青藤云安全COO程度:如何建立企业内部的ATTCKMITRE ATT&CK知识库是基于网络社区提供的真实攻击事件的研究而建立的,自2015年初次发布以来,迅速被世界各地的许多安全厂商和安全团队采用。ATT&CK项目是一个实时更新的知识库,一旦行业内出现了经过验证的最新信息,就会持续更新。因此,ATT&CK知识库提供了行业中最全面的与已知攻击方法相关的信息,这为企业提高网络防御能力提供了一个非常有用的工具。
长期以来,很多企业都希望将ATT&CK框架应用在安全运营流程中,但是对于如何持续运营ATT&CK,却难以着手。近日,青藤云安全COO程度在“2021 ATT&CK技术与应用论坛”上详细介绍了如何建立企业内部的ATT&CK,旨在帮助企业一步步去应用ATT&CK,逐渐增强安全防御能力。
ATT&CK框架已于今年上半年更新到了V9版本,该版本的一个重要更新内容是增加了容器攻防矩阵,包含容器级和编排级的内容。预计2021年10月,ATT&CK框架更新到V10版本金沙集团186cc成色,做出的内容更新包括:
ATT&CK由一系列技术领域组成。如图1所示,迄今为止,MITRE ATT&CK已确定了三个技术领域——Enterprise(用于传统企业网络和云技术)、Mobile(用于移动通信设备)、ICS(用于工业控制系统)。在各技术领域,ATT&CK定义了多个平台,即攻击者在各技术领域进行操作的系统。一个平台可以是一个操作系统或一个应用程序(例如,Microsoft Windows)。ATT&CK中的技术和子技术可以应用在不同平台上。
组织机构想要设计自己的ATT&CK,首先要沿用MITRE ATT&CK原有的框架和方法论,然后根据自身检测到的攻击技术进行填充,通过在实际攻防演练中积累的经验并结合行业威胁情报信息不断完善和丰富自己的ATT&CK。
在ATT&CK框架中,主要包含五大对象:攻击组织、软件、技术/子技术、战术、缓解措施,每个对象都在一定程度上与其他对象有关,各对象之间的关系可以通过图2直观地看到。
例如,某企业受到流量加密、文件混淆的哥斯拉和冰蝎的攻击,以及内存马隧道ReGeorg的攻击,分别用ATT&CK对象关系来表示,如图3和图4所示。企业对两种攻击技术进行总结归纳之后,通过近日MITRE Engenuity发布的新工具——ATT&CK workbench,将自己的实战经验添加到ATT&CK知识库中。
ATT&CK 知识库的一个主要用途是了解攻击者,是一种展示与攻击组织战术、技术和步骤(TTP) 相关的威胁情报的方法。威胁情报的来源包括:
因此金沙集团186cc成色,将威胁情报映射到ATT&CK框架中是企业利用该框架的一项主要工作。通过ATT&CK以结构化、便于使用的方式列出这些 TTP 并提供详细信息作为支撑,这对于企业安全运营来说是一个特别有用的工具。
企业通过简单地模拟攻击TTP或者模拟APT组织,可以提高ATT&CK覆盖率。攻击模拟是红队参与的一种模拟类型,它通过威胁情报来模拟一个已知的攻击。对小公司而言,即便没有成熟完整的红队,也可以从攻击模拟中获益。对于初级安全要求的组织架构可以参考图5中的五个步骤进行实践,企业通过循环往复的执行这个步骤,不断扩大ATT&CK的覆盖率。
对于成熟组织,则可以通过图6所示的流程模拟复杂的APT组织,模拟攻击者的攻击方式,以此来评估某一技术领域的安全性,验证组织机构是否有检测或缓解攻击者活动的能力。这样可以更好地进行防御绕过测试,以提高ATT&CK的覆盖率。
将ATT&CK 和一些法规、标准映射起来,为组织提供了极其重要的参考标准,以评估企业安全建设水平。如图7所示,通过ATT&CK 和NIST 800-53映射图可知,基于ATT&CK的运营,最终可以满足大部分NIST 800-53安全控制要求。
虽然有许多网络安全培训模式,但网络安全人员往往无法跟上一些新的威胁。为了帮助安全人员缩小这一差距,企业可以将ATT&CK框架作为培训基础,提高员工的安全能力。具体的实现方式包括:
