充分利用ATT&CK框架的5個典型用例與實踐建議
MITRE ATT&CK框架已成為現(xiàn)代企業(yè)組織開展網(wǎng)絡安全防護工作的寶貴資源,提供了基于真實世界觀察的網(wǎng)絡攻擊戰(zhàn)術(shù)、技術(shù)和流程的全面映射,能夠幫助企業(yè)安全運營團隊更加有效地應對這些威脅和攻擊。多年來,這套框架隨著組織和威脅領域的創(chuàng)新和升級而不斷發(fā)展。不過由于涉及180余種技術(shù)和數(shù)百種子技術(shù),這套框架看起來非常復雜,因此讓很多企業(yè)在實際應用時挑戰(zhàn)重重。
ATT&CK框架的典型用例
為了讓組織更好利用Mitre ATT&CK框架改進網(wǎng)絡安全計劃,幫助安全團隊盡快上手使用這一工具。研究人員總結(jié)了5種ATT&CK框架的典型應用場景,企業(yè)可以優(yōu)先將ATT&CK框架應用到這些安全工作場景中。
1.紅隊測試
開展紅隊測試已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡安全能力體系建設中不可或缺的環(huán)節(jié)。這一工作的本質(zhì)就是扮演潛在攻擊者的角色,全面梳理組織的IT資產(chǎn),尋找其中的漏洞和攻擊路徑,以便更好地修復或應對風險。紅隊測試的作用不僅僅在于發(fā)現(xiàn)安全問題,對系統(tǒng)開發(fā)人員深入了解計算機系統(tǒng)也會大有幫助。
鑒于紅隊測試工作的重要性,組織應該尋找廣泛的資源以確保其能夠充分實施。而ATT&CK框架能夠有效幫助紅隊開展測試演練工作,并實現(xiàn)以下目標:
? 識別網(wǎng)絡中被疏忽的安全漏洞;
? 評估當前的防御計劃和措施是否能夠達到預期的防護效果;
? 發(fā)現(xiàn)并預警未知的新型攻擊源;
? 尋找被忽視的網(wǎng)絡安全環(huán)節(jié),并對防護策略進行整體優(yōu)化。
2.提升安全運營成熟度
通過Mitre ATT&CK框架,有助于評估組織現(xiàn)有的安全運營工作實踐和技術(shù)措施是否足以保護企業(yè)免受攻擊。安全運營團隊可以根據(jù)框架中概述的技術(shù)進行測試,以確定組織的實踐和流程能否檢測潛在威脅和可疑行為,并生成警報。
Mitre認為,組織可以借助ATT&CK框架指導SOC成熟度評估。安全運營團隊可以使用MITRE ATT&CK框架來提供上下文威脅情報,以改進優(yōu)先級、根本原因分析和響應,并從以下方面提高安全運營中心的成熟度:
? 分類警報——將警報分類到ATT&CK矩陣中,以便根據(jù)嚴重程度更合理地確定處理優(yōu)先級;
? 識別補救措施——將檢測到的行為與ATT&CK技術(shù)相對應,以指導制定遏制和補救計劃的工作;
? 確定調(diào)查范圍——使用ATT&CK框架針對指揮和控制、發(fā)現(xiàn)和橫向移動等類別指導進一步調(diào)查;
? 充實警報——添加ATT&CK技術(shù)ID為一線分析師提供關鍵的上下文;
? 詳細記錄——記錄與ATT&CK技術(shù)對應的事件可以幫助團隊了解事件、改進檢測。
3.防范內(nèi)部威脅
內(nèi)部威脅已經(jīng)成為現(xiàn)代企業(yè)必須面對的重要安全挑戰(zhàn),很多重大網(wǎng)絡安全事件都是由內(nèi)部因素所引發(fā)。然而,由于內(nèi)部人員行為的復雜性,很多企業(yè)對內(nèi)部威脅缺乏有效的應對措施,只能在事件發(fā)生后被動地進行補救響應。
