MITRE ATT&CK框架:CISO的必修課
責編:gltian |2020-10-19 16:37:53網絡安全專業人員對MITRE ATT&CK框架的優點耳熟能詳——免費,而且可訪問全球的資源和服務,可為組織提供全面的當前網絡安全威脅信息。但遺憾的是,未必所有人都真正了解MITRE ATT&CK在各個網絡安全領域的巨大潛力和應用價值。毫不夸張地說,MITRE ATT&CK框架的出現,將高度復雜的網絡安全攻防對抗和入侵檢測從“玄學”變成了“顯學”,具有劃時代的意義。
不僅僅是網絡安全行業,對于企業CISO來說,MITRE ATT&CK也已經是必修課,甚至可以說:“學好MITRE ATT&CK,走遍天下都不怕。”
根據邁克菲和加州大學伯克利分校長期網絡安全中心的聯合報告《MITRE ATT&CK作為云安全威脅調查的》大多數企業對自己的入侵檢測能力都缺乏信心。
邁克菲云安全高級副總裁拉吉夫·古普塔(Rajiv Gupta)表示,全球遠程辦公的廣泛采用只會加速對云中存儲的數據和工作負載的攻擊,因此必須建立威脅發現框架。
“當組織從有效性和運營角度審查其現有技術棧和策略的安全狀態時,強烈建議考慮與MITER ATT&CK等一致框架的互操作性,MITER ATT&CK仍然是所有行業中使用最廣泛的安全框架,有助于幫助企業快速找到安全可見性,工具和流程方面的差距。”古普塔說。
調查結果也證實了上述觀點,該調查證實了由于采用云服務而導致的安全態勢的快速變化,尤其是對云安全責任的劃分不斷變化,這使許多安全專家變得復雜和不堪重負,從而產生了對標準化調查框架的需求和渴望。
事實上,MITRE ATT&CK已經在企業中得到了廣泛采用:
- 87%的受訪企業認為實施MITER ATT&CK可以提高云安全性;
- 81%已經使用了該框架;
- 63%將MITRE ATT&CK框架同時用于企業和云的安全矩陣;
- 57%使用MITRE ATT&CK框架來比對已部署安全解決方案的差距;
- 55%使用MITRE ATT&CK框架來支持安全策略實施;
- 54%利用MITRE ATT&CK框架來支持威脅建模。
但是,盡管超過80%的受訪者表示他們每天、每月或每年都遭遇過MITER ATT&CK框架中的對抗策略和技術,但只有49%的受訪者表示,他們對自己實施的安全系統完全能夠檢測到它們感到高度自信。
邁克菲(McAfee)和加州大學伯克利分校(UC Berkeley)表示,這種懷疑源自與MITRE ATT&CK框架應用相關的挑戰:
- 45%的受訪者表示,他們面臨最大的挑戰是互操作性;
- 43%的受訪者表示很難將特定事件的數據映射到MITRE ATT&CK戰術和技術上;
- 61%的受訪者表示,他們目前沒有將云、網絡和端點的事件關聯起來調查威脅,從而進一步分散了責任共享模型的泥潭,并使與本地和混合環境日益交織在一起的威脅變得更加難以管理。
邁克菲的云安全數據隱私專家Nigel Hawthorn認為,CISO們無法將整個IT系統的安全事件進行關聯是目前企業網絡安全領域最為嚴重的問題之一。
“由于攻擊者可以通過一個漏洞獲得訪問權限,然后橫向搜索弱防御和敏感數據,因此,能夠查看所有要點和威脅的方法對于需要嚴格遵守時間和安全要求的安全運營中心(SOC)團隊來說具有巨大的價值資源。”他說。
“在云中保護數據是一項共同的責任,不僅要由一方承擔。從云服務提供商到最終用戶,‘責任堆棧’的每個元素都有各自的作用,但它們都相互作用。”
“如果我們要直面當今復雜的安全挑戰,采用協作方法并使用MITRE ATT&CK框架來標準化跨云服務和本地基礎架構的調查至關重要。如果正確實施,云將是最安全的業務開展場所,并且是業務增長,創新和彈性的不可思議的驅動力。”
邁克菲(McAfee)給出的建議是,采取多步驟方法,以在云中維持強健的安全狀態。結合使用MITER ATT&CK Cloud Matrix,CISO應部署全面的威脅調查,以加深對正在發生的安全事件的了解,這同時還可以幫助他們系統地關聯和解決在不同地方發生的事件。此外,CISO還應考慮采用自動化以減少SOC分析人員研究多個環境的工作量。
請掃描或長按識別上方二維碼獲取中文版的《MITRE ATT&CK框架使用指南》(附送大幅精美印刷的ATT&CK技術與數據源映射圖)。