MITRE ATT&CK框架已成為現(xiàn)代企業(yè)組織開(kāi)展網(wǎng)絡(luò)安全防護(hù)工作的寶貴資源，提供了基于真實(shí)世界觀察的網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)、技術(shù)和流程的全面映射，能夠幫助企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)更加有效地應(yīng)對(duì)這些威脅和攻擊。多年來(lái)，這套框架隨著組織和威脅領(lǐng)域的創(chuàng)新和升級(jí)而不斷發(fā)展。不過(guò)由于涉及180余種技術(shù)和數(shù)百種子技術(shù)，這套框架看起來(lái)非常復(fù)雜，因此讓很多企業(yè)在實(shí)際應(yīng)用時(shí)挑戰(zhàn)重重。

ATT&CK框架的典型用例

為了讓組織更好利用Mitre ATT&CK框架改進(jìn)網(wǎng)絡(luò)安全計(jì)劃，幫助安全團(tuán)隊(duì)盡快上手使用這一工具。研究人員總結(jié)了5種ATT&CK框架的典型應(yīng)用場(chǎng)景，企業(yè)可以?xún)?yōu)先將ATT&CK框架應(yīng)用到這些安全工作場(chǎng)景中。

1.紅隊(duì)測(cè)試

開(kāi)展紅隊(duì)測(cè)試已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全能力體系建設(shè)中不可或缺的環(huán)節(jié)。這一工作的本質(zhì)就是扮演潛在攻擊者的角色，全面梳理組織的IT資產(chǎn)，尋找其中的漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對(duì)風(fēng)險(xiǎn)。紅隊(duì)測(cè)試的作用不僅僅在于發(fā)現(xiàn)安全問(wèn)題，對(duì)系統(tǒng)開(kāi)發(fā)人員深入了解計(jì)算機(jī)系統(tǒng)也會(huì)大有幫助。

鑒于紅隊(duì)測(cè)試工作的重要性，組織應(yīng)該尋找廣泛的資源以確保其能夠充分實(shí)施。而ATT&CK框架能夠有效幫助紅隊(duì)開(kāi)展測(cè)試演練工作，并實(shí)現(xiàn)以下目標(biāo)：

? 識(shí)別網(wǎng)絡(luò)中被疏忽的安全漏洞；

? 評(píng)估當(dāng)前的防御計(jì)劃和措施是否能夠達(dá)到預(yù)期的防護(hù)效果；

? 發(fā)現(xiàn)并預(yù)警未知的新型攻擊源；

? 尋找被忽視的網(wǎng)絡(luò)安全環(huán)節(jié)，并對(duì)防護(hù)策略進(jìn)行整體優(yōu)化。

2.提升安全運(yùn)營(yíng)成熟度

通過(guò)Mitre ATT&CK框架，有助于評(píng)估組織現(xiàn)有的安全運(yùn)營(yíng)工作實(shí)踐和技術(shù)措施是否足以保護(hù)企業(yè)免受攻擊。安全運(yùn)營(yíng)團(tuán)隊(duì)可以根據(jù)框架中概述的技術(shù)進(jìn)行測(cè)試，以確定組織的實(shí)踐和流程能否檢測(cè)潛在威脅和可疑行為，并生成警報(bào)。

Mitre認(rèn)為，組織可以借助ATT&CK框架指導(dǎo)SOC成熟度評(píng)估。安全運(yùn)營(yíng)團(tuán)隊(duì)可以使用MITRE ATT&CK框架來(lái)提供上下文威脅情報(bào)，以改進(jìn)優(yōu)先級(jí)、根本原因分析和響應(yīng)，并從以下方面提高安全運(yùn)營(yíng)中心的成熟度：

? 分類(lèi)警報(bào)——將警報(bào)分類(lèi)到ATT&CK矩陣中，以便根據(jù)嚴(yán)重程度更合理地確定處理優(yōu)先級(jí)；

? 識(shí)別補(bǔ)救措施——將檢測(cè)到的行為與ATT&CK技術(shù)相對(duì)應(yīng)，以指導(dǎo)制定遏制和補(bǔ)救計(jì)劃的工作；

? 確定調(diào)查范圍——使用ATT&CK框架針對(duì)指揮和控制、發(fā)現(xiàn)和橫向移動(dòng)等類(lèi)別指導(dǎo)進(jìn)一步調(diào)查；

? 充實(shí)警報(bào)——添加ATT&CK技術(shù)ID為一線分析師提供關(guān)鍵的上下文；

? 詳細(xì)記錄——記錄與ATT&CK技術(shù)對(duì)應(yīng)的事件可以幫助團(tuán)隊(duì)了解事件、改進(jìn)檢測(cè)。

3.防范內(nèi)部威脅

內(nèi)部威脅已經(jīng)成為現(xiàn)代企業(yè)必須面對(duì)的重要安全挑戰(zhàn)，很多重大網(wǎng)絡(luò)安全事件都是由內(nèi)部因素所引發(fā)。然而，由于內(nèi)部人員行為的復(fù)雜性，很多企業(yè)對(duì)內(nèi)部威脅缺乏有效的應(yīng)對(duì)措施，只能在事件發(fā)生后被動(dòng)地進(jìn)行補(bǔ)救響應(yīng)。

雖然 ATT&CK框架主要針對(duì)外部攻擊，但在其最新版本中，也提供了多種與內(nèi)部攻擊相關(guān)的防護(hù)策略，能夠幫助組織快速識(shí)別攻擊并確定威脅分子來(lái)自?xún)?nèi)部還是外部。比如說(shuō)，ATT&CK框架建了安全團(tuán)隊(duì)使用應(yīng)用程序身份驗(yàn)證日志來(lái)跟蹤內(nèi)部攻擊，因?yàn)檫@些日志會(huì)關(guān)注用戶身份，而其他安全工具往往會(huì)更多地關(guān)注設(shè)備信息。

