企業部署MITRE ATT&CK框架面臨挑戰
隨著遠程工作的常態化,網絡黑客對云的攻擊可能會加速,這使得像 MITRE ATT&CK (對手戰術和技術知識庫)這樣的威脅發現框架比以往任何時候都更加重要,幾乎所有使用云的企業都會使用這類對抗技術。因為, ATT&CK 框架為網絡安全工作者提供了一種通用語言和策略,可幫助企業確定當前安全策略的差距,并可以成為實施實時威脅檢測等方法的重要工具,保護企業網絡免受對抗性攻擊。
但是,安全公司 McAfee 與加州大學伯克利分校長期網絡安全中心的聯合調研項目發現,很多網絡安全團隊在框架應用方面面臨諸多挑戰。
這些挑戰:一是,大多數采用 ATT&CK 框架的安全團隊都沒有實現自動化。雖然91% 的企業使用ATT&CK框架來標記網絡安全事件,但只有不到一半的企業可以自動更改部分安全策略。二是, ATT&CK 框架和安全產品之間的互操作性存在困難。三是,難以將網絡安全事件映射到安全策略更改,以及無法關聯來自云、網絡和端點的事件。四是,企業使用的安全產品可能無法檢測到 ATT&CK 矩陣中存在的所有技術。
美國網絡安全和基礎設施安全局 (CISA) 中心在今年6月發布了一份報告,為使用 MITRE ATT&CK 框架的企業和網絡安全團隊提供了一些建議和潛在的較佳實踐,企業安全團隊可以實施這些建議來克服這些挑戰。例如,該報告概述了幾種不同的方法,可以幫助在將 MITRE ATT&CK 映射到原始數據時遇到困難的企業。
較佳實踐包括從識別攻擊技術的數據源開始,再到在對手攻擊之前實施特定工具,以及遵循 Sigma 或 MITRE 的 CyberAnalytics Repository 等檢測規則。該報告還包含一份非常有價值的 MITRE 相關資源列表,這些資源包括關于 ATT&CK 背后設計理念的報告、培訓課程列表和展示安全團隊如何使用該協議來描述和響應攻擊的論文等,企業可以使用這些資源來提高網絡安全團隊的知識或改進其安全系統。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
