A MITRE F3 egy nyíltan elérhető, ingyenesen használható tudásbázis, amely a csalók viselkedését, taktikáit, technikáit és eljárásait rendszerezi.
A MITRE Corporation bemutatta új csalásmegelőzési keretrendszerét, a Fight Fraud Framework™, röviden MITRE F3 modellt. Az új rendszer célja, hogy a szervezetek egységesebb módon tudják felismerni, leírni, elemezni és megelőzni a digitális csatornákon keresztül elkövetett csalásokat.
Mi az a MITRE F3?
A MITRE F3 egy strukturált keretrendszer, amely a valódi kiberalapú csalási esetekben megfigyelt támadói viselkedést modellezi.
A célja, hogy közös nyelvet adjon:
- kiberbiztonsági szakembereknek
- csalásmegelőzési csapatoknak
- banki és pénzügyi intézményeknek
- AML és compliance területeknek
- incidenskezelőknek
A keretrendszer különösen a pénzügyi csalásokra fókuszál, de globálisan alkalmazható szemléletet kínál.
Miben más, mint a MITRE ATT&CK?
A MITRE F3 a jól ismert MITRE ATT&CK modellre épít, de kifejezetten csalási helyzetekre bővíti azt.
Két új, csalásspecifikus taktika jelenik meg:
Positioning
Ez a kezdeti hozzáférés utáni tevékenységeket írja le.
Ide tartozhat például:
- adatok gyűjtése
- adatok manipulálása
- fiókbeállítások módosítása
- a későbbi csalási művelet előkészítése
Monetization
Ez azt mutatja meg, hogyan alakítják a csalók a megszerzett adatokat, pénzügyi hozzáféréseket vagy eszközöket tényleges anyagi haszonná.
Ez fontos különbség, mert a csalásoknál a támadás sikere nemcsak a hozzáférés megszerzésén múlik, hanem azon is, hogy a támadó hogyan tudja azt pénzzé tenni.
Miért fontos ez a keretrendszer?
A pénzügyi csalások elleni védekezés sok szervezetnél széttagolt.
Külön dolgozhat:
- IT-biztonság
- fraud csapat
- AML terület
- compliance
- ügyfélszolgálat
- incidenskezelés
A MITRE F3 célja, hogy ezeket a területeket összekösse egy egységes fogalomrendszerrel.
A MITRE F3 fő elemei
A keretrendszer három fő szintre épül:
Taktikák
A támadó rövid távú célját mutatják meg.
Vagyis: miért történik az adott lépés?
Technikák
Azt írják le, hogyan éri el a csaló az adott célt.
Altechnikák
Részletesebb bontást adnak ugyanazon technika különböző végrehajtási módjaira.
A MITRE F3 hét taktikája
A keretrendszer jelenleg hét fő taktikát tartalmaz.
Reconnaissance
Információgyűjtés a célpontról, szervezetről, infrastruktúráról vagy személyekről.
Resource Development
A csaláshoz szükséges erőforrások létrehozása vagy megszerzése, például hamis weboldalak, infrastruktúra, fiókok vagy dokumentumok.
Initial Access
Kezdeti hozzáférés megszerzése, például phishing, böngészőhibák vagy más digitális támadási módszerek segítségével.
Defense Evasion
A felismerés elkerülése, például spoofing, social engineering vagy megbízható folyamatokkal való visszaélés útján.
Positioning
A csalás előkészítése a megszerzett hozzáférés után.
Execution
A csalási művelet végrehajtása, például jogosulatlan tranzakciók indítása vagy tranzakciós adatok manipulálása.
Monetization
A megszerzett pénz, adat vagy hozzáférés anyagi haszonná alakítása, a nyomok elfedése mellett.
Tervezési alapelvek
A MITRE négy fő alapelvet határozott meg.
1. A pénzügyi intézménynek látnia kell a technika hatását
A technikának megfigyelhető nyoma kell legyen az incidens során.
