Neuer MITRE ATT&CK-Zertifizierungskurs könnte die Verbreitung des Frameworks fördern

Cyber Security News

Das MITRE ATT&CK Defender-Zertifizierungsprogramm bietet Kurse zu ATT&CK-Grundlagen, Threat Intelligence und SOC-Bewertungen.

Ein neu aufgelegtes Schulungs- und Zertifizierungsprogramm könnte Sicherheitsexperten endlich die dringend benötigte Anleitung bieten, um das angesehene MITRE ATT&CK-Framework effektiver und umfassender in ihre SOC-Bewertungen und Threat Intelligence-Operationen zu integrieren. Einige Sicherheitsexperten haben jedoch gemischte Gefühle über den Rezertifizierungsprozess des Programms geäußert, der von den Fachleuten verlangt, dass sie bei jeder Änderung des Lehrplans aufgrund einer größeren Veränderung in der Bedrohungslandschaft umgehend eine neue Schulung absolvieren müssen.

Obwohl MITRE ATT&CK als ein weltweit führendes Repository für Cyberangriffsmethoden gilt, gaben nur 8 % der Sicherheitsexperten, die kürzlich von Cybersecurity Insiders im Auftrag von MITRE befragt wurden, an, das Framework regelmäßig zu nutzen, während 84 % angaben, dass sie ihre Daten und Analysen nicht auf ATT&CK-Techniken abgestellt haben. Eine aktuelle Studie von CardinalOps ergab, dass SIEM-Regeln und -Richtlinien im Durchschnitt nur 16 % der im Framework aufgeführten Taktiken und Techniken abdecken.

Yair Manor, Mitbegründer und CTO bei CardinalOps, merkte an, dass die meisten Sicherheitsexperten zwar mit dem Ruf des Frameworks vertraut sind, “aber die systematische Nutzung von ATT&CK kann angesichts des schieren Umfangs der in ATT&CK enthaltenen Daten mit Querverweisen entmutigend erscheinen.”

Aber Manor und andere Experten glauben, dass das neue Zertifizierungsprogramm – MITRE ATT&CK Defender (MAD) genannt – endlich die Grundlage für eine breitere Akzeptanz schaffen könnte. Der MAD-Katalog, der gemeinsam von MITRE Engenuity – MITREs technischer Stiftung für gemeinnützige Zwecke – und der Plattform für professionelle Cyber-Entwicklung Cybrary entwickelt wurde, wird zunächst drei Kurse umfassen, die sich auf ATT&CK-Grundlagen, SOC-Bewertungen und Threat Intelligence konzentrieren. Zukünftige Schulungen könnten Fallstudien, “tiefgehende Techniken und vielleicht auch die Auseinandersetzung mit dem Gegner” beinhalten, so Steve Luke, Director of Content bei MAD.

Die Kurse sind kostenlos, aber die Bewertung wird ein kostenpflichtiges Abonnement erfordern. Laut Cybrary haben sich bereits in den ersten Tagen 2.000 bis 3.000 Teilnehmer angemeldet.

Zählen Sie Brandon Hoffman, CISO bei Netenrich, zu den Gläubigen. Hoffman sagte, dass, obwohl ATT&CK ein “großartiges Framework” ist, Sicherheitsexperten oft zögern, viel Zeit und Energie darauf zu verwenden, es in ihre Abläufe zu integrieren, aus der Sorge heraus, dass es “nichts Greifbares gibt, was man für seine Bemühungen vorzeigen könnte”. Aber eine Zertifizierung würde solchen Bemühungen Glaubwürdigkeit verleihen und somit Praktiker ermutigen, “ausgewiesene Zeit darauf zu verwenden und formale Unterstützung oder Genehmigung von ihrem Management zu erhalten.”

James Carder, Chief Security Officer bei LogRhythm, stimmte zu, dass es wertvoll ist, eine Zertifizierung zu besitzen, “die mit dem am meisten referenzierten Cybersicherheits-Framework für Sicherheitsoperationen, -erkennung und -reaktion verbunden ist.” Und auf lange Sicht kann es nur hilfreich sein, mehr informierte MITRE-Experten in diesem Bereich zu haben, “da es eine besser ausgebildete und qualifizierte Belegschaft für Cybersecurity-Operationen bedeutet”, fügte er hinzu.

Die Schulungskurse und Lehrpläne

Stefano De Blasi, Bedrohungsforscher bei Digital Shadows, sagte, dass er glaubt, dass die meisten Organisationen vom ATT&CK-Grundlagenkurs profitieren werden, der eine “sanftere Einführung in ATT&CK” und seine “bedrohungsorientierte Denkweise” bietet, einschließlich “wie man die ATT&CK-Landkarte liest und versteht, wie man die Stärken und Lücken der Organisation angesichts des vorhandenen Werkzeugsatzes identifiziert und wie man einen Plan zum systematischen Schließen der Lücken in der Reihenfolge ihrer Priorität aufstellt.”

