調查:大多數企業SIEM檢測不出MITRE ATT&CK攻擊
責編:gltian |2023-07-21 15:40:29盡管企業已經在盡力強化自身安全信息與事件管理(SIEM)態勢,但大多數平臺實現依然在覆蓋面上存在巨大空白,比如攻擊者用來部署勒索軟件、盜竊敏感數據和執行其他網絡攻擊的常用技術就被SIEM漏掉了超過四分之三。
近日,以色列CardinalOps發布了《2023年SIEM檢測風險現狀報告》,CardinalOps的研究人員分析了Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等公司生產SIEM平臺的數據,發現這些SIEM平臺僅能檢測出所有MITRE ATT&CK技術中的24%。也就是說,能繞過SIEM檢測的攻擊者所用技術大約有150種,僅約50種攻擊技術會被檢出。這還是讓SIEM系統使用足夠多數據來覆蓋大約94%的各種攻擊技術的情況下。
不僅如此,研究人員在報告中寫道,企業很大程度上并不了解自身安全態勢,“自認為擁有的安全與實際上的安全之間的差距”。這就造成了“對自身檢測態勢的虛假印象”。
MITRE ATT&CK是基于現實世界觀察的對手策略與全球技術知識庫,旨在幫助企業檢測和緩解網絡攻擊。CardinalOps報告所呈現的數據是對不同垂直行業SIEM所用4000多條檢測規則、數百種日志源類型近100萬日志源進行分析的結果,所涉垂直行業包括銀行與金融服務行業、保險業、制造業、能源行業和媒體與電信行業。
01 檢測不出歸咎于缺乏SIEM微調
研究人員指出,當前SIEM效率低下的主要原因是,盡管企業有資源可用于通過知識庫、自動化和其他流程來檢測自身環境所面臨的潛在攻擊,但他們仍然很大程度上依靠人工和其他“容易出錯”的流程來進行檢測。這使得減少積壓工作并快速采取行動填補檢測空白變得困難。
企業網絡安全服務提供商Vulcan Cyber高級技術工程師Mike Parkin表示,事實上,SIEM自身并非“魔力無邊”,要靠企業正確高效地部署才能發揮作用。
“跟大多數工具沒什么兩樣,SIEM需要微調才能在所部署環境中發揮最佳效果。”Mike Parkin說道,“報告中的分析結果表明,很多企業只做了基礎工作,但并未做到所需的微調,不能使自身檢測、響應和風險管理策略更上一層樓。”
報告稱,除了需要擴展檢測工作流以便更快地開發更多檢測,企業SIEM部署中阻礙檢測的一個關鍵問題是:平均而言,12%的規則都是無效的,也就是說,即使出現問題也永遠不會發出警報。
“這種情況通常是由于IT基礎設施不斷變化、供應商日志格式更改,以及規則編寫中的邏輯或意外錯誤而造成的。”研究人員在報告中指出,“對手可以利用無效檢測導致的漏洞來成功突破企業防線。”
02 MITRE ATT&CK 緣何重要
研究人員指出,創建于2013年的MITRE ATT&CK如今已經是了解對手策略和行為的標準框架。隨著威脅情報的發展,該框架提供的知識也不斷豐富,目前可以查詢APT28、Lazarus Group、FIN7和Lapsus$等著名威脅團伙所用的500多種技術和子技術。
CardinalOps研究人員寫道,“MITRE ATT&CK引入的最大創新是,該框架擴展了傳統入侵殺傷鏈模型,超越了靜態入侵指標(如攻擊者可以頻繁更改的IP地址),能夠歸類所有已知對手策略和行為(TTP)”。
研究人員引用環境、社會和治理(ESG)研究成果指出,企業明顯看到了使用MITRE ATT&CK輔助自身安全工作的價值,89%的企業目前都在用此知識庫來減小安全運營用例的風險,比如確定檢測工作的優先級、將威脅情報應用于警報分類,以及更好地了解對手行為(TTP)。
然而,研究人員發現,使用MITRE ATT&CK框架支持SIEM工作和用好該框架是截然不同的兩碼事。
03 縮小SIEM差距
研究人員和安全專家稱,企業可以采取一些措施來縮小SIEM網絡攻擊檢測能力與他們目前的使用方式之間的差距。
其中一個重要的策略就是擴展SIEM檢測工作流程,通過自動化更快地開發更多檢測。在這方面,公司已經廣泛使用自動化在安全運營中心(SOC)的多個領域取得了極佳效果,比如異常檢測和事件響應,但在檢測工作方面效果沒那么好。
研究人員寫道:“檢測工作仍然是手動的,通常依賴擁有專業技術的‘大牛’”。
一名安全專家表示,事實上,人力和財務資源有限的情況下,專注自動化對于達成安全目標而言至關重要。
Viakoo Labs副總裁John Gallagher說道:“這包括將自動化檢測擴展到納入物聯網(IoT)和運營技術(OT)攻擊渠道,以及制定自動化威脅修復計劃。”
Gallagher稱,企業仍要繼續面對的一個重要挑戰是,當前的攻擊面包含大量易受攻擊的聯網設備和典型企業網絡,早已膨脹得超出了IT部門目前的支持或管理能力。
“想要防御和維護這些資產的完整性,就需要IT部門與公司其他部門緊密合作,確保這些資產可見、可用、安全。”
Vulcan Cyber的Parkin表示,實際上,除非企業能看清自身威脅面、管理風險,并按重要程度確定事件優先級,否則問題仍將出現。“我們有工具可以做到這些,但要有效部署和配置這些工具可不容易。”
CardinalOps《2023年SIEM檢測風險現狀報告》
https://cardinalops.com/whitepapers/2023-report-on-state-of-siem-detection-risk/
* 本文為nana編譯,原文地址:https://www.darkreading.com/analytics/enterprise-siem-blind-mitre-attack-coverage
來源:本文來自數世咨詢