青藤云安全COO程度:如何建立企业内部的ATTCK

2021-09-16 09:41

  MITRE ATT&CK学问库是基于收集社区供给的真正攻击事务的研讨而设备的,自2015岁首次公布往后,神速被寰宇各地的很众安好厂商和安好团队采用。ATT&CK项目是一个及时更新的学问库,一朝行业内闪现了原委验证的最新新闻,就会连接更新。是以,ATT&CK学问库供给了行业中最通盘的与已知攻击手腕闭连的新闻,这为企业升高收集防御才略供给了一个分外有效的器材。

  长久往后,许众企业都指望将ATT&CK框架利用正在安好运营流程中,然而看待若何连接运营ATT&CK,却难以动手。克日,青藤云安好COO水平正在“2021 ATT&CK手艺与利用论坛”上详明先容了若何设备企业内部的ATT&CK,旨正在助助企业一步步去利用ATT&CK,渐渐加强安好防御才略。

  ATT&CK框架已于本年上半年更新到了V9版本,该版本的一个紧张更新实质是添加了容器攻防矩阵,包罗容器级和编排级的实质。估计2021年10月,ATT&CK框架更新到V10版本,做出的实质更新包罗:

  闭于ATT&CK V10版本更新情形,青藤将会实时实行追踪,感兴会的读者可能随时闭怀咱们。

  ATT&CK由一系列手艺规模构成。如图1所示,迄今为止,MITRE ATT&CK已确定了三个手艺规模——Enterprise(用于守旧企业收集和云手艺)、Mobile(用于转移通讯兴办)、ICS(用于工业限制体例)。正在各手艺规模,ATT&CK界说了众个平台,即攻击者正在各手艺规模实行操作的体例。一个平台可能是一个操作体例或一个利用圭外(比如,Microsoft Windows)。ATT&CK中的手艺和子手艺可能利用正在差别平台上。

  结构机构念要打算本人的ATT&CK,开始要沿用MITRE ATT&CK原有的框架和手腕论,然后遵循自己检测到的攻击手艺实行填充,通过正在本质攻防练习中积聚的经历并勾结行业吓唬谍报新闻络续完满和厚实本人的ATT&CK。

  正在ATT&CK框架中,首要包罗五大对象:攻击结构、软件、手艺/子手艺、兵书、缓解手段,每个对象都正在肯定水平上与其他对象相闭,各对象之间的相闭可能通过图2直观地看到。

  比如,某企业受到流量加密、文献搅浑的哥斯拉和冰蝎的攻击,以及内存马地道ReGeorg的攻击,分袂用ATT&CK对象相闭来流露,如图3和图4所示。企业对两种攻击手艺实行总结归结之后,通过克日MITRE Engenuity公布的新器材——ATT&CK workbench,将本人的实战经历增加到ATT&CK学问库中。

  ATT&CK 学问库的一个首要用处是通晓攻击者,是一种展现与攻击结构兵书、手艺和环节(TTP) 闭连的吓唬谍报的手腕。吓唬谍报的源泉包罗:

  是以,将吓唬谍报映照到ATT&CK框架中是企业愚弄该框架的一项首要就业。通过ATT&CK以构造化、便于操纵的体例列出这些 TTP 并供给详明新闻动作撑持,这看待企业安好运营来说是一个万分有效的器材。

  企业通过简陋地模仿攻击TTP或者模仿APT结构,可能升高ATT&CK笼罩率。攻击模仿是红队加入的一种模仿类型,它通过吓唬谍报来模仿一个已知的攻击。对小公司而言,即使没有成熟无缺的红队,也可能从攻击模仿中获益。看待低级安好条件的结构架构可能参考图5中的五个环节实行试验,企业通过轮回往返的实行这个环节,络续伸张ATT&CK的笼罩率。

  看待成熟结构,则可能通过图6所示的流程模仿丰富的APT结构,模仿攻击者的攻击体例,以此来评估某一手艺规模的安好性,验证结构机构是否有检测或缓解攻击者行径的才略。如此可能更好地实行防御绕过测试,以升高ATT&CK的笼罩率。

  将ATT&CK 和少少准则、圭表映照起来,为结构供给了极其紧张的参考圭表,以评估企业安好修筑秤谌。如图7所示,通过ATT&CK 和NIST 800-53映照图可知,基于ATT&CK的运营,最终可能餍足大片面NIST 800-53安好限制条件。

  固然有很众收集安好培训形式,但收集安好职员往往无法跟上少少新的吓唬。为了助助安好职员缩小这一差异,企业可能将ATT&CK框架动作培训根蒂,升高员工的安万能力。全体的竣工体例包罗:

