加速检测与响应的最新工具:MITRE ATT&CK 框架
作者: 日期:2019年03月21日 阅:30,346

几十年来,安全人员都忙于增加一层又一层的最新技术或威胁反馈,只为了改善他们的安全态势。

很明显,这种方法收效甚微:攻击越来越多,数据泄露的平均损失越来越大。波耐蒙研究所最新数据泄露调查显示,数据泄露的平均损失从2017的362万美元增长到了2018年的386万美元。损失增长的背后有一大部分原因是攻击者驻留时间从2017年的191天增加到如今的197天,控制攻击的耗时也从66天增加到了69天。

MITRE ATT&CK

MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位。这是在创建对手及其相关战术、技术及流程(TTP)知识库方面迈出的一大步,可交付极大的安全价值。

然而,在其使用上还存在着一些问题,问题之一就是安全团队已经被自身多层防御中各个终端产品和SIEM产生的大量日志及事件数据淹没了。更不用说还有出自各商业源、开源、行业和现有安全供应商的无数威胁数据点等着安全团队去运用来上下文化和排序警报。

于是,你该怎么着手使用该框架呢?几乎每家公司都属意采用MITRE ATT&CK,但因为各家公司安全运营能力不同,在如何采纳的问题上各家看法不一。

我们需确保MITRE ATT&CK不会沦为又一个没得到完整利用的威胁数据源,或者只是一时的流行,又或者只有最高端的安全运营团队才能有效应用的工具。为避免这种情况,我们必须审查将该框架映射到不同安全成熟度阶段的方法,以便各类公司企业都能从中导出价值。以下就是各安全成熟度阶段如何运用该框架的几个样例。

阶段1:参考和数据丰富

MITRE ATT&CK 框架包含大量具有潜在价值的数据。 MITRE ATT&CK Navigator 提供所有技术的矩阵视图,安全分析师可从中看出对手将会应用哪种技术渗透公司。为更好地消费该数据,可以运用能方便访问并共享该数据的工具,比如数据丰富工具,或带中央威胁库方便用户聚合数据并搜索对手资料的平台——用户可运用该平台知晓对手是谁?他们用了哪些技术和战术?己方能应用哪种缓解措施?等等。安全分析师可将该框架的数据当做详细的对手资料参考源,人工丰富对事件和警报的分析,通报他们的调查,并根据自身环境的相关性和所见事件做出最佳响应决策。

阶段2:指标或事件驱动的响应

建立在参考和理解MITRE ATT&CK数据的能力基础上,第二阶段中安全团队要在自身运营工作流中融入该平台的各项功能,更有效地对数据进行操作。比如说,有中央威胁库摄入数据,安全团队就能自动建立数据间的联系而无需手动建立。通过自动关联事件及内部环境相关指标(指标源包括安全信息及事件管理(SIEM)系统、日志管理存储、案例管理系统和安全基础设施)和来自MITRE ATT&CK框架的指标,安全团队能获得相关上下文,即时知晓攻击的发起者、目标、源头、时间、动机和方式。然后就能基于与自家公司的相关性自动确定优先级,理清需调查的高风险攻击指标(IOC)。一旦能够以自动化的方式简洁明了地利用ATT&CK数据,安全团队便可更有效地调查和响应事件,将威胁情报高效推送至传感器加以检测,有效追捕威胁。

阶段3:战术或技术驱动的主动威胁捕捉

在这一阶段,威胁捕捉团队可从寻找指标转向充分利用ATT&CK数据。不是专注看起来可疑的具体数据点,而是利用该平台站在更高的角度考虑对手及其相关TTP的信息。威胁捕捉团队可采取主动,从公司的风险情况入手,将风险映射到具体对手及其战术,深挖这些对手使用的技术,然后就可以在发现相关数据时立即展开调查了。比如说,如果团队担忧APT28,可以快速回答关于该威胁的几个问题:

  • 他们应用哪些技术?
  • 公司环境中已经出现潜在IOC或可能的相关系统事件了吗?
  • 公司终端防御技术在检测这些攻击技术吗?

MITRE ATT&CK的成功取决于其有效应用的容易程度。了解成熟度水平和用例,知晓技术产品在各阶段支持安全运营团队的能力,公司企业就能够利用该框架取得对付威胁的优势。随着数据使用诉求与能力的提升,他们将更深入挖掘 MITRE ATT&CK 框架,获得更大的价值。

波耐蒙研究所数据泄露最新调查:

https://www.ibm.com/security/data-breach

MITRE ATT&CKTM:

https://attack.mitre.org/

相关阅读

做好入侵检测与响应需要谨记这四条守则

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章