Bedrohungsorientierte Verteidigung für den Finanzsektor

Das Cyber Risk Institute (CRI) Profile ist eine Zusammenfassung des NIST Cybersecurity Framework (NIST CSF), das speziell auf das regulatorische Umfeld des Finanzdienstleistungssektors zugeschnitten ist. Finanzinstitute, Finanzdienstleistungsunternehmen, Finanzfirmen und deren Drittanbieter nutzen das CRI Profile für die Identifizierung und das Management von Bedrohungen, für Risikobewertungen und für Sicherheitskontrollprogramme. In Zusammenarbeit mit Citigroup, JPMorgan Chase Bank N.A. und FS-ISAC sowie in Abstimmung mit CRI haben wir das CRI-Profil mit den in MITRE ATT&CK beschriebenen feindseligen Verhaltensweisen verknüpft.

Mit dem CRI-Profil können Finanzinstitute erkennen, wie die kombinierten regulatorischen und anderen Aufsichtsbestimmungen Sicherheitsfunktionen bieten. Mit diesen Zuordnungen zu ATT&CK können Analysten diese Verbindung auf die Abwehr spezifischer feindseliger Verhaltensweisen ausweiten.

Konkret können Nutzer dieser Zuordnungen:

• bedrohungsbasierte Analysen und Entscheidungen bei der Konzeption und Umsetzung von Sicherheitskontrollprogrammen anwenden.
• die Konzeption und Umsetzung von Kontrollen mit den gegnerischen Verhaltensweisen verknüpfen, die sie abwehren müssen.
• das Management und die Berichterstattung an den Vorstand in Bezug auf Investitionen in Kontrollen und den Schutz vor Bedrohungen verbessern.

Die CRI-Profil-Zuordnungsressourcen – die Zuordnungen selbst, die ATT&CK Navigator-Ebenen und die Methodik – finden Sie auf unserer Website „Mappings Explorer“. Mit Mappings Explorer können Verteidiger auf die zugeordneten Sicherheitsfunktionen für das CRI-Profil (neben anderen Frameworks) aus der Perspektive der ATT&CK-Techniken zugreifen und diese erkunden, die sie abmildern. Diese Zuordnungen vereinen den bedrohungsorientierten Ansatz für Cybersicherheit mit der Perspektive der Sicherheitskontrollen.

2100 Zuordnungen zu ATT&CK

Das CRI-Profil fasst mehr als 2500 regulatorische und andere aufsichtsrechtliche Bestimmungen in einem Rahmenwerk von rund 300 diagnostischen Aussagen zusammen. Jede diagnostische Aussage (DS) ist ein spezifisches, messbares Ziel, das Finanzinstituten dabei hilft, ihre Cyberrisiken zu bewerten und zu managen. Wir haben unsere Zuordnungen auf DS-Ebene unter Berücksichtigung der Funktions-, Kategorie- und Unterkategorieebenen vorgenommen.

Dieses Projekt ordnet Version 2.1 des CRI-Profils den Techniken und Untertechniken von ATT&CK v16.1 zu. Wir haben 60 DS ermittelt, die in vier Funktionsbereichen (Identifizieren, Schützen, Erkennen und Erweitern) relevant sind. Dies führte zu mehr als 2100 Zuordnungen zu ATT&CK-Techniken und -Subtechniken. Die folgende Abbildung zeigt die Abdeckung aller ATT&CK-Techniken durch das CRI-Profil – je dunkler die Technik, desto mehr DS sind dieser Technik zugeordnet.

ATT&CK Navigator-Ansicht für das CRI-Profil v2.1

Die Zuordnung des CRI-Profils DS zu ATT&CK wendet einen bedrohungsorientierten Ansatz auf Cybersicherheitsprogramme für Finanzinstitute an und liefert Bedrohungsdaten für Entscheidungen zur Implementierung von Sicherheitskontrollen.

Unsere Methodik

Wir haben unsere Methodik zur Zuordnung von Framework-Sicherheitsfunktionen zu ATT&CK befolgt. Diese Methodik basiert auf unseren Erfahrungen mit der Zuordnung von Frameworks und Plattformen und soll der Community eine wiederverwendbare Methode zur Verwendung von ATT&CK zur Bestimmung der Funktionen von Sicherheitsangeboten an die Hand geben.

Der erste Schritt besteht darin, die Sicherheitsfunktionen im Umfang zu identifizieren, in diesem Fall die DS. Wir haben die folgenden Überlegungen angewendet, um die DS im Umfang zu identifizieren:

• Schwerpunkt auf der technischen und operativen Implementierung, nicht auf managementspezifischen Funktionen, die sich auf organisatorische Richtlinien oder Verfahren konzentrieren
• Minderung von feindlichen Verhaltensweisen (z. B. Behebung von Schwachstellen), nicht Überwachung von Verhaltensweisen (z. B. Erfassung des Netzwerkverkehrs)
• Systemspezifische explizite technische Abwehrmaßnahmen (z. B. Blockierung von USB-Geräten), keine nicht-technischen Methoden (z. B. Blockierung des physischen Zugriffs auf das System)

Nach der Festlegung des Umfangs ist die Zuordnungsmethodik iterativ.

1. Untersuchen Sie die Sicherheitsfunktionen, die von den DS (Data Sources) im Umfang bereitgestellt werden.
2. Bestimmen Sie, welches Verhalten von Angreifern die DS im Zusammenhang mit ATT&CK-Abwehrmaßnahmen und spezifischen (Sub-)Techniken verhindert.
3. Erstellen Sie Zuordnungen für die ATT&CK-(Sub-)Techniken, die die DS verhindert.

CRI-Mapping-Methodik

Beispielzuordnungen

Verhinderung von Datenverlusten

Das CRI-Profil unter „Schützen: Datensicherheit: Verhinderung von Datenverlusten (PR.DS-01.02)“ sieht die Implementierung technischer Kontrollen vor, um den Verlust und die Offenlegung sensibler Informationen gegenüber externen Angreifern sowie versehentlichen und böswilligen Insidern zu verhindern. Die Implementierung von Tools zur Identifizierung und Verhinderung von Datenverlusten zur Überwachung und zum Schutz vor Diebstahl oder Zerstörung vertraulicher Daten bietet Schutz vor feindlichen Techniken im Zusammenhang mit Datenerfassung, Datenexfiltration und Datenzerstörung, wie unten dargestellt.

Zuordnungen für PR.DS-01.02 Verhinderung von Datenverlusten

Intrusion Detection und Prevention

Die CRI-Profilangabe für „Detect: Continuous Monitoring: Intrusion Detection and Prevention (DE.CM-01.01)“ implementiert Funktionen zur Erkennung und Verhinderung potenzieller Netzwerkangriffe. Mechanismen wie die Einschränkung unnötigen Netzwerkverkehrs, die Blockierung veralteter Protokolle und die Verwendung von SSL/TLS-Inspektion können dazu beitragen, die Bewegungsfreiheit von Angreifern und Datenexfiltrationstechniken einzuschränken, wie unten dargestellt.

Zuordnungen für De.CM-01.01 Einbruchserkennung und -verhinderung

Mitmachen

Teilen Sie uns mit, wie Sie unsere Arbeit nutzen! Wenn Sie Feedback, technische Fragen, Bedenken oder Beiträge zum Projekt haben, senden Sie uns eine E-Mail an ctid@mitre.org.

---