加入收藏 | 设为首页 | 会员中心 | 我要投稿 云计算网_泰州站长网 (http://www.0523zz.com/)- 视觉智能、AI应用、CDN、行业物联网、智能数字人!
当前位置: 首页 > 服务器 > 安全 > 正文

ATT&CK框架面对两大挑战

发布时间:2022-08-26 10:32:59 所属栏目:安全 来源:互联网
导读:ATTCK框架公开发布于2015年,从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,成为在企业、政府和安全厂商中广为流行的安全工具。 Pennington说,在过去的几年中,Mitre的使用激增,因为它在整个安全社
  ATT&CK框架公开发布于2015年,从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,成为在企业、政府和安全厂商中广为流行的安全工具。

  Pennington说,在过去的几年中,Mitre的使用激增,因为它在整个安全社区中得到了越来越广泛的采用,而且ATT&CK框架也在快速的迭代中变得日趋完善和全能。
 
  他说:“从最初收录的40种行为,到现在已经超过160种,”他说。“最新版本涵盖了过去忽视的领域,例如如移动设备和工业控制系统,还有许多信息,使人们能够知道如何阻止特定行为并自助处理。”
 
  在上个月举行的Forrester Security&Risk Global 2020虚拟会议上,Forrester Research高级分析师Brian Kime表示,从2018年初开始,ATT&CK成为最受欢迎的入侵框架。
 
  他说:“ATT&CK之所以流行,是因为它可以帮助我们构建弹性的安全体系结构,为我们提供一种对威胁进行建模的方法,这将使我们能够进行检测,并从包括端点在内的整个IT环境采集正确的遥测信息。ATT&CK本身不是威胁情报,但它应该是威胁情报工作的重要工具。”
 
  McAfee研究员兼云业务部门副总裁Sekhar Sarukkai表示,ATT&CK框架在短时间内流行起来的原因还包括信任从企业内部网络向云端的转移。
 
  Sarukkai指出:“传统的安全策略假设一切都将受到控制,但是新的现实是,由于云的存在,信任已经完全开放。如今,没有任何企业可以控制一切。第二,在新冠疫情肆虐的最近几个月中,居家办公需要一种分布式信任模型,这意味着安全团队需要研究新的方法来保护其安全状态。”
 
  此外,ATT&CK框架还提供了一种将威胁活动和驱动模式聚类的方法。“对于一个SOC (安全运营中心)分析员来说,他看到的不是一个单一的事件,而是多个事件的组合,这有助于它们更好地理解威胁。”
 
  从端点到云端
 
  ATT&CK框架的流行以及云计算的快速普及,业界开始探讨“MITRE ATT&CK作为云威胁调查的框架”。
 
  迈克菲和加州大学伯克利分校的长期网络安全中心(CLTC)共同编写的报告发现,有87%的调查受访者认为采用ATT&CK云矩阵将提高组织的云安全性。与此同时,只有49%的受访者对他们手里的安全产品检测每个ATT&CK矩阵中的对手战术和技术的能力感到高度自信。
 
  Sarukkai表示,将云计算这个维度纳入ATT&CK框架至关重要,因为如此多的威胁将穿越内部网络、端点设备和外部云服务的“孤岛”。
 
  尽管ATT&CK框架最初更侧重于端点威胁,但Sarukkai表示,如今越来越常见的攻击媒介是被攻击者入侵的云管理账户。
 
  他说:“如今攻击通常是借助传统的恶意软件通过端点进行的,一旦获取管理员账号,端点就成了攻击云的跳板。从设备到云这条路径是当下网络攻击的一个发展方向。”
 
  ATT&CK面临两大挑战
 
  CLTC的报告发现,全球调查受访者中有45%的人认为安全产品缺乏互操作性是ATT&CK框架面临的最大挑战,而43%的受访者认为将事件数据映射到战术和技术上是一项挑战。
 
  ATT&CK面临的两大挑战可以概括为:
 
  缺乏安全工具支持,难以实现互操作性
  框架部署的成熟度不够,难以实现自动化
  除了互操作性,该报告还发现,只有39%的企业能够将来自云、网络和端点的事件关联起来以调查威胁。
 
  Pennington说:“数据表明,这是客户所面临的挑战。83%的受访者表示ATT&CK框架非常全面,但他们正在手动寻找将其中一些技术映射到其框架中的方法。另一方面,由于这些攻击的本质是跨部门的,问题变得棘手。从数据的角度来看,只有不到20%的客户从运营层面完全采用了ATT&CK,因此,自动化也就无从谈起。”
 
  Pennington说,SOC团队希望从端点、移动设备到网络和云的各种安全产品提供的数据和可见性能够在ATT&CK框架上进行标准化,在某种类型的仪表板上显示,并提供给SIEM等其他产品。
 
  Sarukkai说,“许多安全工具不支持ATT&CK。缺少合适工具的企业需要手动实现,这意味着他们无法完全采用Mitre ATT&CK框架,因为会被实例淹没。而且因为他们没有有效的工具,所以这是最大的原因。”

  Sarukkai说,很多企业希望使用ATT&CK来自动进行修复并减轻SOC分析师的工作量。但是,这要求ATT&CK的实施达到一定的成熟度(上图),但报告显示只有19%的受访者达到了应有的成熟度水平。
 
  更大的挑战是人们不知所措(成熟度不够)。“企业版ATT&CK框架包含了156种高级行为。企业如果想一下子搞明白这156种行为的对策,肯定会头昏脑胀。”Kime指出:“过去一年,我们试图释放大量培训资源,例如如何开始使用,如何确定优先次序,并计划在将来发布更多的免费培训。”

(编辑:云计算网_泰州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0523zz.com/ All Rights Reserved. 云计算网_泰州站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330476号