充分利用ATT&CK框架的5個典型用例與實踐建議
責編:gltian |2024-05-23 14:00:09MITRE ATT&CK框架已成為現代企業組織開展網絡安全防護工作的寶貴資源,提供了基于真實世界觀察的網絡攻擊戰術、技術和流程的全面映射,能夠幫助企業安全運營團隊更加有效地應對這些威脅和攻擊。多年來,這套框架隨著組織和威脅領域的創新和升級而不斷發展。不過由于涉及180余種技術和數百種子技術,這套框架看起來非常復雜,因此讓很多企業在實際應用時挑戰重重。
ATT&CK框架的典型用例
為了讓組織更好利用Mitre ATT&CK框架改進網絡安全計劃,幫助安全團隊盡快上手使用這一工具。研究人員總結了5種ATT&CK框架的典型應用場景,企業可以優先將ATT&CK框架應用到這些安全工作場景中。
1?紅隊測試
開展紅隊測試已經成為現代企業網絡安全能力體系建設中不可或缺的環節。這一工作的本質就是扮演潛在攻擊者的角色,全面梳理組織的IT資產,尋找其中的漏洞和攻擊路徑,以便更好地修復或應對風險。紅隊測試的作用不僅僅在于發現安全問題,對系統開發人員深入了解計算機系統也會大有幫助。
鑒于紅隊測試工作的重要性,組織應該尋找廣泛的資源以確保其能夠充分實施。而ATT&CK框架能夠有效幫助紅隊開展測試演練工作,并實現以下目標:
? 識別網絡中被疏忽的安全漏洞;
? 評估當前的防御計劃和措施是否能夠達到預期的防護效果;
? 發現并預警未知的新型攻擊源;
? 尋找被忽視的網絡安全環節,并對防護策略進行整體優化。
2?提升安全運營成熟度
通過Mitre ATT&CK框架,有助于評估組織現有的安全運營工作實踐和技術措施是否足以保護企業免受攻擊。安全運營團隊可以根據框架中概述的技術進行測試,以確定組織的實踐和流程能否檢測潛在威脅和可疑行為,并生成警報。
Mitre認為,組織可以借助ATT&CK框架指導SOC成熟度評估。安全運營團隊可以使用MITRE ATT&CK框架來提供上下文威脅情報,以改進優先級、根本原因分析和響應,并從以下方面提高安全運營中心的成熟度:
? 分類警報——將警報分類到ATT&CK矩陣中,以便根據嚴重程度更合理地確定處理優先級;
? 識別補救措施——將檢測到的行為與ATT&CK技術相對應,以指導制定遏制和補救計劃的工作;
? 確定調查范圍——使用ATT&CK框架針對指揮和控制、發現和橫向移動等類別指導進一步調查;
? 充實警報——添加ATT&CK技術ID為一線分析師提供關鍵的上下文;
? 詳細記錄——記錄與ATT&CK技術對應的事件可以幫助團隊了解事件、改進檢測。
3?防范內部威脅
內部威脅已經成為現代企業必須面對的重要安全挑戰,很多重大網絡安全事件都是由內部因素所引發。然而,由于內部人員行為的復雜性,很多企業對內部威脅缺乏有效的應對措施,只能在事件發生后被動地進行補救響應。
雖然 ATT&CK框架主要針對外部攻擊,但在其最新版本中,也提供了多種與內部攻擊相關的防護策略,能夠幫助組織快速識別攻擊并確定威脅分子來自內部還是外部。比如說,ATT&CK框架建了安全團隊使用應用程序身份驗證日志來跟蹤內部攻擊,因為這些日志會關注用戶身份,而其他安全工具往往會更多地關注設備信息。
4?主動開展威脅狩獵活動
威脅狩獵是一種主動和可持續的網絡安全方法,旨在識別和緩解威脅,避免其對組織造成重大危害。組織實施威脅狩獵計劃的核心目標就是要縮短出現危險和完成攻擊之間的時間差,即所謂的“停留時間”。因為當攻擊行為者在企業環境中停留的時間越長,他們可能造成的傷害后果就越大。
ATT&CK框架能夠從以下方面支持更高效的威脅狩獵活動:
? 進行假設——ATT&CK框架為安全分析師提供了針對初始訪問、執行和持久潛伏等類別所要檢查的已知技術;
? 確定狩獵范圍——安全分析師可以將范圍限定于特定的行為類別,以提高效率;
? 檢測盲點——ATT&CK技術可以快速發現并顯示當前安全分析工作的缺口;
? 擴大狩獵——狩獵引發的檢測可以揭示相關的ATT&CK技術,并擴大調查范圍;
? 方法和報告——ATT&CK框架為威脅狩獵計劃、報告發現和跟蹤覆蓋范圍提供了一致的表述。
5?入侵和攻擊模擬
盡管企業實施了各種安全控制措施和攻擊防護程序,但許多組織仍然發現他們的網絡安全戰略并不夠全面,仍然會面臨較大的網絡攻擊風險。而BAS是一種功能強大的工具,主要用于測試IT安全工作、持續模擬攻擊和運行場景。大量的應用實踐表明,BAS能夠為企業是否足以抵御日益復雜的攻擊提供有效見解。
在Mitre官網,列出了主要的威脅分子團伙以及他們攻擊的企業和政府類型。安全團隊可以利用這些信息來模擬這些團伙常用的攻擊手法。一些供應商還推出了專門面向Mitre ATT&CK框架的BAS工具,借助這些工具,組織能夠全面了解當前的整體安全性。
ATT&CK框架的最佳實踐
為了更充分利用ATT&CK框架,Mitre同時建議組織應該采取以下最佳實踐措施:
? 優先考慮檢測——專注于自動化檢測常用的ATT&CK技術和影響力很大的那些技術。
? 建立威脅狩獵矩陣——制定基于ATT&CK的狩獵計劃,涵蓋演練過程中發現的常見風險和缺口,并優先考慮實現高價值技術檢測的自動化。
? 映射檢測——確定每個檢測規則、工具或控制機制針對ATT&CK中的哪些攻擊者技術。對測試中所發現的任何安全性缺口都應該及時修補。
? 充實警報——在安全警報中加入ATT&CK技術ID,以加快安全事件的調查和響應。
? 培訓分析師——培訓安全分析師學會如何在日常安全運營工作和事件調查中熟練利用ATT&CK框架。
? 加強演練——應該在紅隊測試、桌面演練和滲透測試中廣泛使用ATT&CK框架中的技術模擬攻擊者的行為。
? 指導補救措施——快速確定安全事件中所使用的ATT&CK技術,并以此指導后續的攻擊遏制和補救措施。
? 基于ATT&CK的分析技術——優先考慮基于ATT&CK技術分析行為的解決方案,力求檢測更精準。
? 最新的框架版本——組織應該選擇與ATT&CK知識庫相一致的的檢測、分析和響應解決方案,并密切關注MITRE的框架定期更新、攻擊者模擬計劃和新技術細節,保持與時俱進。
參考鏈接:
https://www.techtarget.com/searchsecurity/tip/Mitre-ATTCK-framework-use-cases
來源:安全牛