从事汇集安宁的职员都或多或少表传过ATT&CK框架,该框架近来几年发扬得汹涌澎拜,备受迎接,个中一个原故正在于ATT&CK框架的展现,将高度纷乱的汇集攻击从“形而上学”形成了“显学”。通过多年对ATT&CK的琢磨查究,青藤蕴蓄聚积了大方较为成熟和编造化的琢磨质料,基于此,青藤CEO张福、COO水平和产物副总裁胡俊联结编写了环球首部编造化琢磨ATT&CK的专著——《ATT&CK框架实验指南》。本书由邬贺铨院士作序,并获得10余位巨头专家的携手引荐,将于2022年1月13日正式揭橥!(感兴致的读者能够预定直播,当天限时5折)
鉴于ATT&CK正在汇集安宁范围的浩瀚潜力和使用价钱,很多企业也思将其使用正在安宁运营中,可是却面对两个题目:怎么运用ATT&CK抬高安宁运营才智?怎么急迅完毕ATT&CK正在安宁运营中的价钱?本文将盘绕这两个题目张开,先容正在安宁运营中怎么有用地使用ATT&CK。
起首,咱们将详明讲述企业怎么运用 ATT&CK 来抬高安宁运营才智。详尽来说,企业能够通过ATT&CK的使用做到好友知彼,并举办安宁运营实验。
ATT&CK 的一个苛重方针是完毕勒迫防御,于是,将勒迫谍报映照到ATT&CK框架中是企业运用该框架的一项苛重职责。
防守方苛重有两种办法运用 ATT&CK 获取勒迫谍报:举动数据的消费者和举动数据的临盆者。举动数据的消费者(每个企业都应当如许做),即是运用仍然创修的数据来纠正防御计划。第二种办法是获取格表的新闻,并以此为根基供给格表的谍报,有才智的团队也切磋以这种办法运用ATT&CK。
举动 ATT&CK 新闻的消费者,起首要将勒迫领域缩幼到不妨对企业数据、资产感兴致的特定潜正在勒迫结构。为了缩幼勒迫领域,能够琢磨与本身相仿的企业和同业曾蒙受的攻击以及原故。确定潜正在的勒迫结构后,就能够运用ATT&CK框架中“攻击结构”联系新闻来查看这些结构的 TTP。通过琢磨企业潜正在勒迫结构中常用的 TTP,企业就能够开端编造安宁运营团队务必具备的检测和防守成效的优先级列表。这是运用 MITRE 团队已创修数据的基础设施,无论企业范围巨细都能够利用,并体验到它正在勒迫防御中阐述的浩瀚价钱。
引荐的第二种做法是,正在取得潜正在勒迫结构新闻的根基上,天生本身的勒迫谍报新闻,并增加到ATT&CK数据凑集。这种做法须要企业为解析职员供给充裕的时候和培训,让他们对现有的变乱讲述(包罗表里部的闭源代码和开源代码)举办解析,并提取解析数据将其映照到 ATT&CK 框架中。解析职员正在实质操作中要逐字逐句地琢磨现有讲述;标注出东西、技艺、兵法和勒迫结构名称等新闻;将这些新闻供给给团队职员,让他们驾驭联系攻击结构的一共新闻。有了更多的格表新闻,安宁防御计划就会获得进一步纠正。
利用 ATT&CK 框架映照汇集勒迫谍报,是企业正在琢磨表部勒迫处境,但ATT&CK 框架另一个常见用处是深度发现企业自己的环境。因为ATT&CK中每种技艺都列出了安宁运营团队该怎么识别、检测弛缓解该技艺的新闻,于是,获取这些新闻对付安宁运营团队懂得和改观自己防御才智很有帮帮。
要确定安宁团队缺失哪些苛重数据源,起首须要利用 MITRE 供给的 API 或 GitHub 上的其他开源东西,提取有效的技艺或一切框架的数据源新闻。正在此根基上,再去懂得安宁团队有权拜访的数据源,以及有权拜访这些数据源的用户组和编造,如许能够出现对付症结攻击技艺正在数据搜乞降数据可见性方面存正在的差异。比方,搜求的勒迫谍报评释,准备工作技艺是攻击结构利用的苛重技艺,思方法会安宁团队是否能够检测到它,正在ATT&CK框架中列出的该技艺的数据源——文献监控、过程监控、过程夂箢行参数和 Windows 变乱日记能够供给谜底,如下图涌现了准备工作技艺的数据源。假使安宁团队没有这些数据源,或者只要处境中的个人编造有这些数据源,那么安宁团队须要优先切磋改观这个苛重数据源缺失的题目。
搜求所需的数据源尽头苛重,但这仅仅是第一步。正在获取数据并将其发送到搜求编造(比方 SIEM)后,下一步是找到一个相宜的解析东西来解析攻击者何时会利用某项技艺。MITRE预先编写的汇集解析存储库(CAR)简化了很多技艺的解析方法,以至供给了开源解析方。
86-021-69155901
86-021-69155906
