随着远程工作成为常态,网络黑客对云端的攻击很可能会加速,使得像MITREATT&CK(AdversaryTacticsandTechniquesKnowledgeBase)这样的威胁发现框架比以往任何时候都更重要几乎所有使用云的企业都比以往任何时候都使用这些类型的对策。因为,ATT&CK框架为网络安全工作者提供了一种通用语言和策略,可以帮助组织识别其当前安全策略中的漏洞,并且可以成为实施实时威胁检测等方法以保护企业网络免受对抗性攻击的重要工具。然而,安全公司McAfee和加州大学伯克利分校长期网络安全中心之间的一项联合研究项目发现,许多网络安全团队在实施框架方面面临挑战。这些挑战:第一,大多数采用ATT&CK框架的安全团队都没有实现自动化。虽然91%的组织使用ATT&CK框架来标记网络安全事件,但只有不到一半的组织可以自动更改某些安全策略。其次,ATT&CK框架与安全产品之间的互操作性存在困难。第三,很难将网络安全事件映射到安全策略变化,并将来自云、网络和端点的事件关联起来。第四,企业使用的安全产品可能无法检测到ATT&CK矩阵中存在的所有技术。网络安全中心和基础设施安全局(CISA)在今年6月发布了一份报告,为企业和网络安全团队使用企业安全团队可以实施的MITREATT&CK框架提供了一些建议和潜在的最佳实践。克服这些挑战的建议。例如,该报告概述了几种不同的方法,可以帮助那些努力将MITREATT&CK映射到原始数据的企业。最佳实践包括从识别攻击技术的数据源开始,在对手发动攻击之前实施特定工具,以及遵循Sigma或MITRE的Cyber??AnalyticsRepository等检测规则。该报告还包括一份有价值的MITRE相关资源列表,其中包括一份关于ATT&CK背后的设计理念的报告、一份培训课程列表,以及一份展示安全团队如何使用该协议来描述和响应攻击的论文.用于提高网络安全团队知识或改进其安全系统的资源。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
