市面上已经有很多解读ATT&CK的实体书和系列的文章,不过我发现很多朋友仍然对如何使用ATT&CK结合到自己的工作中非常疑惑,我觉得究其原因还是这些材料大多数都是在解释ATT&CK是什么和框架内容的,包括官方的blog和一些材料对场景上的应用也是浅尝辄止,当然其实官方组织的年会和主题相关的会议上甲方分享的实践还是很多的,限于各种原因并没有被更多的人看到。
我也从我的角度来回答一下ATT&CK到底有什么用?
首先官方很清楚的定义了ATT&CK是一个基于对真实世界的观察总结的攻防技战术知识库。成熟度比较高的组织都会沉淀下知识库,也许会有方法论,大小和质量的区别,但是本身从内容来讲是一样的。甚至attck早期版本被人吐槽过专业性和全面性不足。真实世界中存在了那么多知识库到底导致了什么问题?我们来看一个经过适当夸张的场景。
一个组织内有三种设备产出了告警,那么对运营人员来讲,如何判别这三个告警是不是同一个或者说是否具备相关性呢?大家可以想象一下三段分别由中文、英文和法文写出来的文字,如何直到是否具有相关性,只有通晓三种语言的专家才能做到,同理,三种设备其实内禀了三个厂商的知识库,只有高级的运营专家才能了如指掌。当然也可能这个组织内部运营一个知识库,那就是需要把三种语言都翻译成拉丁文,这对人才的要求更高了。因为运营专家的稀缺,极大的制约了提升组织安全水平。
那么我们再来看一下如果使用了ATT&CK之后,发生了什么,三种设备告警和企业自身的知识库都使用同一种文字,是不是对运营人员的要求降低了?可以在总体投资不变的情况下,一方面极大的直接提升运营效率,一方面更容易积累运营经验,形成增长飞轮。
这个逻辑其实推广到一般性的知识库都是成立的。
咱们回到ATT&CK本身,我整理了一些讨论的成果。
- 卡巴斯基的MDR分析师报告2021中使用了ATT&CK的知识库来分析(我理解更多是一种标注)了大量的不同的安全活动,得到了一些深刻的数据洞察。如果没有这种标准化的数据对齐方法,这在过去会存在不太容易准确量化的挑战;
- 对response也有意义,因为attack框架里本来就有remediation,你可以自行扩展,做到全自动或者半自动的缓解,这些都会是高阶应用,充分利用知识库为特定的活动赋能,数据月标准化,自动化率和自动化质量都会提高,高阶应用还包含归因,画像;
- 我以前做IRP平台,就是事件里面尽可能用Attack框架里的实体,数据输出的对齐,处置可以直接对接soar的剧本或者特定类型的工单;
- 在v9版本开始提供了stix2.1描述的版本,实现了和威胁情报领域的彻底打通
- 随着框架的发展,比如在v14中,检测这块直接怼到了规则库,实用性进一步增强;
- 之前也有比技战术更高粒度的类似于emu的描述完整攻击活动的开源库
- 不断的新增实体和分类,比如response等等,打通了更多了安全活动领域
小结一下,我觉得attck本身也没有说你们直接用来做什么,因为单个活动本身都比较成熟,检测和ir这种,通过知识库对齐之后,起到的作用是可以通过自动化方法串起来,只有标准化才能高质量的自动化,这个是工程化过程中的最大价值,作用到各种方面,使整体运营效率提高,具备使用数据驱动的方法来提升质量的条件。当然这个是我持续跟踪attck发展之后自己的看法,各位更关注某个活动的落地效果,可以在社区项目中有所发现,社区项目很多都是甲方驱动的落地实践,比如我记得有一个摩根大通贡献的cve和attck的映射,对ir的帮助就很大,通过告警和漏洞的关联来自动化或者人工研判有效性。
我在网络安全技术标准体系和下一代网络安全架构研究第五版更新发布中包含了一张ATT&CK落地应用的思维导图,包含了检测,响应,合规等各种安全活动上开源项目应用。
好了到最后,NGCSA(NGCSA是什么?和网络空间安全产品的终极形态畅想)初步要设置的SIG都是围绕知识库展开,通过构建高质量的,一致的数据集,最终提供了一条通过LLM技术实现超自动化(hyperautomation)的路径。对这块有兴趣的朋友们快来加我好友吧。
公众号
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。