กรอบ MITER ATT & CK

สารบัญ

แบ่งปันคำศัพท์นี้:

กรอบการทำงานของ MITER ATT&CK ได้กลายเป็นต้นแบบสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และไอที โดยนำเสนอเมทริกซ์ที่ครอบคลุมซึ่งจัดหมวดหมู่และอธิบายกลยุทธ์ เทคนิค และขั้นตอนเฉพาะ (TTP) ที่ใช้โดยผู้แสดงภัยคุกคามในการปฏิบัติการทางไซเบอร์

กรอบการทำงานนี้ถูกสร้างขึ้นเพื่อให้ความเข้าใจที่ละเอียดเกี่ยวกับพฤติกรรมของฝ่ายตรงข้าม และช่วยให้องค์กรต่างๆ เข้าใจการกระทำของฝ่ายตรงข้ามได้ดีขึ้น และเตรียมการป้องกันที่มีประสิทธิภาพมากขึ้นต่อการกระทำเหล่านั้น

ความสำคัญของ MITER ATT&CK Framework ในด้านความปลอดภัยทางไซเบอร์ไม่สามารถกล่าวเกินจริงได้ สำหรับผู้เชี่ยวชาญด้านไอที ข้อมูลนี้ทำหน้าที่เป็นข้อมูลอ้างอิงอันทรงคุณค่าซึ่งช่วยในการระบุ การป้องกัน และการบรรเทาภัยคุกคามทางไซเบอร์

ด้วยการนำเสนอความเข้าใจโดยละเอียดเกี่ยวกับวิธีการทำงานของฝ่ายตรงข้าม กรอบการทำงานดังกล่าวช่วยให้ผู้ปกป้องสามารถใช้จุดยืนเชิงรุกมากขึ้นในมาตรการรักษาความปลอดภัยทางไซเบอร์ของพวกเขา ซึ่งในทางกลับกันจะช่วยเพิ่มความสามารถในการปกป้องโครงสร้างพื้นฐานที่สำคัญและข้อมูลที่ละเอียดอ่อนจากการโจมตีที่ซับซ้อนมากขึ้น

MITER ATT&CK Matrix: การทำความเข้าใจโครงสร้างของกรอบงาน

หัวใจสำคัญของกรอบการทำงานของ MITER ATT&CK คือเมทริกซ์โดยละเอียดของกลยุทธ์ เทคนิค และขั้นตอน (TTP) ซึ่งเป็นการจัดหมวดหมู่ที่มีโครงสร้างที่ให้ความเข้าใจโดยละเอียดเกี่ยวกับพฤติกรรมของฝ่ายตรงข้าม ส่วนนี้จะอธิบายโครงสร้างของเฟรมเวิร์ก โดยนำเสนอข้อมูลเชิงลึกว่าส่วนประกอบต่างๆ เชื่อมโยงกันอย่างไร เพื่อให้เห็นภาพภัยคุกคามทางไซเบอร์ที่ครอบคลุม

กลยุทธ์

ยุทธวิธีแสดงถึง "สาเหตุ" ของการกระทำของฝ่ายตรงข้าม ซึ่งเป็นวัตถุประสงค์ระหว่างการโจมตี แต่ละกลยุทธ์ภายในกรอบการทำงานสอดคล้องกับเป้าหมายเฉพาะที่ฝ่ายตรงข้ามมุ่งหวังที่จะบรรลุ เช่น การเข้าถึงครั้งแรก การดำเนินการตามคำสั่ง หรือการกรองข้อมูล การทำความเข้าใจกลยุทธ์เหล่านี้ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สามารถคาดการณ์สิ่งที่ผู้โจมตีอาจทำต่อไป โดยแจ้งมาตรการป้องกันเชิงกลยุทธ์

กรอบการทำงานของ MITER ATT&CK จัดระเบียบวัตถุประสงค์เหล่านี้เป็นชุดหมวดหมู่ โดยแต่ละหมวดหมู่แสดงถึงขั้นตอนในวงจรการโจมตี จากการเข้าถึงและดำเนินการครั้งแรกจนถึง การเพิ่มระดับสิทธิ์ และการกรอง กลยุทธ์เป็นช่องทางในการมองดูเจตนาของฝ่ายตรงข้าม การตระหนักถึงวัตถุประสงค์เหล่านี้ถือเป็นหัวใจสำคัญของกองหลัง เนื่องจากเป็นแนวทางในการพัฒนากลยุทธ์การป้องกันแบบกำหนดเป้าหมายเพื่อขัดขวางแผนการของผู้โจมตี