  吓唬打猎是一个连接的历程,也是一个闭环的主动防御历程。根基都是基于假设动作打猎的出发点,浮现IT资产中的少少极度情形,就少少不妨事务提前做少少安好假设。然后借助器材和闭连手艺伸开考察,考察竣事后不妨浮现新的攻击体例和本领(TTP),然后添加到认识平台或者以谍报的步地输入到SIEM中,不妨触发后续的事务呼应,从而完结一次闭环。

  如图8所示的CAR模子是吓唬打猎的紧张模子,APT 结构的举止环节为从左到右,安好团队的举止环节是从右到左,正在“认识”列实行交汇。APT 结构操纵攻击手艺实行渗出,安好团队愚弄安一切据实行数据分类及认识,正在“认识”闭节实行碰撞。于是吓唬打猎的重心境念是基于细粒度的数据采撷,并通过深度认识浮现极度情形。

  EQL是一种吓唬事务盘问发言,可能对安好事务实行序列化、归集及认识。EQL 发言本色上属于吓唬打猎的规模,并且EQL 发言正在开源规模的影响力也很大,更加是竣工了与ATT&CK 的杰出勾结,除了供给发言才略外,还供给了许众与TTPs 相勾结的认识剧本。

  于是企业可能通过EQL对ATT&CK 实行连接运营,对数据质料和认识才略实行评估,寻找安好差异,然后正在安好危险束缚筹划中络续增加差异,竣工安好运营才略的连接量化晋升。

  企业可能愚弄ATT&CK通盘评估自己安好限制的合理性,并比照如下安好优化金字塔实质实行调理,安好优化金字塔包罗量化、合理化、优化三项实质。

  正在这一阶段,首要是确定企业具有哪些限制手段、正在哪些位子实行了安好限制手段、设备企业的安好限制清单,然后遵循企业的安好需求及合规条件权衡自己的安好。

  金字塔的腰部是安好限制合理化。正在这一阶段,首要是评估安好限制有用性;识别和办理安好限制旅馆中存正在哪些缺口,是否有重叠情形;对安好供应商实行危险评估;然后优先、整合和湮灭不需要的安好限制手段。

  金字塔的顶部是安好优化。正在这一阶段,首要是从吓唬谍报的角度连接权衡、监控和修削现有安好投资,最大范围地升高团体安好企图(职员、流程和手艺)的有用性。

  企业遵循自己的ATT&CK检测才略修筑情形,合理实行安好投资,以期正在资金有限的情形下,竣工最大的安好投资回报。影响安好投资回报(ROSI)的成分包罗:

  为添加安好投资回报,企业必要对那些每每发作且酿成危机较大的兵书和手艺实行投资。对此,依照ATT&CK中的各项兵书发作的不妨性及危机水平,如图10所示用差别颜色实行标注,从下到上流露发作的不妨性络续加强,从左到右流露发作的危机络续增大。比如,左下角的深绿色流露分外不不妨发作,且发作的危机简直可能马虎不计。右上角的血色流露分外不妨发作且发作的危机较大。

  企业可能比照上图的颜色标注,勾结ATT&CK框架和收集杀伤链(Kill Chain),变成自己的ARO矩阵,如图11所示实质,个中C4-1至C4-9流露,正在某个企业中,攻击者常用的9条攻击途途,数字编号对应着差别的兵书。遵循攻击途途和发作的不妨性及酿成的危机水平,企业可能更好地评估自己安好投资的合理性。

  企业正在ATT&CK连接运营的历程中,必要实行安好验证,并实行安好有用性评估。企业可能从如下几个方面实行评估:

  正在企业利用ATT&CK的历程中,可能通过生意推动竣工ATT&CK的连接运营。差别结构的差别职员可能操纵ATT&CK看待新上线生意和新收购公司实行安好评估。

  ·看待安好供应商:可能通过操纵ATT&CK的用例实行产物测试,从而更简单的跟客户实行PoC演示。

  ·看待企业内部安好职员:可能参照ATT&CK框架实行复活意上线的安好性评估。

  ·看待企业内部审计职员:可能愚弄ATT&CK评估结果,指点复活意收购的安好性题目。

  ATT&CK框架是一个伟大的学问库,简直一起本质场景中的攻击举止都能正在这个框架下取得圭表化的记实或注解。跟着企业对ATT&CK利用的深切,会愈发认识到ATT&CK正在安好运营中的价格。通过以上对ATT&CK打算理念、对象相闭以及运营场景的先容,指望助助更众企业落地ATT&CK,升高企业的安好防御才略。

  (免责声明:此文实质为本网站刊发或转载企业宣称资讯,仅代外作家小我看法,与本网无闭。仅供读者参考,并请自行核实闭连实质。)

  记者暗访浮现,少少明星艺人正在刊出影视公司或小我就业室的同时,会换个地方和名称从新注册设立新的相同市集主体。

  这家具有长远汗青的新企业曾濒临倒闭,而今已进展成环球最大的归纳性修材家当集团,具有13家上市公司,7项生意周围居寰宇第一。