雖然 ATT&CK框架主要針對外部攻擊,但在其最新版本中,也提供了多種與內(nèi)部攻擊相關的防護策略,能夠幫助組織快速識別攻擊并確定威脅分子來自內(nèi)部還是外部。比如說,ATT&CK框架建了安全團隊使用應用程序身份驗證日志來跟蹤內(nèi)部攻擊,因為這些日志會關注用戶身份,而其他安全工具往往會更多地關注設備信息。
4.主動開展威脅狩獵活動
威脅狩獵是一種主動和可持續(xù)的網(wǎng)絡安全方法,旨在識別和緩解威脅,避免其對組織造成重大危害。組織實施威脅狩獵計劃的核心目標就是要縮短出現(xiàn)危險和完成攻擊之間的時間差,即所謂的“停留時間”。因為當攻擊行為者在企業(yè)環(huán)境中停留的時間越長,他們可能造成的傷害后果就越大。
ATT&CK框架能夠從以下方面支持更高效的威脅狩獵活動:
? 進行假設——ATT&CK框架為安全分析師提供了針對初始訪問、執(zhí)行和持久潛伏等類別所要檢查的已知技術(shù);
? 確定狩獵范圍——安全分析師可以將范圍限定于特定的行為類別,以提高效率;
? 檢測盲點——ATT&CK技術(shù)可以快速發(fā)現(xiàn)并顯示當前安全分析工作的缺口;
? 擴大狩獵——狩獵引發(fā)的檢測可以揭示相關的ATT&CK技術(shù),并擴大調(diào)查范圍;
? 方法和報告——ATT&CK框架為威脅狩獵計劃、報告發(fā)現(xiàn)和跟蹤覆蓋范圍提供了一致的表述。
5.入侵和攻擊模擬
盡管企業(yè)實施了各種安全控制措施和攻擊防護程序,但許多組織仍然發(fā)現(xiàn)他們的網(wǎng)絡安全戰(zhàn)略并不夠全面,仍然會面臨較大的網(wǎng)絡攻擊風險。而BAS是一種功能強大的工具,主要用于測試IT安全工作、持續(xù)模擬攻擊和運行場景。大量的應用實踐表明,BAS能夠為企業(yè)是否足以抵御日益復雜的攻擊提供有效見解。
在Mitre官網(wǎng),列出了主要的威脅分子團伙以及他們攻擊的企業(yè)和政府類型。安全團隊可以利用這些信息來模擬這些團伙常用的攻擊手法。一些供應商還推出了專門面向Mitre ATT&CK框架的BAS工具,借助這些工具,組織能夠全面了解當前的整體安全性。
ATT&CK框架的最佳實踐
為了更充分利用ATT&CK框架,Mitre同時建議組織應該采取以下最佳實踐措施:
? 優(yōu)先考慮檢測——專注于自動化檢測常用的ATT&CK技術(shù)和影響力很大的那些技術(shù)。
? 建立威脅狩獵矩陣——制定基于ATT&CK的狩獵計劃,涵蓋演練過程中發(fā)現(xiàn)的常見風險和缺口,并優(yōu)先考慮實現(xiàn)高價值技術(shù)檢測的自動化。
? 映射檢測——確定每個檢測規(guī)則、工具或控制機制針對ATT&CK中的哪些攻擊者技術(shù)。對測試中所發(fā)現(xiàn)的任何安全性缺口都應該及時修補。
? 充實警報——在安全警報中加入ATT&CK技術(shù)ID,以加快安全事件的調(diào)查和響應。
? 培訓分析師——培訓安全分析師學會如何在日常安全運營工作和事件調(diào)查中熟練利用ATT&CK框架。
? 加強演練——應該在紅隊測試、桌面演練和滲透測試中廣泛使用ATT&CK框架中的技術(shù)模擬攻擊者的行為。
? 指導補救措施——快速確定安全事件中所使用的ATT&CK技術(shù),并以此指導后續(xù)的攻擊遏制和補救措施。
? 基于ATT&CK的分析技術(shù)——優(yōu)先考慮基于ATT&CK技術(shù)分析行為的解決方案,力求檢測更精準。
? 最新的框架版本——組織應該選擇與ATT&CK知識庫相一致的的檢測、分析和響應解決方案,并密切關注MITRE的框架定期更新、攻擊者模擬計劃和新技術(shù)細節(jié),保持與時俱進。
參考鏈接:
https://www.techtarget.com/searchsecurity/tip/Mitre-ATTCK-framework-use-cases
