Představte si nesmírně rozsáhlou, naprosto bezplatnou a globální encyklopedii věnující se čistě exaktním analýzám reálného chování internetových hackerů a světových státních útočných skupin. Založila a spravuje ji americká nezisková organizace MITRE, a v dnešní době na jejich vydaných tabulkách a slovnících stojí celý moderní kyberbezpečnostní průmysl planety.

Pro organizaci záchytných bodů udržuje ústav obrovské maticové modely útočníků i moderních obránců:

1. MITRE ATT&CK

Zdaleka nejslavnější standard, od kterého se odráží snad polovina bezpečnostních reportů. Rámec ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) se na svět dívá výhradně surovými brýlemi útočníka (“Red Teamu”). MITRE z narvalích objemů reálných dat posbíraných ze skutečných útoků vygeneroval nekonečnou excelovou tabulku chování.

Tato mapa obsahuje desítky sloupečků představující logické Taktiky (sekce např. fáze Krádež hesel nebo Průzkum sítě), a uvnitř těchto sloupků podkategorie formou konkrétních Technik (např. v sekci hesel je stovka technik, od Útoku hrubou silou na protokol SSH, po Rozlousknutí hesel držených v paměti RAM procesů prohlížečů).

Díky ATT&CK matici si firmy mohou na přehledné obří “tapetě” reálně odškrtnout, jakými postupy na ně útočníci mohou vůbec ve vesmíru skočit a vzápětí ověří, zdali na to má jejich antivirus (EDR) připravené filtry. Znalost a práce uvnitř této matice je tím nejelementárnějším grófem pro obor lovení hrozeb (tzv. Threat Hunting).

2. MITRE D3FEND

Zatímco ATT&CK mapuje to, jak škodí útočníci, relativně nový rámec D3FEND plní přesně opačnou stranu mince. Je to logický navazující katalog věnovaný architektům a obráncům systému (“Blue Teamu”), který do detailu popisuje specifické defenzivní protiopatření. Pokud v první tabulce (ATT&CK) najdete hackerskou techniku okrádání a bojíte se jí, framework D3FEND vám absolutně exaktně nabídne příslušné hardwarové či softwarové proti-články. Popíše z jakých senzorických dat či stěn máte tento specifický okruh zkusit zabezpečit a nepropustit ani myš.

Díky propletení ATT&CK i D3FEND se z kyber-obrany stává věda – přestává fungovat styl nahodile panicky koupíme drahý antivirus. Organizace investují přesná procenta rozpočtu pouze na zalepení červených dívek rizik vyčtených přímo ze statistik a tabulek.

3. Výzkum a Systémy pro detekce

Jelikož je odvracení nebezpečí neustálý proces kočky a myši chytající sebemenší anomálie v provozu u internetových routerů, model organizace nezůstává jen na dvou polích. Udržují komunitu pro detekce a aktivní zkoušky sítě:

  • MITRE Engage: Oproti klasickým stěnám jde o exkluzivní matici věnovanou technologiím strategické obrany a takzvané Decepci (klamání útočníka, chytání na falešná data a slepé virtuální servery uvnitř sítě napodobující cenné šperky, známé jako Honeypots).
  • MITRE CAR (Cyber Analytics Repository): Neocenitelná znalostní báze a model reálných analytických pseudo-kódů sloužících výhradně pro hrubou Detekci hrozeb z provozních logových zápisů na pozadí (D3TECT/DETECT). Analyzuje miliony textových řádků například přes nástroje vykrývající SIEM. Databáze CAR je tvrdě provázaná opětovně zpět s modely taktik ATT&CK tak, aby administrátoři věděli, na kterou konkrétní IP anomálii v serverech se přesně příkazovou řádkou dotázat pro nalezení zákeřné stopy napadení vytržené ze souvislostí.
  • MITRE Caldera: Plně simulativní otevřený rámec postavený kvůli emulaci reálných kyber-válečných her a útoků spouštěných potají uvnitř vlastní firemní pobočky z bezpečí tak, aby otestovali, jak dobře jsou zaměstnanci s infrastrukturou odolní před tím, než se ozve reálný poplach spuštěného Ransamwaru.