De Blasi sagte, dass der Kurs idealerweise die praktischen Vorteile des Frameworks selbst demonstrieren wird, einschließlich wie das Mapping von Kampagnen nach MITRE “helfen kann, das Verhalten von Bedrohungsakteuren zu identifizieren und den Wissensaustausch zwischen den relevanten Parteien zu erhöhen” und wie die Einbeziehung von ATT&CK in die täglichen Abläufe “die Effektivität von Sicherheitsprogrammen erhöhen und Sicherheitsmanagern dazu dienen kann, solide Metriken an die C-Suite zu berichten.”

“Es ist als Startpunkt für jemanden gedacht”, sagte Luke. “Es gibt einen Überblick darüber, warum ATT&CK existiert, und warum es anders und nützlich ist. … Und dann gibt es einen Überblick über verschiedene Anwendungsfälle.”

Zu den wertvolleren Anwendungsfällen für die Teilnehmer gehören “die Anwendung von Threat Intelligence auf Operationen, die Verbesserung der Erkennungstechnik und die Bewertung von Kontrolllücken mithilfe von TTPs”, so Hoffman.

Der Kurs zu Bedrohungsdaten konzentriert sich derweil auf zwei wichtige Lektionen. Erstens geht es darum, wie man Informationen, die noch nicht auf ATT&CK abgebildet sind – Informationen aus Malware-Analysen oder Geheimdienstberichten – auf die im Framework festgelegten TTPs abbildet. Die zweite Frage ist, wie man ATT&CK-gemappte Cyber-Bedrohungsdaten verwaltet und nutzt, einschließlich Speicherung und Analyse, Informationsaustausch und Verwertung der Daten. “Wie erstellt man Empfehlungen für die Verteidiger, um tatsächlich etwas zu tun, um diese Techniken zu blockieren oder zu erkennen?” sagte Lukas.

Das letzte Stück ist der SOC-Bewertungskurs.

“An vielen Orten werden bereits eine Menge Daten gesammelt und Analysen durchgeführt”, sagte Luke. “Die Idee mit dem SOC-Assessment ist also: Wie kann man die Daten, die man derzeit sammelt, und die Analysen, die man derzeit durchführt, auf ATT&CK abbilden, um herauszufinden, wo man bereits stark ist und auf welche Schlüsselbereiche man seine Ressourcen als nächstes konzentrieren sollte?”

Während die Lektionen selbst über ein- bis zweistündige, 10-minütige Videos vermittelt werden, sind die Beurteilungen eher praxisorientiert, “so dass Sie zeigen, dass Sie das Gelernte anwenden können. [your] Wissen auf einen realen Anwendungsfall anwenden können”, so Luke.

Ein Assessment könnte Ihnen zum Beispiel die Befehlszeilen eines Angreifers zeigen und Sie bitten, die entsprechende ATT&CK-Technik zu identifizieren. “Oder wir geben Ihnen einen narrativen Bedrohungsbericht, aus dem Sie die ATT&CK-Techniken extrahieren müssen, oder wir bitten Sie, eine Heatmap zu erstellen, die zeigt, was das SOC in einem bestimmten Szenario derzeit abdeckt”, so Luke.

Carden sagte, dass ein praktischer Ansatz der Schlüssel ist, um die Lektionen zu vermitteln. “Erzählen Sie den Leuten nicht nur von den MITRE TTPs, sondern lassen Sie sie diese in die Praxis umsetzen, indem Sie Szenarien und reale Vorfälle verwenden, die sie sehen und die auf die Bedrohungen anwendbar sind, die auf ihr Unternehmen abzielen”, sagte Carden. “Ich denke, dass praktisches Training und Labore zur Demonstration von Wissen in diesem Bereich immer der beste Ansatz sind.”

Manor merkte auch an, dass diese wissens- und bewertungsbasierten Kurse zwar wahrscheinlich die Vertrautheit mit und die Nutzung von ATT&CK erhöhen werden, dass aber zusätzliche Hindernisse eine breitere Akzeptanz des Frameworks behindern, darunter “der Mangel an Werkzeugen und Automatisierung für die manuellen und alltäglichen Security-Engineering-Prozesse, die für eine umfassende Optimierung der Bedrohungsabdeckung erforderlich sind.”

