随着远程工作的常态化,网络黑客对云的攻击可能会加速,这使得像MITRE ATT&CK(对手战术和技术知识库)这样的威胁发现框架比以往任何时候都更加重要,几乎所有使用云的企业都会使用这类对抗技术。因为,ATT&CK框架为网络安全工作者提供了一种通用语言和策略,可帮助企业确定当前安全策略的差距,并可以成为实施实时威胁检测等方法的重要工具,保护企业网络免受对抗性攻击。
但是,安全公司McAfee与加州大学伯克利分校长期网络安全中心的联合调研项目发现,很多网络安全团队在框架应用方面面临诸多挑战。
这些挑战:一是,大多数采用ATT&CK框架的安全团队都没有实现自动化。虽然91%的企业使用ATT&CK框架来标记网络安全事件,但只有不到一半的企业可以自动更改部分安全策略。二是,ATT&CK框架和安全产品之间的互操作性存在困难。三是,难以将网络安全事件映射到安全策略更改,以及无法关联来自云、网络和端点的事件。四是,企业使用的安全产品可能无法检测到ATT&CK矩阵中存在的所有技术。
美国网络安全和基础设施安全局(CISA)中心在今年6月发布了一份报告,为使用MITRE ATT&CK框架的企业和网络安全团队提供了一些建议和潜在的较佳实践,企业安全团队可以实施这些建议来克服这些挑战。例如,该报告概述了几种不同的方法,可以帮助在将MITRE ATT&CK映射到原始数据时遇到困难的企业。
较佳实践包括从识别攻击技术的数据源开始,再到在对手攻击之前实施特定工具,以及遵循Sigma或MITRE的CyberAnalytics Repository等检测规则。该报告还包含一份非常有价值的MITRE相关资源列表,这些资源包括关于ATT&CK背后设计理念的报告、培训课程列表和展示安全团队如何使用该协议来描述和响应攻击的论文等,企业可以使用这些资源来提高网络安全团队的知识或改进其安全系统。