  1. การลาดตระเวน: การรวบรวมข้อมูลที่ใช้ในการวางแผนการโจมตีในอนาคต ซึ่งรวมถึงการรวบรวมข้อมูลเกี่ยวกับบุคลากร โครงสร้างพื้นฐาน และสถานะทางดิจิทัลของเป้าหมาย เพื่อระบุช่องโหว่และวางแผนจุดเริ่มต้น
  2. การพัฒนาทรัพยากร: การสร้างและการจัดการทรัพยากรที่ใช้ในการโจมตี เช่น การได้มาซึ่งชื่อโดเมน การพัฒนามัลแวร์ และการสร้างโครงสร้างพื้นฐานสำหรับการดำเนินงาน
  3. การเข้าถึงเบื้องต้น: วิธีที่ผู้โจมตีใช้เพื่อรับจุดเริ่มต้นเข้าสู่เครือข่าย เทคนิคภายใต้กลยุทธ์นี้ ได้แก่ ฟิชชิ่ง การใช้ประโยชน์จากแอปพลิเคชันที่เปิดเผยต่อสาธารณะ และการใช้บัญชีที่ถูกต้อง
  4. การกระทำ: การเรียกใช้โค้ดเพื่อดำเนินการกับระบบเป้าหมาย เช่น การเรียกใช้สคริปต์ที่เป็นอันตราย หรือการใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่กำหนดเอง
  5. การติดตา: เทคนิคที่ผู้โจมตีใช้เพื่อรักษาฐานภายในเครือข่ายระหว่างการรีบูต การเปลี่ยนแปลงข้อมูลรับรอง และการหยุดชะงักอื่น ๆ ที่อาจตัดการเข้าถึงของพวกเขา
  6. การเลื่อนระดับสิทธิ์: วิธีการที่ใช้ในการรับสิทธิ์ระดับสูงกว่าบนระบบหรือเครือข่าย เทคนิคทั่วไป ได้แก่ การใช้ประโยชน์จากช่องโหว่ของระบบและการจัดการโทเค็นการเข้าถึง
  7. การหลบหลีกการป้องกัน: เทคนิคที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับโดยมาตรการรักษาความปลอดภัย เช่น การสร้างโค้ดที่เป็นอันตรายให้ยุ่งเหยิง การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย และการใช้การเข้ารหัสเพื่อซ่อนคำสั่งและควบคุมการรับส่งข้อมูล
  8. การเข้าถึงข้อมูลประจำตัว: กลยุทธ์ที่ใช้ในการขโมยชื่อบัญชีและรหัสผ่าน รวมถึงการทิ้งข้อมูลรับรอง การจับอินพุต และการใช้ประโยชน์จากช่องโหว่ของระบบหรือบริการ
  9. การค้นพบ: การดำเนินการเพื่อให้ได้ความรู้เกี่ยวกับระบบและเครือข่ายภายใน ผู้โจมตีอาจจัดทำแค็ตตาล็อกการติดตั้งซอฟต์แวร์ ทำความเข้าใจนโยบายความปลอดภัย และระบุระบบและทรัพยากรเครือข่าย
  10. การเคลื่อนไหวด้านข้าง: เทคนิคที่ช่วยให้ผู้โจมตีสามารถเคลื่อนที่ผ่านเครือข่าย เข้าถึงระบบเพิ่มเติมเพื่อควบคุมระบบระยะไกล ซึ่งมักใช้ข้อมูลประจำตัวที่ถูกขโมย
  11. ชุด: การรวบรวมข้อมูลที่น่าสนใจตามวัตถุประสงค์ของผู้โจมตี ซึ่งอาจเกี่ยวข้องกับการจับภาพหน้าจอ การคีย์ล็อก หรือการรวบรวมข้อมูลที่จัดเก็บไว้ในระบบคลาวด์
  12. คำสั่งและการควบคุม (C2): กลไกที่ใช้ในการรักษาการสื่อสารกับระบบที่ถูกบุกรุก ช่วยให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกล กรองข้อมูล และปรับใช้เครื่องมือเพิ่มเติม
  13. การกรอง: วิธีการที่ใช้ในการขโมยข้อมูลจากเครือข่ายเป้าหมาย เทคนิคอาจรวมถึงการถ่ายโอนข้อมูลผ่านช่องทางคำสั่งและการควบคุม การใช้บริการเว็บ หรือวิธีการทางกายภาพ
  14. เรื่องราว: ยุทธวิธีที่มุ่งขัดขวาง ทำลาย หรือจัดการข้อมูลและระบบเพื่อส่งผลกระทบต่อการปฏิบัติงานของเป้าหมาย ซึ่งรวมถึงการทำลายข้อมูล การทำลายล้าง และการโจมตีแบบปฏิเสธการให้บริการ

