Promuovere la Crescita Aziendale in Tempi Turbolenti dal Punto di Vista del CEO di SOC Prime: Parte II
Indice:
Come la fusione di Sigma & MITRE ATT&CK® potenzia la Difesa Cyber Collettiva per ottenere un Vantaggio Competitivo nella Guerra Cibernetica Globale
Questo articolo si basa sull’intervista originale condotta da AIN.UA e trattata nell’ articolo corrispondente.
In questa seconda parte dell’intervista con il Fondatore, CEO e Presidente di SOC Prime, Andrii Bezverkhyi, forniremo alcune intuizioni su come Sigma, in combinazione con MITRE ATT&CK, plasmi il futuro della difesa cibernetica. Per saperne di più sulla strategia di continuità aziendale di SOC Prime, consulta l’intervista iniziale con il CISO di SOC Prime della serie di articoli dedicati.
Cosa sono Sigma e MITRE ATT&CK — La “Tavola Periodica” delle Minacce informatiche
Sigma, un linguaggio comune per tutti gli esperti di cybersecurity nel mondo, è stato creato nel 2016. All’epoca, Florian Roth e Thomas Patzke hanno fatto il primissimo commit nel repository SigmaHQ su GitHub. Ma come funziona questo linguaggio?
Tradizionalmente, gli antivirus funzionano con database di firme (l’elenco degli indicatori) per tutte le minacce esistenti. I database di firme per gli antivirus proprietari e i loro successori, le soluzioni EDR, sono tipicamente chiusi, quindi un utente normale osserva il risultato dell’implementazione. Ma con la conoscenza di Sigma, gli utenti possono creare tali firme per qualsiasi minaccia esistente o emergente e aggiungere quelle firme a un database aperto accessibile a chiunque.
Sigma consente di esprimere la firma comportamentale per qualsiasi tecnologia di sicurezza da un registro eventi locale per Microsoft Windows o Sysmon alla telemetria AWS o ai container Docker, il che consente agli ingegneri della rilevazione di identificare l’esatta problematica e dove si è verificata. Sfruttando Sigma, l’amministratore dell’azienda sarà in grado di identificare il phishing tramite URL email, tentativi di sfruttare una vulnerabilità zero-day scoperta nell’applicazione web dell’organizzazione, o potenziali attacchi alla multi-fattore autenticazione (MFA) che colpiscono lo spazio di lavoro Slack aziendale.
Gli esperti di SOC Prime sono tra i pionieri nell’uso delle regole Sigma per un’efficace rilevazione delle minacce e difesa cibernetica proattiva. Inoltre, l’azienda ha introdotto per prima la classificazione delle regole Sigma con il framework MITRE ATT&CK che funge da base di conoscenza accessibile globalmente di TTPs degli avversari utilizzati da tutti i difensori informatici indipendentemente dal loro ruolo nella sicurezza informatica e dallo stack tecnologico in uso. Il framework è stato creato da MITRE, e proprio come Sigma, è un progetto open-source mantenuto e sviluppato dalla comunità globale di esperti.
Le regole Sigma sono ampiamente raccomandate come un metodo efficace per identificare le minacce e rilevare proattivamente gli attacchi informatici da organizzazioni come il Federal Bureau of Investigation (FBI), la National Security Agency (NSA), il Centro di Sicurezza Informatica Australiano (ACSC), e il Centro Canadese di Cybersecurity (CCCS). La Cybersecurity and Infrastructure Security Agency (CISA) si riferisce a ATT&CK come una “base di conoscenza accessibile globalmente delle tattiche e tecniche degli avversari basata su osservazioni nel mondo reale.”
Prima di MITRE ATT&CK, il livello di maturità nella sicurezza informatica era lo stesso di fisica e chimica prima dell’invenzione della tavola periodica. È una base di conoscenze categorizzata di tutti gli attacchi informatici emergenti a livello globale. Dunque, Sigma agisce come linguaggio, e il framework ATT&CK come metodologia per affrontare le minacce cibernetiche di qualsiasi scala.
Andrii Bezverkhyi, Fondatore, CEO, e Presidente di SOC Prime
Ma come funziona nella pratica? Nel caso del famigerato attacco NotPetya, le regole Sigma per la rilevazione delle minacce sono state create da uno degli inventori di Sigma, Florian Roth, e dall’esperto di cybersecurity, Tom Ueltschi. Allo stesso tempo, il Team di SOC Prime stava sfruttando queste regole Sigma per aiutare le vittime dell’attacco NotPetya sul posto fondendo Sigma con le tecnologie ATT&CK e Lockheed Martin Cyber Kill Chain (LMCKC). È stato il primo utilizzo al mondo degli algoritmi Sigma in combinazione con ATT&CK per identificare e attribuire la vera minaccia.
Durante l’attacco Sandworm sulle strutture energetiche ucraine nell’aprile 2022, il Team di SOC Prime ha identificato 9 su 13 metodi utilizzati dagli attori delle minacce usando le stesse tecnologie. Notevolmente, le regole Sigma per questo attacco erano state sviluppate due anni prima, nel 2020.
SOC Prime è uno degli esperti rinomati nel sfruttare Sigma & MITRE ATT&CK per rilevare le minacce in modo più semplice, veloce, ed efficiente che mai. Nel maggio 2022, il CEO di SOC Prime ha presentato al Nono Workshop Comunitario UE MITRE ATT&CK a Bruxelles. Durante la sua presentazione, Andrii Bezverkhyi ha parlato dell’uso di Sigma e ATT&CK per resistere all’aggressione russa sulla linea di fronte cibernetica, applicando il framework come uno dei pilastri chiave della difesa cibernetica collettiva e il suo ruolo essenziale nel combattere le minacce informatiche globali. E da ora in poi, queste tecnologie stanno servendo la nazione ucraina.
