企業(yè)部署MITRE ATT&CK框架面臨挑戰(zhàn)

安全牛
隨著遠(yuǎn)程工作的常態(tài)化,網(wǎng)絡(luò)黑客對云的攻擊可能會加速,這使得像MITRE ATT&CK(對手戰(zhàn)術(shù)和技術(shù)知識庫)這樣的威脅發(fā)現(xiàn)框架比以往任何時候都更加重要,幾乎所有使用云的企業(yè)都會使用這類對抗技術(shù)。

2345截圖20211028093243.png

隨著遠(yuǎn)程工作的常態(tài)化,網(wǎng)絡(luò)黑客對云的攻擊可能會加速,這使得像MITRE ATT&CK(對手戰(zhàn)術(shù)和技術(shù)知識庫)這樣的威脅發(fā)現(xiàn)框架比以往任何時候都更加重要,幾乎所有使用云的企業(yè)都會使用這類對抗技術(shù)。因為,ATT&CK框架為網(wǎng)絡(luò)安全工作者提供了一種通用語言和策略,可幫助企業(yè)確定當(dāng)前安全策略的差距,并可以成為實施實時威脅檢測等方法的重要工具,保護(hù)企業(yè)網(wǎng)絡(luò)免受對抗性攻擊。

但是,安全公司McAfee與加州大學(xué)伯克利分校長期網(wǎng)絡(luò)安全中心的聯(lián)合調(diào)研項目發(fā)現(xiàn),很多網(wǎng)絡(luò)安全團(tuán)隊在框架應(yīng)用方面面臨諸多挑戰(zhàn)。

這些挑戰(zhàn):一是,大多數(shù)采用ATT&CK框架的安全團(tuán)隊都沒有實現(xiàn)自動化。雖然91%的企業(yè)使用ATT&CK框架來標(biāo)記網(wǎng)絡(luò)安全事件,但只有不到一半的企業(yè)可以自動更改部分安全策略。二是,ATT&CK框架和安全產(chǎn)品之間的互操作性存在困難。三是,難以將網(wǎng)絡(luò)安全事件映射到安全策略更改,以及無法關(guān)聯(lián)來自云、網(wǎng)絡(luò)和端點的事件。四是,企業(yè)使用的安全產(chǎn)品可能無法檢測到ATT&CK矩陣中存在的所有技術(shù)。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)中心在今年6月發(fā)布了一份報告,為使用MITRE ATT&CK框架的企業(yè)和網(wǎng)絡(luò)安全團(tuán)隊提供了一些建議和潛在的較佳實踐,企業(yè)安全團(tuán)隊可以實施這些建議來克服這些挑戰(zhàn)。例如,該報告概述了幾種不同的方法,可以幫助在將MITRE ATT&CK映射到原始數(shù)據(jù)時遇到困難的企業(yè)。

較佳實踐包括從識別攻擊技術(shù)的數(shù)據(jù)源開始,再到在對手攻擊之前實施特定工具,以及遵循Sigma或MITRE的CyberAnalytics Repository等檢測規(guī)則。該報告還包含一份非常有價值的MITRE相關(guān)資源列表,這些資源包括關(guān)于ATT&CK背后設(shè)計理念的報告、培訓(xùn)課程列表和展示安全團(tuán)隊如何使用該協(xié)議來描述和響應(yīng)攻擊的論文等,企業(yè)可以使用這些資源來提高網(wǎng)絡(luò)安全團(tuán)隊的知識或改進(jìn)其安全系統(tǒng)。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論