4.主動(dòng)開(kāi)展威脅狩獵活動(dòng)

威脅狩獵是一種主動(dòng)和可持續(xù)的網(wǎng)絡(luò)安全方法，旨在識(shí)別和緩解威脅，避免其對(duì)組織造成重大危害。組織實(shí)施威脅狩獵計(jì)劃的核心目標(biāo)就是要縮短出現(xiàn)危險(xiǎn)和完成攻擊之間的時(shí)間差，即所謂的“停留時(shí)間”。因?yàn)楫?dāng)攻擊行為者在企業(yè)環(huán)境中停留的時(shí)間越長(zhǎng)，他們可能造成的傷害后果就越大。

ATT&CK框架能夠從以下方面支持更高效的威脅狩獵活動(dòng)：

? 進(jìn)行假設(shè)——ATT&CK框架為安全分析師提供了針對(duì)初始訪問(wèn)、執(zhí)行和持久潛伏等類(lèi)別所要檢查的已知技術(shù)；

? 確定狩獵范圍——安全分析師可以將范圍限定于特定的行為類(lèi)別，以提高效率；

? 檢測(cè)盲點(diǎn)——ATT&CK技術(shù)可以快速發(fā)現(xiàn)并顯示當(dāng)前安全分析工作的缺口；

? 擴(kuò)大狩獵——狩獵引發(fā)的檢測(cè)可以揭示相關(guān)的ATT&CK技術(shù)，并擴(kuò)大調(diào)查范圍；

? 方法和報(bào)告——ATT&CK框架為威脅狩獵計(jì)劃、報(bào)告發(fā)現(xiàn)和跟蹤覆蓋范圍提供了一致的表述。

5.入侵和攻擊模擬

盡管企業(yè)實(shí)施了各種安全控制措施和攻擊防護(hù)程序，但許多組織仍然發(fā)現(xiàn)他們的網(wǎng)絡(luò)安全戰(zhàn)略并不夠全面，仍然會(huì)面臨較大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。而B(niǎo)AS是一種功能強(qiáng)大的工具，主要用于測(cè)試IT安全工作、持續(xù)模擬攻擊和運(yùn)行場(chǎng)景。大量的應(yīng)用實(shí)踐表明，BAS能夠?yàn)槠髽I(yè)是否足以抵御日益復(fù)雜的攻擊提供有效見(jiàn)解。

在Mitre官網(wǎng)，列出了主要的威脅分子團(tuán)伙以及他們攻擊的企業(yè)和政府類(lèi)型。安全團(tuán)隊(duì)可以利用這些信息來(lái)模擬這些團(tuán)伙常用的攻擊手法。一些供應(yīng)商還推出了專(zhuān)門(mén)面向Mitre ATT&CK框架的BAS工具，借助這些工具，組織能夠全面了解當(dāng)前的整體安全性。

ATT&CK框架的最佳實(shí)踐

為了更充分利用ATT&CK框架，Mitre同時(shí)建議組織應(yīng)該采取以下最佳實(shí)踐措施：

? 優(yōu)先考慮檢測(cè)——專(zhuān)注于自動(dòng)化檢測(cè)常用的ATT&CK技術(shù)和影響力很大的那些技術(shù)。

? 建立威脅狩獵矩陣——制定基于ATT&CK的狩獵計(jì)劃，涵蓋演練過(guò)程中發(fā)現(xiàn)的常見(jiàn)風(fēng)險(xiǎn)和缺口，并優(yōu)先考慮實(shí)現(xiàn)高價(jià)值技術(shù)檢測(cè)的自動(dòng)化。

? 映射檢測(cè)——確定每個(gè)檢測(cè)規(guī)則、工具或控制機(jī)制針對(duì)ATT&CK中的哪些攻擊者技術(shù)。對(duì)測(cè)試中所發(fā)現(xiàn)的任何安全性缺口都應(yīng)該及時(shí)修補(bǔ)。

? 充實(shí)警報(bào)——在安全警報(bào)中加入ATT&CK技術(shù)ID，以加快安全事件的調(diào)查和響應(yīng)。

? 培訓(xùn)分析師——培訓(xùn)安全分析師學(xué)會(huì)如何在日常安全運(yùn)營(yíng)工作和事件調(diào)查中熟練利用ATT&CK框架。

? 加強(qiáng)演練——應(yīng)該在紅隊(duì)測(cè)試、桌面演練和滲透測(cè)試中廣泛使用ATT&CK框架中的技術(shù)模擬攻擊者的行為。

? 指導(dǎo)補(bǔ)救措施——快速確定安全事件中所使用的ATT&CK技術(shù)，并以此指導(dǎo)后續(xù)的攻擊遏制和補(bǔ)救措施。

? 基于ATT&CK的分析技術(shù)——優(yōu)先考慮基于ATT&CK技術(shù)分析行為的解決方案，力求檢測(cè)更精準(zhǔn)。

? 最新的框架版本——組織應(yīng)該選擇與ATT&CK知識(shí)庫(kù)相一致的的檢測(cè)、分析和響應(yīng)解決方案，并密切關(guān)注MITRE的框架定期更新、攻擊者模擬計(jì)劃和新技術(shù)細(xì)節(jié)，保持與時(shí)俱進(jìn)。

參考鏈接：

https://www.techtarget.com/searchsecurity/tip/Mitre-ATTCK-framework-use-cases

https://mixmode.ai/blog/making-the-most-of-the-mitre-attck-framework-best-practices-for-security-teams/