威胁狩猎是一个持续的过程,也是一个闭环的主动防御过程。基本都是基于假设作为狩猎的起点,发现IT资产中的一些异常情况,就一些可能事件提前做一些安全假设金沙集团186cc成色。然后借助工具和相关技术展开调查,调查结束后可能发现新的攻击方式和手段(TTP),然后增加到分析平台或者以情报的形式输入到SIEM中,可能触发后续的事件响应,从而完成一次闭环。
如图8所示的CAR模型是威胁狩猎的重要模型,APT 组织的行为步骤为从左到右,安全团队的行为步骤是从右到左,在“分析”列进行交汇。APT 组织使用攻击技术进行渗透,安全团队利用安全数据进行数据分类及分析,在“分析”环节进行碰撞。所以威胁狩猎的核心思想是基于细粒度的数据采集,并通过深度分析发现异常情况。
EQL是一种威胁事件查询语言,可以对安全事件进行序列化、归集及分析。EQL 语言本质上属于威胁狩猎的领域,而且EQL 语言在开源领域的影响力也很大,尤其是实现了与ATT&CK 的良好结合,除了提供语言能力外,还提供了很多与TTPs 相结合的分析脚本。
所以企业可以通过EQL对ATT&CK 进行持续运营,对数据质量和分析能力进行评估,找出安全差距,然后在安全风险管理规划中不断弥补差距,实现安全运营能力的持续量化提升。
企业可以利用ATT&CK全面评估自身安全控制的合理性,并对照如下安全优化金字塔内容进行调整,安全优化金字塔包括量化、合理化、优化三项内容。
在这一阶段,主要是确定企业拥有哪些控制措施、在哪些位置执行了安全控制措施、建立企业的安全控制清单,然后根据企业的安全需求及合规要求衡量自身的安全。
金字塔的腰部是安全控制合理化。在这一阶段,主要是评估安全控制有效性;识别和解决安全控制堆栈中存在哪些缺口,是否有重叠情况;对安全供应商进行风险评估;然后优先、整合和消除不必要的安全控制措施。
金字塔的顶部是安全优化。在这一阶段,主要是从威胁情报的角度持续衡量、监控和修改现有安全投资,最大限度地提高整体安全计划(人员、流程和技术)的有效性。
企业根据自身的ATT&CK检测能力建设情况,合理进行安全投资,以期在资金有限的情况下,实现最大的安全投资回报。影响安全投资回报(ROSI)的因素包括:
为增加安全投资回报,企业需要对那些经常发生且造成危害较大的战术和技术进行投资。对此,依据ATT&CK中的各项战术发生的可能性及危害程度,如图10所示用不同颜色进行标注,从下到上表示发生的可能性不断增强,从左到右表示产生的危害不断增大。例如,左下角的深绿色表示非常不可能发生,且产生的危害几乎可以忽略不计。右上角的红色表示非常可能发生且产生的危害较大。
企业可以对照上图的颜色标注,结合ATT&CK框架和网络杀伤链(Kill Chain),形成自身的ARO矩阵,如图11所示内容,其中C4-1至C4-9表示,在某个企业中,攻击者常用的9条攻击路径,数字编号对应着不同的战术。根据攻击路径和发生的可能性及造成的危害程度,企业可以更好地评估自身安全投资的合理性。
企业在ATT&CK持续运营的过程中,需要进行安全验证,并进行安全有效性评估。企业可以从如下几个方面进行评估:
在企业应用ATT&CK的过程中,可以通过业务推进实现ATT&CK的持续运营。不同组织的不同人员可以使用ATT&CK对于新上线业务和新收购公司进行安全评估。
·对于安全供应商:可以通过使用ATT&CK的用例进行产品测试,从而更方便的跟客户进行PoC演示。
ATT&CK框架是一个庞大的知识库,几乎所有实际场景中的攻击行为都能在这个框架下得到标准化的记录或解释。随着企业对ATT&CK应用的深入,会愈发意识到ATT&CK在安全运营中的价值。通过以上对ATT&CK设计理念、对象关系以及运营场景的介绍,希望帮助更多企业落地ATT&CK,提高企业的安全防御能力。
(免责声明:此文内容为本网站刊发或转载企业宣传资讯,仅代表作者个人观点,与本网无关。仅供读者参考,并请自行核实相关内容。)
记者暗访发现,一些明星艺人在注销影视公司或个人工作室的同时,会换个地方和名称重新注册设立新的类似市场主体。
这家具有悠久历史的新企业曾濒临破产,如今已发展成全球最大的综合性建材产业集团,拥有13家上市公司,7项业务规模居世界第一。
