Los proveedores de seguridad parecen tener una relación complicada con la matriz MITRE ATT&CK(™) . Con una mano lo enarbolan como un recurso poderoso y con la otra critican algún aspecto del mismo. Pero independientemente de su punto de vista en un día determinado, ATT&CK es uno de los recursos más importantes para mejorar su comprensión de las capacidades de amenazas y alinearlas con controles técnicos, contramedidas o mitigaciones.

Elastic sabe sobre ATT&CK, no solo como una herramienta para la ingeniería de detección, sino también por la experiencia en las evaluaciones MITRE Engenuity ATT&CK (enlace), habiendo participado desde el principio. Los resultados de la evaluación MITRE más reciente fueron sólidos.

Desafortunadamente, la comprensión es costosa, tanto en términos de tiempo como de otros recursos limitados. ATT&CK mejora la comprensión de una manera excepcionalmente económica, alineando los objetivos (tácticas) con las capacidades (técnicas y procedimientos) con:

• Descripciones que explican cada capacidad con ejemplos
• Referencias que describen cómo se usaron las técnicas en la naturaleza
• Enlaces a recursos como el Cyber ​​Analytics Repository (CAR)

La misión y filosofía central de Elastic se basa en los principios de apertura y transparencia. Es con este espíritu que nos complace anunciar nuestra asociación con Tidal Cyber ​​para mejorar aún más la transparencia y ayudar a los usuarios de Tidal y Elastic a comprender las capacidades que ofrecemos en el lenguaje de ATT&CK. Con la Community Edition gratuita de Tidal , los usuarios pueden acceder al registro de detecciones proporcionadas por diferentes proveedores y productos, la colección de campañas, grupos y más de MITRE, y luego asignarlos a MITRE ATT&CK Matrix, analizando tanto la cobertura como las brechas.

Elastic adopta el software libre y abierto , y comparte nuestra lógica de detección para más de 1000 reglas y firmas asignadas a ATT&CK. Muchas organizaciones confían en varias tecnologías de seguridad para preparar una estrategia de defensa en profundidad, y comparar las capacidades de Elastic lado a lado con otros proveedores ayuda a indicar dónde tiene brechas esa estrategia.

Mientras que la mayoría de los proveedores mantienen su lógica en fuentes cerradas, la nuestra en Elastic es totalmente transparente. Debido a que Elastic defiende el desarrollo orientado a la comunidad, eso también significa que usted tiene un papel que desempeñar. Lo invitamos a compartir nuestros procesos de desarrollo y asegurarnos de que nuestra tecnología es algo que puede esperar por sí mismo:

• Solicite que cerremos una brecha abriendo un problema en uno de nuestros repositorios públicos
• Envíe una regla propia que beneficie a la comunidad
• Cuéntanos sobre reglas ruidosas y ayúdanos a mejorarlas

El perímetro de su empresa es más que solo las estaciones de trabajo y los servidores de sus usuarios. Se extiende a tecnologías esenciales sobre las que quizás no tenga control directo. Elastic ha estado trabajando para abordar este tipo de complejidad desde la creación de la solución Elastic Security, razón por la cual comenzamos a compartir la lógica para aplicaciones empresariales como Okta y proveedores de servicios en la nube como AWS desde la versión 7.9. Apoyamos el esfuerzo de Tidal para facilitar a los usuarios la evaluación de la cobertura de Enterprise ATT&CK y tomar el control de sus entornos.

Las amenazas se mueven más rápido, golpean con más fuerza y ​​las organizaciones están en clara desventaja cuando no pueden responder preguntas básicas sobre la cobertura. No sabe lo que no sabe (o lo que su proveedor mantiene bajo llave como propiedad intelectual), y nos asociamos con Tidal para asegurarnos de que somos parte de la solución y no del problema.

Únase a la comunidad de Slack para compartir sus opiniones sobre cómo hacer un buen uso de MITRE ATT&CK en su empresa, manteniendo y optimizando la cobertura.