MITRE ATT&CK em Skyhigh Security's CASB - Defenda-se com precisão

3 de junho de 2022

Por Rodman Ramezanian - Consultor de Segurança de Nuvem Empresarial, Skyhigh Security

Como disse o antigo estratega militar, Sun Tzu: "Se conhece o inimigo e se conhece a si próprio, não precisa de temer o resultado de uma centena de batalhas."

A Skyhigh Cloud Access Security Broker (CASB), a plataforma de segurança multi-nuvem para empresas, inclui o MITRE ATT&CK no fluxo de trabalho para que os analistas de SOC investiguem as ameaças na nuvem e os gestores de segurança se defendam contra futuros ataques com precisão.

A maioria das empresas utiliza mais de 1500 serviços na nuvem, gerando milhões de eventos, desde o início de sessão, à partilha de ficheiros, ao descarregamento e a um número infinito de acções destinadas à produtividade, mas exploradas por adversários. Até agora, procurar a atividade dos adversários nesse palheiro tem sido um esforço árduo, com tanto ruído que muitas violações de dados passaram despercebidas até ser demasiado tarde.

O Skyhigh Security Service Edge (SSE), que inclui o Skyhigh CASB, adota uma abordagem de várias camadas para a investigação de ameaças na nuvem que pode acelerar o seu tempo para detetar atividades de adversários nos seus serviços de nuvem, identificar lacunas e implementar alterações direcionadas à sua política e configuração.

Primeiro, o palheiro de eventos é processado continuamente em relação a uma linha de base de bom comportamento conhecido pela Análise do Comportamento de Utilizadores e Entidades (UEBA) para identificar as anomalias e as ameaças reais no seu ambiente, avaliando o comportamento em vários serviços e contas.

Isso reduz o seu processo de investigação a uma quantidade gerenciável de incidentes. Com esta versão, esses incidentes estão agora na mesma linguagem que o resto do SOC - MITRE ATT&CK. Cada incidente de segurança na nuvem é mapeado para as táticas e técnicas do ATT&CK, mostrando-lhe a atividade do adversário que está sendo executada no seu ambiente.

Vista MITRE ATT&CK multi-nuvem da atividade do adversário em Skyhigh Cloud Access Security Broker (CASB)

Tem três vistas no Skyhigh CASB:

• Retrospetiva: ver todas as técnicas adversárias que já ocorreram no seu ambiente
• Proactivo: ver os ataques em curso, que pode tomar medidas para impedir
• Cadeia de destruição completa: ver uma combinação de incidentes, anomalias, ameaças e vulnerabilidades numa cadeia holística de infracções.

Várias equipas da sua organização beneficiam desta adição ao Skyhigh Security Service Edge (SSE):

• As equipas de SecOps passam de reactivas a proactivas: O Skyhigh CASB permite que os analistas visualizem não apenas as ameaças executadas na estrutura ATT&CK, mas também os ataques potenciais que podem ser interrompidos em vários ambientes de software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS)
• Equipas de SecOps quebram silos: As equipas de SecOps podem agora trazer incidentes de segurança na nuvem pré-filtrados para as suas plataformas de Gestão de Eventos de Informação de Segurança (SIEM)/Orquestração, Automação e Resposta de Segurança (SOAR) através da API, mapeada para a mesma estrutura ATT&CK que utilizam para a investigação de ameaças de endpoint e de rede
• Os Gestores de Segurança Defendem-se com Precisão: O Skyhigh CASB leva o Cloud Security Posture Management (CSPM) a um novo nível, fornecendo aos gestores de segurança recomendações de configuração de serviços em nuvem para ambientes SaaS, PaaS e IaaS, que abordam técnicas específicas de adversários ATT&CK

Muitas equipas de SecOps utilizam processos e estruturas repetíveis, como ATT&CK, para mitigar riscos e responder a ameaças aos seus endpoints e redes, mas até agora as ameaças e vulnerabilidades da nuvem têm apresentado um paradigma desconhecido. Ao traduzir as ameaças e vulnerabilidades da nuvem para a linguagem comum do ATT&CK, o Skyhigh CASB permite que as equipes de segurança estendam seus processos e runbooks para a nuvem, entendam e respondam preventivamente às vulnerabilidades da nuvem e melhorem a segurança da empresa.

Saiba mais sobre a Skyhigh SSE.