เทคนิค

เทคนิคต่างๆ อธิบายว่า "อย่างไร" ที่ฝ่ายตรงข้ามบรรลุวัตถุประสงค์ของตน สำหรับแต่ละกลยุทธ์ กรอบการทำงานจะแสดงรายการเทคนิคต่างๆ ที่ฝ่ายตรงข้ามอาจใช้ ตัวอย่างเช่น ภายใต้กลยุทธ์ "การเข้าถึงเบื้องต้น" เทคนิคต่างๆ อาจรวมถึงการส่งอีเมลฟิชชิ่งแบบพุ่งเป้า หรือการใช้ประโยชน์จากแอปพลิเคชันที่เปิดเผยต่อสาธารณะ ด้วยการจัดทำรายการเทคนิคเหล่านี้ กรอบการทำงานจะนำเสนอแนวทางการโจมตีที่เป็นไปได้ ซึ่งช่วยให้ฝ่ายป้องกันสามารถปรับแต่งการป้องกันให้เหมาะกับภัยคุกคามที่เป็นไปได้มากที่สุด

ในแต่ละกลยุทธ์ มีเทคนิคหลายอย่างที่ฝ่ายตรงข้ามอาจใช้ ซึ่งสะท้อนถึงเครื่องมือและวิธีการที่หลากหลายในการกำจัดของพวกเขา การทำความเข้าใจเทคนิคเหล่านี้ถือเป็นสิ่งสำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ เนื่องจากช่วยให้พวกเขาสามารถระบุแนวทางการโจมตีที่อาจเกิดขึ้นได้ และใช้การป้องกันที่เหมาะสม

กรอบการทำงานของ MITER ATT&CK รวบรวมเทคนิคต่างๆ มากมาย ที่ฝ่ายตรงข้ามใช้เพื่อบรรลุวัตถุประสงค์ตลอดวงจรการโจมตี แม้ว่าความเกี่ยวข้องของเทคนิคเฉพาะอาจแตกต่างกันไปขึ้นอยู่กับบริบท สภาพแวดล้อม และเป้าหมาย แต่ก็มีหลายเหตุการณ์ที่มักพบเห็นในเหตุการณ์ต่างๆ มากมาย

ด้านล่างนี้ เราจะสรุปเทคนิคทั่วไปบางส่วนที่มีรายละเอียดอยู่ในกรอบงาน โดยเน้นการใช้งานอย่างแพร่หลายและความจำเป็นที่สำคัญในการป้องกันเทคนิคเหล่านั้น

