Principais conclusões do MITRE ATT&CKcon 3.0 para defensores

MITRE ATT&CKcon 3.0, a conferência dedicada à comunidade ATT&CK, retornou à sede do MITRE na Virgínia no mês passado. Para relembrar, MITRE ATT&CK® é uma base de conhecimento de táticas e técnicas adversárias baseadas em observações do mundo real.

Neste artigo, estou entusiasmado em compartilhar insights que reuni de palestrantes e conversas com defensores globais na ATT&CKcon 3.0. Estas informações dizem respeito ao envolvimento da comunidade, à adaptação dos dados de segurança cibernética ao público certo, à ligação de eventos díspares para acelerar a identificação e à capitalização da oportunidade inexplorada de educar as pequenas e médias empresas (PME).

1. O envolvimento da comunidade com MITRE ATT&CK permanece forte

A comunidade ATT&CK foi formada para discutir, trocar e melhorar o uso de táticas, técnicas e procedimentos adversários (TTPs) em casos de uso prático. O recorde de 155 submissões e contribuições globais feitas à ATT&CK no ano passado exemplifica como a comunidade está comprometida com o compartilhamento e análise de ameaças à segurança cibernética. Por sua vez, o MITRE aprimorou a estrutura ATT&CK adicionando cobertura para áreas como nuvem e Sistemas de Controle Industrial (ICS).

Essa colaboração neutra em relação ao fornecedor continua a evoluir no cenário de ameaças em constante mudança. As empresas e entidades governamentais continuam a aprender sobre a ATT&CK e estão em vários estágios de adoção e utilização diária.

2. Lidere com os dados e histórias de usuários

Os palestrantes da ATT&CKcon 3.0 destacaram as lições aprendidas na comunicação com dados. É crucial adaptar o conteúdo técnico e as mensagens a cada público, como transmitir riscos e resultados aos executivos e mais detalhes operacionais aos profissionais técnicos. Muitos apresentadores seguiram seus próprios conselhos e apresentaram o resultado final (BLUF) em um resumo conciso. Evite o efeito HiPPO, onde a opinião de uma pessoa com altos salários (HiPPO) pesa mais do que dados e fatos na condução de decisões de segurança cibernética. Finalmente, a investigação demonstrou que os seres humanos se identificam e recordam mais quando a narrativa e a emoção são utilizadas na comunicação, por isso trabalhe para tecer casos de utilização e exemplos sempre que possível.

3. Otimize a eficiência do analista com uma defesa informada sobre ameaças

Muitos analistas da equipe vermelha e caçadores de ameaças experimentam fadiga de alerta ao lidar com o volume crescente de alertas de segurança cibernética atual. O contexto limitado e o enriquecimento de ameaças tornam difícil destilar as ações e resultados reais do adversário. Os apresentadores da conferência ATT&CK falaram sobre defesa informada sobre ameaças e alertas baseados em riscos para melhor priorizar e correlacionar insights. Conectar os pontos em eventos de segurança aparentemente não relacionados ou inócuos em seu ambiente, especialmente usando táticas e técnicas ATT&CK, permite uma resposta mais rápida a incidentes. A priorização de riscos e a automação de ameaças também melhoram a eficiência e a eficácia dos analistas do Security Operations Center (SOC) em um mundo de recursos limitados.

4. A segurança cibernética é uma segurança centrada no ser humano

Mais de três milhões de vagas de emprego em segurança cibernética não preenchidas exigem uma detecção de ameaças cibernéticas e uma priorização de incidentes ainda mais inteligentes para aumentar a eficiência e a eficácia de recursos limitados. Não existe solução mágica na segurança cibernética; é necessário um equilíbrio entre pessoas, processos e tecnologia. Os dispositivos por si só são insuficientes para criar inteligência de ameaças acionável. Requer experiência prática de humanos na forma de analistas de SOC, analistas de inteligência de ameaças e caçadores de ameaças.

As equipes de segurança cibernética estão dispersas, por isso é ainda mais crucial automatizar tarefas rotineiras e priorizar como os especialistas humanos, como os analistas SOC, podem lidar com ameaças mais furtivas e perigosas. Os TTPs da ATT&CK permitem que equipes menores com pessoal e experiência limitados entendam os adversários e se defendam melhor. Por outro lado, foi encorajador conhecer a equipe feminina de analistas cibernéticos da Temple University que apresentou na ATT&CK sobre como os alunos mapeiam técnicas de engenharia social para a matriz ATT&CK. Para muitos de nós, inclusive eu, foi a primeira conferência e treinamento presencial em mais de 20 meses. Com participação presencial limitada, a equipe da ATT&CK planeja publicar online todas as apresentações em vídeo da conferência.

5. Continue a educar pequenas e médias empresas

Organizações e fornecedores maiores foram os primeiros a adotar a ATT&CK e integrá-la em sua pilha de tecnologia e portfólios de produtos. Foi emocionante ver os usuários e apresentadores da ATT&CK compartilhando ideias e colaborando para uma defesa global mais robusta. Mas com mais de 80% das organizações consideradas pequenas e médias empresas, é crucial que sejam educadas e envolvidas na adoção da terminologia padrão e dos TTPs. Como provedor mestre de serviços de segurança gerenciados (MSSP), a Netsurion está focada em munir os provedores de serviços de TI e os clientes finais com meios atualizados de defesa contra ameaças persistentes avançadas.

Considerações finais para otimizar a segurança cibernética

Esteja você apenas começando sua carreira em segurança cibernética ou procurando aprimorar suas capacidades e eficiências, a estrutura ATT&CK melhora os resultados e promove o compartilhamento de informações. Também simplifica a Inteligência de Ameaças à Segurança Cibernética (CTI) para defensores globais, coletando e analisando ataques atuais e futuros para melhorar a tomada de decisões. Lideramos o caminho com a integração da ATT&CK na solução de proteção gerenciada contra ameaças da Netsurion para ajudar organizações de todos os tamanhos a se prepararem melhor para os criminosos cibernéticos avançados de hoje.