Threat Detection Gap Analysis Using MITRE ATT&CK Framework
Kinnunen, Jarkko (2022)
Kinnunen, Jarkko
2022
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202204125027
https://urn.fi/URN:NBN:fi:amk-202204125027
Tiivistelmä
The volume and impact of security incidents against organizations are increasing globally. Each organization needs to understand what assets they are defending and what detection tools they have in place to detect future cyber-attacks. One of the main challenges organizations face in the fight against cyber-attacks is the lack of visibility and understanding of how these attacks begin, spread, and evolve. In addition, organizations lack information on what threats can be identified with existing security solutions.
The thesis aimed to determine whether using the MITRE ATT&CK framework can improve the organization's knowledge of their security solutions threat detection capabilities. The research method used in the thesis was Design Science Research.
The research consisted of two different phases. The first step was to map threat detection capabilities from the selected security products to the MITRE ATT&CK framework. The thesis assigner uses the chosen security products to provide continuous security services to their clients. The security solutions detection capabilities were illustrated at a general level and mapped to the MITRE ATT&CK framework using public sources. In the second phase, a gap analysis of the threat detection capabilities of the security solutions was conducted. Results were compared to four different threat intelligence reports of adversaries’ TTPs seen in the wild.
The research results were evaluated using a questionnaire within the organization that assigned the research. Based on the findings, threat detection gaps could be identified using the MITRE ATT&CK framework of the chosen security solutions. The research results can be used to develop the organization’s defense capabilities. Organisaatioihin kohdistuvien tietoturvapoikkeamien määrä ja vaikutus kasvavat maailmanlaajuisesti. Jokaisen organisaation on tärkeää ymmärtää, mitä he puolustavat ja mitä havaitsemistyökaluja heillä on käytössä tulevien kyberhyökkäysten havainnoimiseksi. Organisaatioiden suurimpia haasteita kyberhyökkäyksien torjunnassa ovat näkyvyyden ja ymmärryksen puute siitä, miten nämä hyökkäykset alkavat, leviävät ja kehittyvät. Lisäksi yrityksiltä puuttuu ymmärrystä nykyisien tietoturvatuotteiden kyvyistä havaita uhkia.
Opinnäytetyön tavoitteena oli selvittää, voiko MITRE ATT&CK-viitekehystä käyttää organisaation tietämyksen parantamiseen tietoturvatuotteiden uhkien havaitsemiskyvyistä. Opinnäytetyössä käytetty tutkimusmenetelmä on suunnittelututkimus.
Tutkimus koostui kahdesta eri vaiheesta. Ensimmäisessä vaiheessa mallinnettiin uhkien havainnointi kyvykkyydet valituista tietoturvatuotteista käyttäen MITRE ATT&CK-viitekehystä. Valitut tietoturvatuotteet ovat samoja, joita opinnäytetyön toimeksiantaja käyttää tarjotessaan asiakkailleen jatkuvia tietoturvapalveluita. Tietoturvaratkaisujen tunnistusominaisuudet mallinnettiin yleisellä tasolla käyttäen julkisia lähteitä. Toisessa vaiheessa työkalujen kyvykkyyksistä laadittiin GAP-analyysi, joissa niitä verrattiin neljään eri uhkatietoraporttiin hyökkääjien eri hyökkäysvaiheista.
Tutkimustuloksia arvioitiin kyselytutkimuksella, johon osallistui valittu joukko työn toimeksiantajan henkilöstöstä. Tutkimustuloksien perustella MITRE ATT&CK-viitekehyksen avulla voitiin havaita aukkoja valittujen työkalujen uhkien havainnointikyvyistä. Tutkimustuloksia voidaan käyttää organisaation puolustuskyvykkyyksien kehittämisessä.
The thesis aimed to determine whether using the MITRE ATT&CK framework can improve the organization's knowledge of their security solutions threat detection capabilities. The research method used in the thesis was Design Science Research.
The research consisted of two different phases. The first step was to map threat detection capabilities from the selected security products to the MITRE ATT&CK framework. The thesis assigner uses the chosen security products to provide continuous security services to their clients. The security solutions detection capabilities were illustrated at a general level and mapped to the MITRE ATT&CK framework using public sources. In the second phase, a gap analysis of the threat detection capabilities of the security solutions was conducted. Results were compared to four different threat intelligence reports of adversaries’ TTPs seen in the wild.
The research results were evaluated using a questionnaire within the organization that assigned the research. Based on the findings, threat detection gaps could be identified using the MITRE ATT&CK framework of the chosen security solutions. The research results can be used to develop the organization’s defense capabilities.
Opinnäytetyön tavoitteena oli selvittää, voiko MITRE ATT&CK-viitekehystä käyttää organisaation tietämyksen parantamiseen tietoturvatuotteiden uhkien havaitsemiskyvyistä. Opinnäytetyössä käytetty tutkimusmenetelmä on suunnittelututkimus.
Tutkimus koostui kahdesta eri vaiheesta. Ensimmäisessä vaiheessa mallinnettiin uhkien havainnointi kyvykkyydet valituista tietoturvatuotteista käyttäen MITRE ATT&CK-viitekehystä. Valitut tietoturvatuotteet ovat samoja, joita opinnäytetyön toimeksiantaja käyttää tarjotessaan asiakkailleen jatkuvia tietoturvapalveluita. Tietoturvaratkaisujen tunnistusominaisuudet mallinnettiin yleisellä tasolla käyttäen julkisia lähteitä. Toisessa vaiheessa työkalujen kyvykkyyksistä laadittiin GAP-analyysi, joissa niitä verrattiin neljään eri uhkatietoraporttiin hyökkääjien eri hyökkäysvaiheista.
Tutkimustuloksia arvioitiin kyselytutkimuksella, johon osallistui valittu joukko työn toimeksiantajan henkilöstöstä. Tutkimustuloksien perustella MITRE ATT&CK-viitekehyksen avulla voitiin havaita aukkoja valittujen työkalujen uhkien havainnointikyvyistä. Tutkimustuloksia voidaan käyttää organisaation puolustuskyvykkyyksien kehittämisessä.