  • ฟิชชิ่ง (T1566): การใช้การสื่อสารที่ฉ้อโกง ซึ่งมักส่งอีเมลเพื่อหลอกลวงผู้ใช้ให้ให้ข้อมูลที่ละเอียดอ่อนหรือดำเนินการเพย์โหลดที่เป็นอันตราย
  • ไดรฟ์บายประนีประนอม (T1189): การใช้ประโยชน์จากช่องโหว่ในเว็บเบราว์เซอร์เพื่อรันโค้ดเพียงแค่ไปที่เว็บไซต์ที่ถูกบุกรุก
  • ล่ามคำสั่งและการเขียนสคริปต์ (T1059): การใช้สคริปต์หรือคำสั่งเพื่อดำเนินการ PowerShell (T1059.001) แพร่หลายเป็นพิเศษเนื่องจากความสามารถอันทรงพลังและการบูรณาการอย่างลึกซึ้งกับสภาพแวดล้อม Windows
  • การดำเนินการของผู้ใช้ (T1204): หลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตราย เช่น โดยการเปิดไฟล์แนบหรือลิงก์ที่เป็นอันตราย
  • คีย์เรียกใช้รีจิสทรี / โฟลเดอร์เริ่มต้น (T1547.001): การเพิ่มโปรแกรมลงในรีจิสตรีคีย์หรือโฟลเดอร์เริ่มต้นเพื่อรันมัลแวร์โดยอัตโนมัติเมื่อเริ่มต้นระบบ
  • การจัดการบัญชี (T1098): กำลังแก้ไข บัญชีผู้ใช้ เพื่อรักษาการเข้าถึง เช่น การเพิ่มข้อมูลประจำตัวให้กับบัญชีโดเมน
  • การแสวงหาประโยชน์เพื่อยกระดับสิทธิพิเศษ (T1068): ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์เพื่อรับสิทธิพิเศษในระดับที่สูงขึ้น
  • บัญชีที่ถูกต้อง (T1078): การใช้ข้อมูลรับรองที่ถูกต้องเพื่อเข้าถึง ซึ่งมักจะนำไปสู่สิทธิ์การยกระดับหากข้อมูลรับรองเป็นของผู้ใช้ที่มีสิทธิ์เข้าถึงมากกว่า
  • ไฟล์หรือข้อมูลที่สร้างความสับสน (T1027): ซ่อนโค้ดที่เป็นอันตรายภายในไฟล์เพื่อหลบเลี่ยงการตรวจจับ
  • การปิดใช้งานเครื่องมือความปลอดภัย (T1562): การดำเนินการเพื่อปิดใช้งานซอฟต์แวร์รักษาความปลอดภัยหรือบริการที่สามารถตรวจจับหรือป้องกันกิจกรรมที่เป็นอันตราย
  • การทิ้งข้อมูลรับรอง (T1003): การแยกข้อมูลประจำตัวออกจากระบบ บ่อยครั้งผ่านเครื่องมืออย่าง Mimikatz
  • อินพุตจับภาพ (T1056): บันทึกอินพุตของผู้ใช้ รวมถึงการคีย์ล็อก เพื่อบันทึกข้อมูลรับรองและข้อมูลละเอียดอ่อนอื่น ๆ
  • การค้นหาข้อมูลระบบ (T1082): รวบรวมข้อมูลเกี่ยวกับระบบเพื่อแจ้งการดำเนินการเพิ่มเติม เช่น เวอร์ชันซอฟต์แวร์และการกำหนดค่า
  • การค้นพบบัญชี (T1087): การระบุบัญชี บ่อยครั้งเพื่อทำความเข้าใจสิทธิพิเศษและบทบาทภายในสภาพแวดล้อม
  • บริการระยะไกล (T1021): การใช้บริการระยะไกล เช่น Remote Desktop Protocol (RDP), Secure Shell (SSH) หรืออื่นๆ เพื่อย้ายข้ามระบบ
  • ผ่านตั๋ว (T1097): ใช้ถูกขโมย Kerberos ตั๋วเพื่อตรวจสอบสิทธิ์ในฐานะผู้ใช้รายอื่นโดยไม่ต้องใช้รหัสผ่านธรรมดา
  • พอร์ตที่ใช้กันทั่วไป (T1043): การใช้พอร์ตที่ปกติเปิดให้รับส่งข้อมูลทางอินเทอร์เน็ตเพื่อสื่อสารกับระบบควบคุม ช่วยให้ผสมผสานกับการรับส่งข้อมูลที่ถูกกฎหมาย
  • โปรโตคอลชั้นแอปพลิเคชันมาตรฐาน (T1071): การใช้โปรโตคอล เช่น HTTP, HTTPS หรือ DNS เพื่ออำนวยความสะดวกในการสั่งการและควบคุมการสื่อสาร ทำให้การตรวจจับมีความท้าทายมากขึ้น
  • ข้อมูลที่เข้ารหัสสำหรับผลกระทบ (T1486): การเข้ารหัสข้อมูลเพื่อป้องกันการใช้งานและอาจใช้ประโยชน์จากข้อมูลเพื่อเรียกค่าไถ่
  • การกรองผ่านช่องคำสั่งและการควบคุม (T1041): การส่งข้อมูลที่ถูกขโมยไปผ่านช่องทางเดียวกับที่ใช้สำหรับการสั่งการและการควบคุมเพื่อหลีกเลี่ยงรอยเท้าเครือข่ายเพิ่มเติม

