讨论ATT&CK落地难题算是一个月经贴了,虽然之前也零散的分享过一些实践,不过缺乏体系化,正好借着一些美国同行的发展历程来阐述一下这个落地的问题,当然ATT&CK只是大厦的其中一块砖石,如果要走上安全工程化这条路,更需要无数的砖石铺出,这才是值得深思的问题,千里之行始于足下。另外本文也是尝试了Notebooklm的一些素材整理,收益颇多,也许以后能高产一些。
从 ATT&CK 和 IACD 的发展历程看安全工程化的未来
从 ATT&CK 和 IACD 的发展历程,我们可以清晰地看到安全工程化的过程和挑战,最终以 CISA 的 AIS 项目的成功为安全工程化的未来指明了方向。
ATT&CK 知识库
ATT&CK(对抗性战术、技术和常识)是一个由 MITRE 公司维护的全球可访问的知识库,它基于现实世界的观察,记录了对手的战术和技术。ATT&CK 的目标是帮助组织了解对手的行为,并制定相应的防御策略。
ATT&CK 知识库的工程化应用
尽管 ATT&CK 知识库非常全面,但在实际应用中,它也面临着一些挑战,例如如何将 ATT&CK 知识库以机器可读的方式呈现,以便于软件高效地利用。
为了解决这个问题,ATT&CK 项目团队正在探索以下几种工程化应用方式:
-
• 结构化威胁信息表达 (STIX):STIX 是一种用于表示网络威胁信息的标准化语言,可以将 ATT&CK 知识库中的信息转换成机器可读的格式。 -
• 可信自动化情报信息交换 (TAXII):TAXII 是一种用于在机器之间交换网络威胁信息的协议,可以将 ATT&CK 知识库中的信息自动分发给安全工具和平台。 -
• ATT&CK Workbench:Workbench 是一个开源平台,可以帮助用户创建、管理和共享 ATT&CK 相关内容,包括自定义攻击模型、防御策略和威胁情报。
集成自适应网络防御 (IACD) 项目
IACD 项目由美国国土安全部 (DHS) 和国家安全局 (NSA) 赞助,旨在通过自动化和信息共享来提升网络防御能力。IACD 项目的核心思想是将安全防御视为一个循环过程,通过自动化来完成循环中的重复性任务,从而解放安全分析师,让他们能够专注于更复杂和更重要的任务。
自动化指标共享 (AIS) 项目
AIS 项目是 DHS 推出的一个免费项目,它利用 STIX 和 TAXII 标准,使组织能够实时共享和接收机器可读的网络威胁指标。AIS 项目的成功表明了安全工程化在提高网络防御效率方面的巨大潜力。
ATT&CK 与 STIX、TAXII、IACD 和 AIS 的关系
ATT&CK 知识库是安全工程化的基础,STIX 和 TAXII 则是实现安全工程化的关键技术。IACD 项目为安全工程化提供了一个整体框架,而 AIS 项目则是 IACD 理念的成功实践。这些项目相互关联,共同推动着安全行业向工程化方向发展。
从人力到工程的升级
安全行业长期以来依赖于安全专家的经验和知识。然而,现实世界中,汇聚大量高级安全专家资源的成本和组织难度都非常高。以堆人方式构建安全体系的成功案例,其上限也就是 Mandiant 这样的公司。而工程化的成功案例上限则是 Google 和 Microsoft 这样的巨头公司。
推动安全工程化趋势的必然性
以下事实案例表明了安全工程化趋势的必然性:
-
• 安全工具的泛滥和低效:安全工具的快速增长导致安全团队需要管理和监控大量的工具,效率低下且难以整合。 -
• 网络攻击的复杂性和速度:攻击者不断发展新的攻击技术和方法,传统的人工防御方式难以跟上攻击的步伐。 -
• 对可衡量安全结果的需求:企业越来越需要可衡量的安全结果,以证明安全投资的价值。工程化方法可以提供更可量化和可评估的安全指标。 -
• 安全人才的短缺:全球范围内都面临着安全人才短缺的问题,工程化可以通过自动化和标准化来弥补人才的不足。 -
• 安全工具的互操作性:目前市场上的安全工具种类繁多,缺乏统一的标准和接口,难以实现互操作。 -
• 安全数据共享的信任问题:在共享安全数据时,组织需要确保数据的安全性和隐私性,并建立信任机制。
结论
从 ATT&CK 知识库的工程化需求,到 IACD 和 AIS 项目的成功,安全工程化已经成为安全行业发展的必然趋势。安全行业需要从依赖人力向依赖工程转变,通过自动化、标准化和信息共享来构建更强大、更高效的安全体系。
原文始发于微信公众号(黄师傅的赛博dojo):从AIS的成功看国内ATT&CK的落地到底缺了什么
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论