对于很多组织机构而言,网络安全的目标是阻止攻击者攻陷网络,这当然是一个合理且完全合法的目标。但这些组织机构没有想到的是,他们所实现的安全控制和策略会被绕过。
最佳的安全防御措施对威胁局势做出反应,而非塑造威胁局势。不管是有人窃取用户名和密码还是员工被诱骗点开邮件中的恶意链接,入侵者常常走在前面。
一旦攻击者站稳脚跟,他们在网络内部所造成的损失随着时间的流逝而不断增多。收集个人信息、窃取资金、安装其它恶意软件并收集知识财产只是受害者可能面临的某些后果。
驻留时间用于说明入侵者在被发现前访问某个环境所持续的时间。SANS 发布的2018年威胁捕获调查结果显示,攻击者的平均驻留时间超过90天,不过也可能超过数月甚至是数年的时间。
恶意人员在企业网络中停留的时间越长,客户、资金和名誉面临的风险就越大,因此在假设已被成功攻陷的场景中进行实践就显得尤为重要。
很多安全实践人员都将 MITRE ATT&CK 矩阵作为理解攻陷后技术的一种方式。ATT&CK 矩阵收集了200多种攻击者战术和技术,而且基于国际安全社区对真实世界的观察和研究。每种技术均可通过检测其是否被使用的必要数据来源进行说明。
该框架背后的组织机构 MITRE 是美国的一家非营利性组织机构,负责管理受联邦资助的研究和开发中心对网络犯罪分子所使用的战术和技术进行收集、整理并上下文化。
如下是将 MITRE ATT&CK 矩阵应用到安全运营中的几种方式:
跑之前先学会走:如果你刚刚开始发展并建立自己的安全策略,那么不要从 ATT&CK 矩阵开始。处于构建安全流程早期阶段的组织机构需要确保良好的卫生情况。是否具有强大的密码管理系统?是否经常发布系统补丁?是否发现并阻止了常见的恶意软件?只有在铺好坚固的安全基础,才能开始引入 ATT&CK。
选择自己的 ATT&CK计划。一口吃不成胖子。同理,ATT&CK 也需要循序渐进的投入。从基础着手:你的数据来源是什么以及它们涵盖了多长的时间?自此,你可以根据自己的威胁局势、某个特定的威胁组织、某种技术分类借助多种方式中的一种开始。
测试团队的能力。网络安全团队经常使用 ATT&CK 矩阵作为一种框架来展示组织机构具有良好可见性保护的地方以及可以解决已识别弱点的地方。客户取得成功的一种方式是,通过评估在某个集中位置所具有的数据来源、该数据的质量和数据覆盖的时间来实现该目标。
向管理层汇报安全进展。ATT&CK 也可帮助安全团队和业务负责人开展关于组织机构安全状态的智慧谈话。组织机构的领导层可使用通用语言即 ATT&ck 来改进和预算以及风险所有人关于降低风险的人员、流程、技术变化方面的沟通能力。例如,当安全团队要求更改本地审计策略以增强对某种技术的可见性时,企业可衡量这种可见性和存储以及查询该数据的真实成本差异从而做出合理决策。
实现知识管理战略。ATT&CK 整理并归纳了每种技术的属性,这种工作在几年前都需要人类“部落”知识。之前,培训的含义可能是让安全践行者或分析师花费数月时间接受经验丰富的团队成员的指导,知道学会为止。而如今,安全团队通过 ATT&CK 知识库能够获得大量知识,从而能够设置行动计划以改进生产效率及效果。
评估安全工具。MITRE 对端点检测和响应 (EDR) 软件对照 ATT&CK 活动数据库进行例行测试和评估。MITRE 和 EDR 供应商合作确定如何将产品用于提供对攻陷后事件的可见性。由于 ATT&CK 仅说明了入侵后发生的技术,因此将 ATT&CK 纳入安全策略的组织机构自动假设尽管部署了防御性安全栈,但仍然很有可能遭攻击。
虽然 ATT&CK 矩阵在所有这些领域中都极具价值,但有必要记住一点,网络攻击的世界随时都在发生变化。ATT&CK 数据库需要经常更新,但由于它正在发展阶段,因此无法涵盖所有已发现的技术或变体。
要利用 ATT&CK,你必须接受并在安全运营中优先考虑可见性的重要性。“可见性”是我们在安全领域经常听到的一个褒义词。如果你无法看到,那么就无法找到。
着手使用 ATT&CK 都是关于理解和改进可见性的问题。团队的端点洞察力确保他们在正确的时机具有正确的信息,从而能够找到并对威胁做出响应。选择以这种方式使用 ATT&CK 的安全团队将更好地理解所观测到的活动,而不必浪费时间试图对每种技术发出警告。
网络安全正在持续快速地迭代并重塑。最好的攻击者开发新的战术以实现目标作为响应。我们需要像 ATT&CK 矩阵这样的框架来开发出更加强大的网络安全计划。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