เทคนิคเหล่านี้เป็นเพียงตัวอย่างหนึ่งของตัวเลือกมากมายที่ฝ่ายตรงข้ามมีอยู่ แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพจำเป็นต้องมีการศึกษาอย่างต่อเนื่องและการปรับตัวเพื่อรับมือกับเทคนิคเหล่านี้และเทคนิคที่เกิดขึ้นใหม่ ด้วยการทำความเข้าใจและเตรียมพร้อมสำหรับเทคนิคทั่วไปเหล่านี้ องค์กรต่างๆ จึงสามารถปรับปรุงท่าทีในการป้องกันและลดความเสี่ยงของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ

ขั้นตอนการ

ขั้นตอนคือการนำเทคนิคเฉพาะไปใช้โดยผู้คุกคามที่เกิดขึ้นจริง พวกเขาเป็นตัวแทนของการประยุกต์ใช้เทคนิคในโลกแห่งความเป็นจริง โดยให้ตัวอย่างว่ากลุ่มฝ่ายตรงข้ามอาจใช้ประโยชน์จากเทคนิคเพื่อให้บรรลุวัตถุประสงค์ได้อย่างไร รายละเอียดระดับนี้จะเพิ่มความลึกให้กับกรอบการทำงาน ซึ่งแสดงให้เห็นการใช้เทคนิคในทางปฏิบัติในบริบทต่างๆ

สิ่งเหล่านี้แสดงถึงการใช้เทคนิคที่เกิดขึ้นจริงในสถานการณ์จริง โดยนำเสนอตัวอย่างโดยละเอียดว่าฝ่ายตรงข้ามใช้วิธีการเหล่านี้อย่างไรเพื่อให้บรรลุเป้าหมาย องค์กรต่างๆ สามารถรับข้อมูลเชิงลึกเกี่ยวกับรูปแบบการทำงานของผู้ก่อภัยคุกคามโดยการศึกษาขั้นตอนต่างๆ ทำให้พวกเขาสามารถปรับแต่งการป้องกันของตนได้อย่างเหมาะสม

เฟรมเวิร์กนี้ได้รับการจัดระเบียบเพิ่มเติมเป็นเมทริกซ์สำหรับแพลตฟอร์มที่แตกต่างกัน โดยยอมรับลักษณะที่แตกต่างกันของภัยคุกคามทางไซเบอร์ในสภาพแวดล้อมเช่น Windows, macOS, Cloud และอื่น ๆ ความแตกต่างนี้ช่วยให้แน่ใจว่าข้อมูลเชิงลึกของกรอบการทำงานมีความเกี่ยวข้องและสามารถดำเนินการได้ทั่วทั้งโครงสร้างพื้นฐานด้านไอทีในวงกว้าง

การประยุกต์ใช้ในสถานการณ์จริง

การใช้งานจริงของ MITER ATT&CK Framework ในสถานการณ์จริงเป็นการตอกย้ำคุณค่าของมันต่อความปลอดภัยทางไซเบอร์และผู้เชี่ยวชาญด้านไอที ด้วยการให้ความเข้าใจโดยละเอียดเกี่ยวกับพฤติกรรมของฝ่ายตรงข้าม กรอบการทำงานดังกล่าวช่วยอำนวยความสะดวกในแนวทางเชิงรุกด้านความปลอดภัย เพิ่มขีดความสามารถขององค์กรในการคาดการณ์ ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์

การเสริมสร้างข่าวกรองเกี่ยวกับภัยคุกคาม

  • โปรไฟล์ฝ่ายตรงข้ามที่ครอบคลุม: ด้วยการรวบรวมและวิเคราะห์เทคนิคที่เกี่ยวข้องกับผู้คุกคามที่เฉพาะเจาะจง กรอบงานช่วยให้องค์กรต่างๆ พัฒนาโปรไฟล์ฝ่ายตรงข้ามโดยละเอียด โดยนำเสนอข้อมูลเชิงลึกเกี่ยวกับการโจมตีที่อาจเกิดขึ้นในอนาคต
  • การวิเคราะห์แนวโน้ม: กรอบการทำงานช่วยในการระบุแนวโน้มที่เกิดขึ้นใหม่ของภัยคุกคามทางไซเบอร์ ช่วยให้ทีมรักษาความปลอดภัยสามารถปรับการป้องกันตามความคาดหมายของกลยุทธ์และเทคนิคที่พัฒนาไป