Ez segíti:
- a felismerést
- a szabályok fejlesztését
- a jövőbeni csalások megelőzését
2. Az incidensnek tartalmaznia kell cyber alapú technikát
A keretrendszer olyan csalásokra fókuszál, amelyekben digitális vagy technológiai elem is szerepel.
Például:
- phishing
- malware
- jogosulatlan rendszerhozzáférés
- digitális manipuláció
3. A technikáknak a támadó viselkedését kell leírniuk
A MITRE F3 nem pusztán eszközöket vagy platformokat nevez meg, hanem azt írja le, mit csinál a csaló.
Ez segít jobban megérteni a támadói szándékot és a védekezési pontokat.
4. Azonos módszer, eltérő végrehajtás esetén altechnikát kell használni
Ha ugyanazt a célt többféleképpen érik el, a keretrendszer technika és altechnika szintre bontja a viselkedést.
Például:
- hamis anyagok létrehozása
- azon belül hamis dokumentum
- hamis weboldal
Milyen forrásokra épül?
A MITRE F3 több meglévő csalásmegelőzési és elemzési modellből merít, például:
- FS-ISAC Cyber Fraud Prevention Framework
- National Retail Federation Retail Fraud Taxonomy
- Group-IB Cyber Fraud Intelligence
- Stripe Fraud Tools Tactics and Techniques
Ezeket egységes szerkezetbe rendezték, hogy jobban alkalmazhatók legyenek kiberalapú pénzügyi csalások elemzésére.
Hogyan használható a gyakorlatban?
A MITRE F3 segíthet:
- incidensek egységes leírásában
- csalási minták felismerésében
- védelmi kontrollok kialakításában
- fraud és cyber csapatok közötti együttműködésben
- pénzügyi hatások és technikai események összekapcsolásában
A fraud elemzők F3-alapú incidensriportokat készíthetnek, a detection engineer csapatok pedig konkrét technikákra építhetnek észlelési szabályokat.
Túlmutat a technikai védekezésen
A MITRE szerint az F3 nemcsak technikai incidenselemzésre használható.
Támogathat olyan intézkedéseket is, mint:
- tranzakciós limitek csökkentése
- extra ügyfél-hitelesítés
- ügyfelek figyelmeztetése social engineering kockázatokra
- front office munkatársak képzése
- vitás ügyek kezelésének átalakítása
- bizonyítékok megőrzése vizsgálatokhoz
Miért fontos a pénzügyi szektorban?
A bankoknak és pénzügyi intézményeknek komoly jogi és szabályozási kötelezettségeik vannak.
Ide tartozik:
- pénzmosás elleni védelem
- ügyfél-azonosítás
- gyanús tevékenységek figyelése
- hatósági jelentések
A csalások elleni fellépéshez azonban sokszor több terület adatát és szakértelmét kell összekapcsolni. A MITRE F3 pontosan ebben segíthet.
Nagyobb kép: kiberbiztonság és csalásmegelőzés összeér
A digitális csalások ma már nem választhatók el a kiberbiztonságtól.
Egy modern csalási lánc tartalmazhat:
- phishinget
- hitelesítőadat-lopást
- fiókátvételt
- tranzakciómanipulációt
- pénzmosási lépéseket
Ezért fontos, hogy a szervezetek ne különálló eseményként kezeljék ezeket, hanem teljes támadási láncként.
Összegzés
A MITRE F3 egy új, nyílt és ingyenesen használható keretrendszer, amely segít a kiberalapú csalások rendszerezésében és megértésében.
Legfontosabb előnyei:
- közös nyelvet ad a fraud és cyber csapatoknak
- viselkedésalapú megközelítést használ
- összekapcsolja a technikai eseményeket a pénzügyi hatásokkal
- segíti a megelőzést, észlelést és válaszadást
- a MITRE ATT&CK szemléletét csalási környezetre bővíti
A MITRE F3 várhatóan fontos eszközzé válik a bankok, pénzügyi intézmények és nagyvállalatok számára a digitális csalások elleni védekezésben.
