对于许多组织而言,网络安全的目标是防止攻击者入侵其网络,这当然是有效且完全合法的目标。但是,这些组织并没有预计到,他们实施的安全控制措施和政策会被绕过。
最佳安全防护措施可对威胁形势做出反应——但不会形成威胁。无论是窃取用户名和密码的人,还是被诱骗单击通过电子邮件发送的恶意链接的员工,入侵者通常都会处于领先优势。
对手在内部找到立足点后,他们可能造成的损害会持续数周甚至数月。收集个人信息、窃取资金、安装其他恶意软件和获取知识产权只是受害者可能面临的部分后果。
驻留时间是用于描述入侵者在被发现之前可以访问环境多长时间的一个术语。根据SANS 2018威胁追踪调查,平均对手停留时间超过90天,但可能超过数月甚至数年。
不良主体在公司网络中驻留的时间越长,对客户、财务和声誉的风险就越大——因此,在假定攻击者已成功找到落脚点的前提下进行演练,这一点很重要。
许多安全从业人员都将MITER ATT&CK矩阵作为了解入侵后技术的一种手段。 ATT&CK矩阵是基于全球安全社区共享的现实观察和研究而收集的200多种对抗战术和技术的集合。可以根据是否使用了检测所需的必要数据源来描述每种技术。
该框架背后的组织MITRE是一家美国非营利组织,管理由联邦政府资助的研发中心,收集、组织网络犯罪分子所使用的各种战术和技术,并对其进行情境构建。
这里有一些方法可以帮助您使用MITER ATT&CK矩阵。
1.先学走再学跑——如果您只是开始制定和建立安全策略,那么ATT&CK矩阵不是你的正确选择。在建立安全流程的早期阶段,组织需要确保自己的安全状况良好。组织好是否拥有强大的密码管理系统?是否定期在系统上应用补丁?可以看到并阻止常见的恶意软件吗?只有建立了牢固的安全基础,采用ATT&CK矩阵才有意义。
2.选择ATT&CK的计划——组织机构要求你一口吃成个胖子。而ATT&CK也需要你作出同样的努力。从基础开始:您的数据来源有多少,涵盖了多少时间?根据这些信息,您可以根据威胁状况、特定威胁组、技术类别等,采用多种方法中的任何一种方法。
3.测试团队能力——网络安全团队经常使用ATT&CK矩阵作为框架,以显示组织机构在哪些方面具有良好的可见性保护以及哪些地方有已经确认的弱点需要解决。我们的客户获得成功的一种方法是评估他们在中央位置拥有哪些数据源、数据的质量以及数据覆盖的时间段。
4.向管理人员报告安全准备情况——ATT&CK还可以帮助安全团队与业务负责人就组织机构的网络安全状况进行情报汇报。 ATT&CK是一种通用语言,组织机构领导者可以采用该语言来提高其与预算和风险所有者就降低对对手的风险和暴露所必需的人员、流程和技术变化进行沟通的能力。例如,当安全团队要求更改本地审计政策,增强其对某种技术的可见性时,企业可以针对数据存储和查询实际成本权衡该可见性的优点。
5.实施知识管理策略——ATT&CK组织和管理每种技术的属性,而几年前,这需要人们掌握“部落”知识。在最近的这段时间里,培训可能意味着让您的安全从业人员或分析人员花几个月时间接受经验丰富的团队成员的指导,直到他们从经验丰富的团队成员身上学到了几乎所有知识。现在,通过ATT&CK知识库,安全团队可以轻松掌握大量知识,让您能够制定行动计划,提高生产率和效率。
6.评估您的安全工具——MITER针对其ATT&CK活动数据库定期对终端检测和响应(EDR)软件进行测试和评估。MITER与EDR供应商共同确定如何使用其产品来提供对入侵后事件的可见性。因为ATT&CK仅描述了失陷发生后发生的技术,所以将ATT&CK纳入其安全策略的组织机构会自动假定有可能发生泄露,尽管它们具有预防性安全堆栈。
尽管ATT&CK矩阵在所有这些方面都非常有价值,但要记住,网络攻击界正在不断变化。 ATT&CK数据库经常更新,但仍在进行中,无法涵盖发现的每种技术或变体。
要利用ATT&CK,您必须接受并优先考虑安全操作中可见性的重要性。可见性是我们在安全方面经常听到的一个词,这是有充分理由的。你不会发现你没有去寻找的东西。
ATT&CK入门其实就是理解和提高可视化。团队的终端洞察力可确保他们在恰当的时间拥有正确的信息,可以发现威胁并做出响应。选择以这种方式利用ATT&CK的安全团队将对观察到的活动有更好的了解,而不会浪费时间对每种技术发出警报。
青藤云安全认为,网络安全界正在发生日新月异的变化,也在不断重新定义自己。最好的对手会也会制定新的战术来实现目标,以此做出回应。我们需要像MITER ATT&CK矩阵这样的框架来开发更强大的网络安全程序。