เสริมสร้างความเข้มแข็งในการปฏิบัติการด้านความปลอดภัย

  • การประเมินมาตรการรักษาความปลอดภัย: องค์กรต่างๆ ใช้กรอบการทำงานของ MITER ATT&CK เพื่อประเมินมาตรการรักษาความปลอดภัย ระบุช่องโหว่ที่อาจเกิดขึ้นในการป้องกัน และจัดลำดับความสำคัญของความพยายามในการแก้ไขตามเทคนิคที่เกี่ยวข้องกับแนวภัยคุกคามมากที่สุด
  • การล่าสัตว์ตามภัยคุกคาม: ผู้เชี่ยวชาญด้านความปลอดภัยใช้ประโยชน์จากกรอบการทำงานเพื่อเป็นแนวทางในกิจกรรมการล่าสัตว์ภัยคุกคาม โดยใช้กลยุทธ์และเทคนิคที่เป็นที่รู้จักเป็นตัวบ่งชี้การประนีประนอมเพื่อเปิดเผยภัยคุกคามที่แฝงอยู่ภายในสภาพแวดล้อมของตน

การแจ้งการตอบสนองต่อเหตุการณ์

  • การเร่งการตรวจจับและการตอบสนอง: ทีมตอบสนองต่อเหตุการณ์ใช้กรอบงานเพื่อระบุกลยุทธ์และเทคนิคที่ใช้ในการโจมตีอย่างรวดเร็ว ช่วยให้การตอบสนองเร็วขึ้นและตรงเป้าหมายมากขึ้นต่อการละเมิด
  • การวิเคราะห์หลังเหตุการณ์: หลังจากเกิดเหตุการณ์ กรอบงานจะถูกนำมาใช้เพื่อวิเคราะห์ห่วงโซ่การโจมตี โดยให้บทเรียนอันมีค่าที่สามารถใช้เพื่อเสริมการป้องกันจากการโจมตีในอนาคต

ประวัติความเป็นมาของกรอบการทำงานของ MITER ATTACK

การกำเนิดของกรอบการทำงาน MITER ATT&CK ย้อนกลับไปในปี 2013 ซึ่งถือเป็นจุดสุดยอดของความพยายามของ MITRE ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่มีชื่อเสียงในด้านความทุ่มเทในการแก้ไขปัญหาความท้าทายสาธารณะที่สำคัญผ่านการวิจัยและนวัตกรรม นับตั้งแต่ก่อตั้งเป็นโครงการภายใน MITER เพื่อบันทึกพฤติกรรมของภัยคุกคามขั้นสูงแบบถาวร (APT) กรอบงานได้ก้าวข้ามขอบเขตเริ่มแรก และได้พัฒนาเป็นสารานุกรมเกี่ยวกับกลยุทธ์และเทคนิคของฝ่ายตรงข้ามที่ได้รับการยอมรับทั่วโลก

วันแรก ๆ

การเริ่มต้นของ ATT&CK ได้รับแรงผลักดันจากความต้องการภาษาและวิธีการที่เป็นมาตรฐานในการอธิบายและจัดหมวดหมู่พฤติกรรมของฝ่ายตรงข้ามในโลกไซเบอร์ ก่อนที่จะมี ATT&CK ชุมชนความปลอดภัยทางไซเบอร์ยังขาดกรอบการทำงานที่เป็นหนึ่งเดียวในการแบ่งปันข้อมูลเกี่ยวกับวิธีการดำเนินการของภัยคุกคาม ทำให้การสร้างการป้องกันโดยรวมต่อศัตรูทั่วไปเป็นเรื่องที่ท้าทาย เมื่อตระหนักถึงช่องว่างนี้ MITER จึงเริ่มสร้างเครื่องมือที่ไม่เพียงแต่ช่วยให้เข้าใจพฤติกรรมภัยคุกคามได้ดีขึ้น แต่ยังส่งเสริมการทำงานร่วมกันภายในชุมชนความปลอดภัยทางไซเบอร์อีกด้วย

