从AIS的成功看国内ATT&CK的落地到底缺了什么

admin 2024年12月6日15:52:48评论5 views字数 1750阅读5分50秒阅读模式

讨论ATT&CK落地难题算是一个月经贴了,虽然之前也零散的分享过一些实践,不过缺乏体系化,正好借着一些美国同行的发展历程来阐述一下这个落地的问题,当然ATT&CK只是大厦的其中一块砖石,如果要走上安全工程化这条路,更需要无数的砖石铺出,这才是值得深思的问题,千里之行始于足下。另外本文也是尝试了Notebooklm的一些素材整理,收益颇多,也许以后能高产一些。

从 ATT&CK 和 IACD 的发展历程看安全工程化的未来

从 ATT&CK 和 IACD 的发展历程,我们可以清晰地看到安全工程化的过程和挑战,最终以 CISA 的 AIS 项目的成功为安全工程化的未来指明了方向。

ATT&CK 知识库

ATT&CK(对抗性战术、技术和常识)是一个由 MITRE 公司维护的全球可访问的知识库,它基于现实世界的观察,记录了对手的战术和技术。ATT&CK 的目标是帮助组织了解对手的行为,并制定相应的防御策略。

ATT&CK 知识库的工程化应用

尽管 ATT&CK 知识库非常全面,但在实际应用中,它也面临着一些挑战,例如如何将 ATT&CK 知识库以机器可读的方式呈现,以便于软件高效地利用。

为了解决这个问题,ATT&CK 项目团队正在探索以下几种工程化应用方式:

  • 结构化威胁信息表达 (STIX):STIX 是一种用于表示网络威胁信息的标准化语言,可以将 ATT&CK 知识库中的信息转换成机器可读的格式。
  • 可信自动化情报信息交换 (TAXII):TAXII 是一种用于在机器之间交换网络威胁信息的协议,可以将 ATT&CK 知识库中的信息自动分发给安全工具和平台。
  • ATT&CK Workbench:Workbench 是一个开源平台,可以帮助用户创建、管理和共享 ATT&CK 相关内容,包括自定义攻击模型、防御策略和威胁情报。

集成自适应网络防御 (IACD) 项目

IACD 项目由美国国土安全部 (DHS) 和国家安全局 (NSA) 赞助,旨在通过自动化和信息共享来提升网络防御能力。IACD 项目的核心思想是将安全防御视为一个循环过程,通过自动化来完成循环中的重复性任务,从而解放安全分析师,让他们能够专注于更复杂和更重要的任务。

自动化指标共享 (AIS) 项目

AIS 项目是 DHS 推出的一个免费项目,它利用 STIX 和 TAXII 标准,使组织能够实时共享和接收机器可读的网络威胁指标。AIS 项目的成功表明了安全工程化在提高网络防御效率方面的巨大潜力。

ATT&CK 与 STIX、TAXII、IACD 和 AIS 的关系

ATT&CK 知识库是安全工程化的基础,STIX 和 TAXII 则是实现安全工程化的关键技术。IACD 项目为安全工程化提供了一个整体框架,而 AIS 项目则是 IACD 理念的成功实践。这些项目相互关联,共同推动着安全行业向工程化方向发展。

从人力到工程的升级

安全行业长期以来依赖于安全专家的经验和知识。然而,现实世界中,汇聚大量高级安全专家资源的成本和组织难度都非常高。以堆人方式构建安全体系的成功案例,其上限也就是 Mandiant 这样的公司。而工程化的成功案例上限则是 Google 和 Microsoft 这样的巨头公司。

推动安全工程化趋势的必然性

以下事实案例表明了安全工程化趋势的必然性:

  • 安全工具的泛滥和低效:安全工具的快速增长导致安全团队需要管理和监控大量的工具,效率低下且难以整合。
  • 网络攻击的复杂性和速度:攻击者不断发展新的攻击技术和方法,传统的人工防御方式难以跟上攻击的步伐。
  • 对可衡量安全结果的需求:企业越来越需要可衡量的安全结果,以证明安全投资的价值。工程化方法可以提供更可量化和可评估的安全指标。
  • 安全人才的短缺:全球范围内都面临着安全人才短缺的问题,工程化可以通过自动化和标准化来弥补人才的不足。
  • 安全工具的互操作性:目前市场上的安全工具种类繁多,缺乏统一的标准和接口,难以实现互操作。
  • 安全数据共享的信任问题:在共享安全数据时,组织需要确保数据的安全性和隐私性,并建立信任机制。

结论

从 ATT&CK 知识库的工程化需求,到 IACD 和 AIS 项目的成功,安全工程化已经成为安全行业发展的必然趋势。安全行业需要从依赖人力向依赖工程转变,通过自动化、标准化和信息共享来构建更强大、更高效的安全体系。

原文始发于微信公众号(黄师傅的赛博dojo):从AIS的成功看国内ATT&CK的落地到底缺了什么

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月6日15:52:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从AIS的成功看国内ATT&CK的落地到底缺了什么https://cn-sec.com/archives/3473218.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息