ATT&CK框架為威脅狩獵提供了一個統一的術語系統來描述攻擊者在做什麼,這樣信息安全人員就可以在一個通用的語境下來工作以及交流如何處理它。MITRE使用ATT&CK框架來建議組織如何提高他們的檢測能力,並使攻擊者更難以隱藏。這個框架是開源的,並得到了威脅情報社區的廣泛支持,具體內容可以訪問MITRE的網站(attack.mitre.org)以獲取更多的信息。
ATT&CK的最佳實踐
MITRE的ATT&CK框架包含了如下幾個方面的最佳實踐:
檢測和威脅狩獵
評估和工程
威脅情報
對手模擬
ATT&CK框架的最佳實踐是使用它來理解防禦對於每種攻擊行為的性質。資深安全分析師們認為,針對ATT&CK框架的測試「為用戶提供了一個需要集中注意力和資源的採購清單」。
如果安全管理中心(SOC)或安全態勢感知平臺已經使用了一個Kill-Chain模型,那麼ATT&CK框架也可以很好地協調使用。ATT&CK研究了攻擊者在網絡殺傷鏈上的執行方式,而ATT&CK框架使其更具體化,即細粒度更細,並允許威脅獵手對這些信息進行測試和操作。
上述這些工作都是為了測試用戶網絡的防禦能力,ATT&CK框架提供了統一的對結果進行分類的方法,這樣安全建設者可以確定優化網絡安全的重點。
現代安全管理中心(SOC)需要ATT&CK的最佳實踐
安全運維或分析人員一般都熟知典型的被動響應式(Reactive)安全管理中心的工作流,如下:
系統生成警報
安全分類分析
上報調查或結案
這種分層系統在現實的安全管理工作中非常普遍,但隨著黑客武器工具以及威脅形勢的發展,SOC工作流程應亟需改變以應對不斷變化的外部要求,即目前用戶在安全工作中,要求SOC的工作流改變為更加主動(Proactive,又稱作前攝的)的方式:
持續監控
觸發安全問題分診、上報和調查程序等動作
繼而引發新一輪的威脅追捕,這需要檢索過往威脅情報數據的過程開始,一旦有了這些數據,安全分析就有了主動使用數據的能力
網上有一個關於ATT&CK提供了一個很好的例子,說明如何使用PowerShell在橫向移動的分類中使用這種新的主動工作流。
威脅狩獵能力成熟的關鍵方面
威脅狩獵能力成熟的關鍵方面包括:
儘早關注安全數據——若使威脅狩獵計劃成熟,需要在過程的早期關注數據收集,然後對數據進行過濾和優化,以發現存在威脅的行為,其關鍵是要發現什麼威脅對企業是最為重要的,但不要試圖廣泛撒網;
在抑制威脅方面需要講究策略——需要一個過程來記錄為什麼某些威脅應被抑制,這樣即使當安全運維團隊發生變化時,抑制威脅的邏輯也不會發生丟失或變化;
使用ATT&CK計分機制進行評價——計分機制是一個很好的方式,既可以證明改進,也可以向上級管理層傳達安全建設等方面存在的差距。
了解在威脅狩獵成熟度模型中的位置很重要,但更重要的是了解可以從何處獲得投資。ATT&CK框架提供了一個模型(圖2),幫助更好地理解這一點,並採取行動,進一步完善威脅狩獵計劃。
儘管ATT&CK框架提供了最佳實踐,但需要記住的是威脅狩獵團隊的建設和狩獵過程是迭代的、持續演進的,這個過程是沒有終結點。ATT&CK框架可以幫助安全分析師們提高狩獵的速度、準確性並不斷優化狩獵的步驟,這將使防禦體系得到更高級別的保護,以抵禦各種不斷演進的網絡攻擊者行為。