eerder is voorgekomen.

Conclusie 

Kortom: door de adoptie van het Mitre Attack Framework zijn we met WatchEagle steeds meer in staat de bekende speld in de hooiberg te vinden. We blijven meer patronen toevoegen aan de WatchEagle. Hierbij zal tevens worden bekeken om direct handelingsperspectief te bieden waar mogelijk, na constatering van een dergelijk patroon.