Re-Zertifizierung ein möglicher Knackpunkt

Laut der gemeinsamen Pressemitteilung von MITRE und Cybrary zeichnet sich das MAD-Programm durch eine ungewöhnliche Politik bezüglich der Rezertifizierung aus. Anders als bei den meisten Zertifizierungen gibt es bei MAD kein offizielles Ablaufdatum, zu dem die Teilnehmer ihre Qualifikationen rezertifizieren müssen. Stattdessen müssen die Zertifikatsinhaber immer dann rezertifizieren, wenn das Framework aufgrund der sich weiterentwickelnden Taktiken der Bedrohungsakteure erheblich modifiziert wird.

“Praktiker müssen sich innerhalb von 90 Tagen nach einer Aktualisierung des Lehrplans rezertifizieren, um sicherzustellen, dass MAD-zertifizierte Verteidiger ihren Gegnern stets einen Schritt voraus sind”, heißt es in der gemeinsamen Pressemitteilung.

Auf der einen Seite wird dieser dynamische Ansatz zur Rezertifizierung dazu beitragen, dass Sicherheitsexperten immer auf dem neuesten Stand der Bedrohungsdaten zu Angriffsmethoden sind. Andererseits müssen die Teilnehmer möglicherweise immer wieder zurückgehen, um ihre Ausbildung zu aktualisieren, was zu einem ermüdenden Prozess werden könnte.

Im Gespräch mit SC Media räumte MITRE die potenziellen Fallstricke dieser Politik ein, versicherte aber, dass die Organisation einen maßvollen Ansatz verfolgen würde. Während das Framework zwei- bis viermal pro Jahr aktualisiert wird, wird das MAD-Programm nur nach einer wirklich substantiellen Änderung des Frameworks eine Rezertifizierung erfordern, so Luke.

“TTPs ändern sich wirklich nicht so häufig”, sagte Luke. “Es gibt immer noch nur ein paar Hundert von ihnen in ATT&CK nach etwa einem Jahrzehnt, und viele von ihnen sind ziemlich konsistent geblieben und werden immer noch verwendet, so dass Verteidiger es sich leisten können, in die Abschwächung oder Erkennung dieser Dinge zu investieren.”

Dennoch, “wir wollen nicht [the certifications] veraltet und irrelevant werden. Das Leitprinzip ist also, dass wir uns nicht von einem künstlichen Zeitplan leiten lassen, sondern eher ereignisorientiert sind”, sagte Luke. “Wenn wir also denken, dass die Tatsache, dass Sie ein bestimmtes Abzeichen haben, nicht mehr wirklich die neuesten Best Practices und das neueste Wissen widerspiegelt, ist das der Zeitpunkt, an dem wir die Aktualisierung vornehmen.”

Wenn MITRE dieses Versprechen einhalten kann, dann könnte die Rezertifizierungspolitik kein Thema sein. Dennoch waren die Experten in dieser Angelegenheit geteilter Meinung.

“Unserer Meinung nach spiegelt dies MITREs Engagement wider, ATT&CK lebendig zu halten und weiterzuentwickeln, was angesichts der Entwicklung der Bedrohungslandschaft erforderlich ist”, sagte Manor. “Wir glauben, dass Sicherheitspraktiker von der Rezertifizierung profitieren und sie nicht als zu belastend empfinden werden, da sie es gewohnt sind, Anstrengungen zu investieren, um bei modernen Bedrohungen auf dem neuesten Stand zu bleiben.”

“Ich denke, das ist eine gute Sache, um den Leuten zu helfen, relevant zu bleiben und sich der kritischen Veränderungen bewusst zu sein”, sagte Hoffman. Allerdings “gibt es das Potenzial, die Leute abzuschalten. … Viele Leute brauchen Zeit und möglicherweise Geld von ihrem Management, um an Zertifizierungen zu arbeiten. Wenn sie das in diese Gleichung mit einbeziehen müssen, könnte die De-Zertifizierung eine echte Herausforderung darstellen.”

Carder sieht ebenfalls den Vorteil, “auf dem Laufenden zu bleiben”, räumt aber ebenfalls ein, dass mehrfache Rezertifizierungen lästig wären. “Viele Sicherheitsexperten und Führungskräfte haben es schwer genug, sich weiterzubilden, um ihre CISSP-Zertifizierung aufrechtzuerhalten”, sagte er. “Wenn das Risiko besteht, dass sie ihren Zertifizierungsstatus alle 90 Tage oder so verlieren, dann denke ich, dass es weniger attraktiv sein könnte, sich zu zertifizieren – oder man sieht Leute, die die Erstzertifizierung erhalten, um sie für ihren Lebenslauf zu verwenden oder um Wachstum, Entwicklung und Fähigkeiten zu demonstrieren, und sie dann verfallen lassen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com