自2013年诞生以来,MITRE ATT&CK框架一直受到安全运营专业人士的关注。早几年,安全运营中心(SOC)团队将MITRE用作参考架构,参照该分类法中的各类对手战术和技术分析警报和威胁情报。根据企业战略集团(ESG)的调研,MITRE ATT&CK使用情况已达拐点。安全团队不仅意识到了该框架作为安全运营基础的价值,还希望在此基础上创建更多的用例,获取更大的收益。
如今,九年过后,MITRE ATT&CK框架及其用例均已远远超出参考架构的范畴。在很多方面,MITRE ATT&CK都已成为安全运营的“通用语”。ESG的调研显示,48%的受访企业将MITRE ATT&CK框架“广泛”应用于安全运营,另有41%的受访企业有限度地使用这个框架。而问及MITRE ATT&CK对公司未来安全运营战略的重要性时,调研结果甚至更为令人惊异。19%的受访企业认为MITRE ATT&CK很关键,62%称该框架非常重要,15%认为MITRE ATT&CK是其安全运营战略的重要组成部分。
MITRE ATT&CK新用例
为什么这么多企业欣然接受MITRE ATT&CK?因为MITRE ATT&CK类似“授人以渔”,一旦学会,可以开发出各种用途。ESG调研揭示,企业会将MITRE ATT&CK用于多种用例。例如:
· 38%的受访企业使用MITRE ATT&CK帮助安全团队将威胁情报应用到警报分类和调查过程中。这是个基本用例,但确实有助于SOC团队丰富警报,全面检视还需要寻找什么。
· 37%的受访企业将MITRE ATT&CK用作安全工程指南。工程师用此框架框定针对性攻击活动,然后在正确的位置实现合适的安全控制措施、检测规则和对策。
· 35%的受访企业通过MITRE ATT&CK更好地了解对手的战术、技术和程序(TTP)。西方政府机构的SOC团队应该就比较关注APT29一类的民族国家威胁。可以使用MITRE ATT&CK Navigator区分和呈现此类网络攻击所用TTP。然后,SOC团队便可评估其控制措施和数据源,发现盲区和弱点,运用这些信息来增强防御。
· 34%的受访企业运用MITRE ATT&CK来了解网络攻击全貌。借助此框架,分析师能够将各个警报映射到过去发生的事件和将来可能发生的事件。这是单个警报分类与全面威胁取证和调查之间的区别。
· 33%的受访企业用MITRE ATT&CK补充其安全技术供应商提供的威胁情报。端点检测与响应(EDR)、网络检测与响应(NDR)、DNS服务,以及电子邮件网关,全都可以集成威胁情报来报警和阻止可疑活动,但这些技术都是各自为战。MITRE ATT&CK有助于将这些一块块的拼图组成更为详细的威胁图景。
MITRE ATT&CK使用的未来
MITRE使用将走向何方?我们不妨预言一二:
· MITRE ATT&CK的使用将推动持续安全测试。通过帮助公司将原子指标和警报映射到扩展杀伤链,MITRE ATT&CK已经提高了威胁情报的价值。与之类似,MITRE ATT&CK也将推动持续安全测试渐成主流。这两个领域已经结合到一起,出现了Red Canary Atomic Red Team等开源工具。MITRE ATT&CK知识和用例的增加也将推动更多商业持续测试工具的采用,如AttackIQ、Cymulate、IBM(Randori)、Mandiant(Verodin)和SafeBeach出品的那些测试工具。
· 初创公司将专注帮助企业实施MITRE ATT&CK。虽然许多企业希望实施MITRE ATT&CK,但他们可能欠缺充分发挥MITRE ATT&CK效能所需的人才或集成软件栈。考虑到MITRE ATT&CK的普及,很可能会出现一批旨在弥合这一缺口的初创公司。比如Tidal Cyber就是前MITRE雇员出于此目的而成立的一家初创公司。
· 企业将更加关注其他MITRE项目。MITRE ATT&CK的成功将使CISO和SOC团队更加开放地看待其他MITRE项目,如MITRE D3fend(网络安全对策知识图)和MITRE Engage(规划和讨论对手交战行动的框架)。MITRE Engage也可能成为唤醒欺骗技术市场的催化剂。
参考阅读
ATT&CK兄弟项目D3FEND:为安全人员量身打造的新型知识图谱
原文始发于微信公众号(数世咨询):MITRE ATT&CK框架角色的转变
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论