การขยายตัวและวิวัฒนาการ

สิ่งที่เริ่มต้นจากการรวบรวมเทคนิคเล็กๆ น้อยๆ ที่พบในแคมเปญ APT ได้ขยายตัวอย่างรวดเร็ว เนื่องจากการสนับสนุนจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั่วโลกเริ่มเพิ่มคุณค่าให้กับกรอบการทำงาน ความพยายามในการทำงานร่วมกันนี้นำไปสู่การกระจายตัวของกรอบการทำงาน โดยขยายความสามารถในการนำไปใช้นอกเหนือจาก APT เพื่อครอบคลุมภัยคุกคามทางไซเบอร์ที่หลากหลายในสภาพแวดล้อมต่างๆ รวมถึงระบบคลาวด์ อุปกรณ์เคลื่อนที่ และระบบเครือข่าย

เป้าหมายหลัก

  • 2013: เปิดตัว ATT&CK Framework โดยเริ่มแรกมุ่งเน้นไปที่ภัยคุกคามบน Windows
  • 2015: การแนะนำเมทริกซ์สำหรับแพลตฟอร์มอื่นๆ เช่น macOS และ Linux ซึ่งสะท้อนให้เห็นถึงความครอบคลุมที่เพิ่มขึ้นของเฟรมเวิร์ก
  • 2017: การขยายตัวเพื่อให้ครอบคลุมภัยคุกคามบนมือถือ โดยเน้นถึงภูมิทัศน์ที่เปลี่ยนแปลงไปของข้อกังวลด้านความปลอดภัยทางไซเบอร์
  • 2018: การเปิดตัวเมทริกซ์ ATT&CK สำหรับองค์กร นำเสนอข้อมูลเชิงลึกเกี่ยวกับกลยุทธ์และเทคนิคของฝ่ายตรงข้ามบนแพลตฟอร์มหลักทั้งหมด
  • 2020 and Beyond: การอัปเดตอย่างต่อเนื่องและการแนะนำเทคนิคย่อยเพื่อให้ข้อมูลเชิงลึกที่ละเอียดยิ่งขึ้นเกี่ยวกับพฤติกรรมของฝ่ายตรงข้าม

การพัฒนา ATT&CK โดดเด่นด้วยความมุ่งมั่นอย่างต่อเนื่องต่อการเปิดกว้างและการมีส่วนร่วมของชุมชน ด้วยการขอคำติชมและการสนับสนุนจากผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ทั่วโลก MITER จึงมั่นใจได้ว่ากรอบการทำงานยังคงมีความเกี่ยวข้อง ทันสมัย ​​และสะท้อนถึงกลยุทธ์ล่าสุดของฝ่ายตรงข้าม

ผลกระทบต่อความปลอดภัยทางไซเบอร์

MITER ATT&CK Framework ได้เปลี่ยนแปลงพื้นฐานวิธีที่องค์กรต่างๆ เข้าถึงความปลอดภัยทางไซเบอร์ การให้รายละเอียดที่ครอบคลุมเกี่ยวกับพฤติกรรมของฝ่ายตรงข้ามได้กำหนดมาตรฐานคำศัพท์ที่ใช้ในการวิเคราะห์ภัยคุกคามทางไซเบอร์ ทำให้การสื่อสารและการทำงานร่วมกันมีประสิทธิภาพมากขึ้นทั่วทั้งอุตสาหกรรม นอกจากนี้ กรอบการทำงานยังกลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับการดำเนินการด้านความปลอดภัย ข้อมูลภัยคุกคาม และกลยุทธ์การป้องกัน โดยชี้แนะองค์กรในการพัฒนามาตรการรักษาความปลอดภัยทางไซเบอร์ที่มีความยืดหยุ่นและเชิงรุกมากขึ้น

ประวัติความเป็นมาของ MITER ATT&CK Framework เป็นข้อพิสูจน์ถึงพลังของความรู้ที่รวบรวมและความสำคัญของแนวทางการรักษาความมั่นคงปลอดภัยทางไซเบอร์แบบครบวงจร การพัฒนาจากความพยายามที่มุ่งเน้นในการบันทึกพฤติกรรม APT ไปจนถึงคำแนะนำที่ครอบคลุมเกี่ยวกับภัยคุกคามทางไซเบอร์ทั่วโลก เป็นตัวอย่างลักษณะธรรมชาติแบบไดนามิกของภูมิทัศน์ทางไซเบอร์และความจำเป็นในการปรับตัวและการทำงานร่วมกันอย่างต่อเนื่อง

กลับไปยังคำศัพท์