ATT&CK框架面临两大挑战

ATT&CK框架于2015年公开发布，从内部人员共享的Excel电子表格工具，发展成为威胁活动、技术和模型的全球知识库。一种在企业、政府和安全供应商中流行的安全工具。ATT&CKFramework提供最全面、最及时的关于网络攻击活动的社区知识集合，这有助于组织确定安全威胁的优先级并评估安全方法、产品和服务。ATT&CK框架也经常被网络安全和基础设施安全局(CISA)等政府机构用于有关威胁活动的警报和咨询。例如，美国联邦调查局(FBI)和中情局(CISA)最近在联合网络安全警报中使用了ATT&CK企业框架，以应对俄罗斯国家资助的高级持续威胁(APT)（下图）。“请参考ATT&CKforEnterprise框架，了解相关威胁参与者的策略和技术，”警报说。8.0版首次涵盖了完整的“杀伤链”。ATT&CK在过去五年中取得了长足的发展。上个月底，Mitre发布了ATT&CK框架的8.0版本。这是一个重大升级版本，合并了PRE-ATT&CK和ATT&CK（编者：ATT&CK框架之前没有涵盖完整的杀伤链），在ATT&CK企业威胁模型中，侦察和资源利用两大对手战术被添加，从而实现了对KillChain杀伤链全生命周期的覆盖。PRE-ATT&CK和ATT&CK框架的合并如下图所示：PRE-ATT&CK分为情报规划、侦察和资源开发三个部分，15个阶段（InitialAccess）MergingMitreATT&CK首席网络安全工程师AdamPennington表示，新版ATT&CK就像一本百科全书，描述了对手在入侵过程中进行的160多种对手活动信息。Pennington说，Mitre的使用在过去几年呈爆炸式增长，因为它在安全社区中得到了更广泛的采用，并且ATT&CK框架在快速迭代中变得更加复杂和通用。“从最初的40项法案中，现在已经超过160项，”他说。“最新版本涵盖了过去被忽视的领域，例如移动设备和工业控制系统，并且有很多信息可以让人们知道如何预防特定行为并自行处理。”在上个月举行的ForresterSecurity&RiskGlobal2020虚拟会议上，ForresterResearch高级分析师BrianKime表示，自2018年初以来，ATT&CK已成为最受欢迎的入侵框架。安全架构，为我们提供了一种建模威胁的方法，这将使我们能够检测和分析来自端点的威胁，”他说。整个IT环境收集正确的遥测信息。ATT&CK本身不是威胁情报，但它应该是威胁情报工作的重要工具。”McAfee研究员、云事业部副总裁SekharSarukkai表示，ATT&CK框架之所以在短时间内走红还包括将信任从企业内部网络转移到云端。Sarukkai指出：“传统的安全策略假设一切都将尽在掌控之中，但新的现实是，因为有了云，信任已经完全开放。今天，没有一家企业可以控制一切。其次，在最近几天的新冠疫情期间，在家工作需要分布式信任模型，这意味着安全团队需要研究新的方法来保护他们的安全态势。”此外，ATT&CK框架提供了一种对威胁活动和驱动模式进行集群的方法。“对于SOC（安全运营中心）分析师来说，他看到的不是单个事件，而是多个事件的组合，这有助于他们更好地了解威胁。”从Endpoint到CloudATT&CKFramework随着云计算的普及和云计算的快速普及，业界开始讨论“MITREATT&CK作为云威胁调查的框架”。这份由McAfee和加州大学伯克利分校长期网络安全中心(CLTC)共同撰写的报告发现，87%的受访者认为采用ATT&CK云矩阵将提高其组织的云安全性。同时，只有49%的受访者对其安全产品在每个ATT&CK矩阵中检测对手战术和技术的能力充满信心。Sarukkai表示，将云计算维度纳入ATT&CK框架至关重要，因为如此多的威胁将穿越内部网络、端点设备和外部云服务的“孤岛”。虽然ATT&CK框架最初更侧重于端点威胁，但Sarukkai表示，如今越来越常见的攻击媒介是受感染的云管理帐户。他说：“如今的攻击通常是借助传统恶意软件通过端点进行的，一旦获得管理员账号，端点就成为攻击云端的跳板。从设备到云端的路径是一个发展方向。当前的网络攻击。”ATT&CK面临两大挑战CLTC报告发现，45%的全球调查受访者认为安全产品缺乏互操作性是ATT&CK框架面临的最大挑战，而43%的受访者认为将事件数据映射到战术和技术上是一个挑战。ATT&CK面临的两大挑战可以概括为：缺乏安全工具支持，难以实现互操作性框架部署成熟度不够，难以实现自动化网络和端点事件关联起来调查威胁。彭宁顿说：“数据表明，这对客户来说是一个挑战。83%的受访者表示ATT&CK框架非常全面，但他们正在手动寻找方法将其中一些技术映射到他们的框架中。另一方面，由于这些攻击的性质是跨部门的，问题变得棘手。从数据的角度来看，只有不到20%的客户从操作层面完全采用了ATT&CK，因此自动化是不可能的，”SOC团队的Pennington说。网络和云将在ATT&CK框架上标准化，显示在某种类型的仪表板上，并提供给SIEM等其他产品。Sarukkai说，“许多安全工具不支持ATT&CK，缺乏合适工具的企业需要手动实施它，这意味着他们无法完全采用MitreATT&CK框架，因为他们会被示例淹没。而且因为他们没有有效的工具，这是最大的原因。”Sarukkai表示，很多企业希望使用ATT&CK进行自动化修复，减少SOC分析师的工作量，但这需要ATT&CK在一定的成熟度（上图）下实施，然而报告显示只有19%的受访者实现了所需的成熟度。更大的挑战是人们不知所措（不够成熟）。“企业版的ATT&CK框架包含了156个高层行为，如果企业试图去理解这156个行为的对策，肯定会头晕。”Kime指出：“在过去的一年里，我们尝试发布了很多培训资源，比如Howtostarted,howtopriority,并且计划在未来发布更多的免费培训。”【本文为专栏作者“安全牛”原创文章，转载请通过安全牛（微信♂id：gooann-sectv）获取授权】点此阅读作者更多好文