Come la Combinazione di Sigma e MITRE ATT&CK Aiuta l’Ucraina a Combattere il Nemico
Dall’inizio della guerra su vasta scala, Andrii Bezverkhyi si è rivolto al SSSCIP con un’offerta per applicare Sigma in congiunzione con ATT&CK come una tecnologia già testata sul campo di battaglia reale.
Abbiamo il più grande repository mondiale di firme per rilevare attacchi di avversari, e siamo pronti a fornire queste firme alle organizzazioni in Ucraina. Inoltre, aiutiamo con installazione e configurazioni, formiamo i dipendenti, e il 99% di questo lo facciamo gratuitamente. È così che abbiamo iniziato a lavorare con i team SSSCIP e CERT-UA.
Andrii Bezverkhyi, Fondatore, CEO, e Presidente di SOC Prime
SOC Prime fornisce al Centro di Protezione Cybernetica dello Stato e ai team CERT-UA accesso gratuito alle sue tecnologie di difesa informatica e formazione professionale su richiesta. Se i rappresentanti delle infrastrutture critiche dell’Ucraina (aziende elettriche, aziende di trasporto, fornitori di servizi postali o di comunicazione, ecc.) si rivolgono a SOC Prime su raccomandazione di SSSCIP, il Team fornisce loro tecnologie di base per difendersi contro il nemico.
SSSCIP non corrisponde all’immagine tipica dell’istituzione governativa burocratica. Il flusso di lavoro e le comunicazioni sono puramente democratici: il Servizio consiglia, non impone, e il suo team guida, non forza. E questa è probabilmente la nostra principale differenza rispetto ai russi. Oltre a sfruttare la tecnologia innovativa, agiamo come consulenti. Questo è importante, poiché, sfortunatamente, c’è una grande mancanza di professionisti di cybersecurity nelle amministrazioni locali o nelle cliniche.
Andrii Bezverkhyi, Fondatore, CEO, e Presidente di SOC Prime
Inoltre, SSSCIP agisce come regolatore nell’area della protezione dei dati e delle comunicazioni definita dalla legge. Inoltre, il Servizio assiste le imprese ucraine considerando che tutti i beni sparsi per il paese dovrebbero essere sotto protezione. È un prerequisito fondamentale per la resilienza cibernetica dello stato.
Le tecnologie all’avanguardia applicate dal nemico nello spazio cibernetico sono solo finzione. L’aggressore sta usando ciò che il mondo sta sfruttando da anni. Se tutte le organizzazioni pubbliche e private utilizzassero Sigma e ATT&CK, bloccassero automaticamente i metodi di movimento laterale più comuni, e condividessero i dettagli sull’infrastruttura dell’avversario — qualsiasi attacco informatico sarebbe facilmente rilevato in pochi secondi. Tuttavia, è solo una visione del futuro ideale possibile tra tre o cinque anni.
Per realizzare questa visione del futuro, la comunità della sicurezza informatica dovrebbe formare e supportare la prossima generazione di praticanti cibernetici abili nelle nuove tecnologie. Tra i modi per raggiungere questo ambizioso obiettivo c’è il Threat Bounty Program di SOC Prime.
Il primo passo per combattere una minaccia informatica è la sua identificazione. Senza di essa, qualsiasi operazione di difesa cibernetica non può essere efficiente. Per più di 30 anni, l’industria ha offerto ricompense monetarie (bounty) a specialisti che segnalano le vulnerabilità di sicurezza scoperte nelle reti, nei siti web e nei servizi. Ora è giunto il momento per i programmi di premiare coloro che possono identificare e descrivere la logica dell’attacco. È semplicemente l’altro lato della medaglia. Per difendere efficacemente contro le minacce cibernetiche, il numero di persone che descrivono la difesa dovrebbe essere non meno di quelli che descrivono l’offesa.
La comunità del Threat Bounty ora collega oltre 620 membri, e questo numero è in continua crescita. Dalla lancio del Programma, l’importo totale delle ricompense pagate ha già raggiunto $377.000. In alcuni casi, le ricompense mensili a un membro hanno raggiunto $2.700 — il che può essere paragonato allo stipendio di un lavoro a tempo pieno. Prima che SOC Prime ottenesse il finanziamento della Serie A, la ricompensa era pagata dal reddito dell’azienda, ma presto l’investitore ha supportato l’iniziativa. Inoltre, SOC Prime discute con Google e Microsoft le opportunità per il loro coinvolgimento come sponsor.
Per potenziare la difesa cibernetica collettiva, l’industria richiede più esperti abili nelle tecnologie di sicurezza informatica innovative e capaci di identificare e classificare qualsiasi minaccia in pochi secondi. E la domanda per tali esperti in Ucraina è alta, poiché il paese è in prima linea di guerra difendendo in tutti i domini — dalla terra allo spazio cibernetico.
Anche se Mordor si autodistruggesse domani, la guerra cibernetica continuerebbe. Pertanto, l’Ucraina dovrebbe essere capace di difendersi. Ed è per questo che dobbiamo formare persone che saranno coinvolte nella difesa cibernetica per garantire un futuro più sicuro.
Andrii Bezverkhyi, Fondatore, CEO, e Presidente di SOC Prime
