ATT&CK©框架(Adversarial Tactics, Techniques, and Common Knowledge)是由美国国防部情报局(DIA)所属的Mitre公司所开发的一个网络攻击模型,旨在描述黑客组织和攻击者使用的各种策略、技术和常见知识。ATT&CK框架对于企业攻击面管理具有重要的意义,通过对各类攻击行为的分类和描述,能够帮助企业较全面地了解自身安全形势,识别存在的安全威胁和防御弱点,从而制定合理的安全策略和应对措施。
ATT&CK框架对于攻击面管理的应用主要表现在以下几个方面:
一辅助资产管理和风险评估
ATT&CK框架按照黑客攻击行为的方式对其进行分类,可以帮助企业更加全面地了解自身网络上存在的安全风险和威胁,并以此为基础对各种资产进行分类和管理,同时可以对各个安全威胁进行评估和度量,从而更好地把握企业安全态势。ATT&CK框架中描述的黑客攻击行为既包括主动攻击行为,也包括被动渗透测试,企业可以应用ATT&CK框架辅助进行主动安全威胁模拟,以此补充常规安全测试,发现更多的安全风险和漏洞。
举例:某大型金融机构利用ABI(ATT&CK-based Investigation)解决网络入侵问题
该金融机构一直受到来自黑客和APT攻击的困扰。针对这一情况,安全团队决定采用ATT&CK框架进行攻击面分析和风险管理。利用ABI方法,该银行安全团队针对每个ATT&CK可观察元素组成了自己的威胁情报档案,逐一排查与该框架相匹配的攻击特点。该公司又利用提取到的足以证明针对该机构的攻击情况数据对风险分析进行了跟进,运用ABI方法进一步评估和调查目标站点,以便找到目标站点中威胁行为可能延伸到的区域。
二提高威胁情报的利用程度
ATT&CK框架可以帮助企业更好的获取、掌握最新的威胁情报,以此作为提高网络安全防御预案的一个重要依据。基于ATT&CK框架的威胁情报可以帮助企业了解当前黑客攻击的趋势和方式,以及识别攻击者可能使用的技术和工具,企业可以将其整合到自己的事件响应及监控系统中。在自主威胁情报收集和处理的基础上,ATT&CK框架也提供了一个公共威胁情报平台MITRE ATT&CK® FOR CYBER THREAT INTELLIGENCE,攻击者采用的各种技术和行为都会被实时跟踪,为企业提供一个公共的威胁情报共享平台。
举例:电商公司利用ATT&CK框架提高安全情报分析能力
某全球电商企业成功应用ATT&CK框架,使得该企业有效地使用了日志审计数据,并且利用该框架发现了一些以前无法识别的黑客行动。该电商企业利用ATT&CK框架指导安全情报分析,加强了其威胁狩猎活动,同时提高了安全分析的效率。该企业还开发了一些高度可视化的攻击行动概述,并将其纳入了其安全报告中。
三指导安全团队的事件响应和监控
ATT&CK框架可以作为安全团队的一个重要参考,指导安全事件响应和网络监控。根据ATT&CK框架中对恶意攻击者使用的策略、技术和常见知识的描述,安全团队可以制定完善的响应计划和策略,更快、更准确地响应各种安全事件,并对从网络日志中的监控数据不断优化自己的事件响应方式。在ATT&CK框架的指导下进一步优化自己的事件响应和监控系统,可以让安全团队更好地控制针对企业的攻击,从而减少风险和损失。
举例:国防企业通过ATT&CK框架制定网络保护方案
某美国政府安全承包商使用ATT&CK框架来定位其网络中的“创新簇”,并确定了一组完善的控制点(
ingress/egress/filtering/inspection points),以帮助区分针对这些簇的攻击行为。该承包商还利用该框架的特征,编写实施指导,以帮助其网络安全团队执行文件审计、网络审计和日志审计,并以此为基础构建起基于ATT&CK框架Mitre Shield的网络保护计划。
四整合多种安全套件与方法
针对某些特定的灰色领域,ATT&CK框架可以帮助整合多个安全组件,并提供一个攻击维度的安全风险分析平台。ATT&CK框架还允许第三方厂商以框架分类为基础构建自己的安全产品或服务。通过ATT&CK框架的整合,大大提高了企业的安全分析速度和准确度。
此外,ATT&CK框架为攻击面管理注入了诸多新思路和方法。通过攻击者行为的分类,安全团队可以更加全面地理解自己面临的安全情况,发现隐藏的威胁,同时深入理解黑客所使用的技术和工具,以此指导企业进行合理的安全投资和部署。针对不同行业、不同企业,ATT&CK框架也提供定制化解决方案,根据不同需求定制不同的攻击面分类和行为分析,以更从容应对不同领域的攻击态势。
企业在使用ATT&CK框架时,可以辅助资产管理和风险评估、提高威胁情报的利用程度、指导安全团队的事件响应和监控、整合多种安全组件等。安数云作为业内领先的全环节云服务安全解决方案供应商,已经在旗下系列产品中逐步融合ATT&CK框架。通过引入业界先进的威胁管理方法论,再结合自身的安全架构和策略,从而能够更好地理解客户所面临的风险和威胁,制定更有效的安全方案,全面提高企业安全事故的预防和应急处置能力。
