尽管企业已经在尽力强化自身安全信息与事件管理（SIEM）态势，但大多数平台实现依然在覆盖面上存在巨大空白，比如攻击者用来部署勒索软件、盗窃敏感数据和执行其他网络攻击的常用技术就被SIEM漏掉了超过四分之三。

近日，以色列CardinalOps发布了《2023年SIEM检测风险现状报告》，CardinalOps的研究人员分析了Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等公司生产SIEM平台的数据，发现这些SIEM平台仅能检测出所有MITRE ATT&CK技术中的24%。也就是说，能绕过SIEM检测的攻击者所用技术大约有150种，仅约50种攻击技术会被检出。这还是让SIEM系统使用足够多数据来覆盖大约94%的各种攻击技术的情况下。

不仅如此，研究人员在报告中写道，企业很大程度上并不了解自身安全态势，“自认为拥有的安全与实际上的安全之间的差距”。这就造成了“对自身检测态势的虚假印象”。

MITRE ATT&CK是基于现实世界观察的对手策略与全球技术知识库，旨在帮助企业检测和缓解网络攻击。CardinalOps报告所呈现的数据是对不同垂直行业SIEM所用4000多条检测规则、数百种日志源类型近100万日志源进行分析的结果，所涉垂直行业包括银行与金融服务行业、保险业、制造业、能源行业和媒体与电信行业。

01 检测不出归咎于缺乏SIEM微调

研究人员指出，当前SIEM效率低下的主要原因是，尽管企业有资源可用于通过知识库、自动化和其他流程来检测自身环境所面临的潜在攻击，但他们仍然很大程度上依靠人工和其他“容易出错”的流程来进行检测。这使得减少积压工作并快速采取行动填补检测空白变得困难。

企业网络安全服务提供商Vulcan Cyber高级技术工程师Mike Parkin表示，事实上，SIEM自身并非“魔力无边”，要靠企业正确高效地部署才能发挥作用。

“跟大多数工具没什么两样，SIEM需要微调才能在所部署环境中发挥最佳效果。”Mike Parkin说道，“报告中的分析结果表明，很多企业只做了基础工作，但并未做到所需的微调，不能使自身检测、响应和风险管理策略更上一层楼。”

报告称，除了需要扩展检测工作流以便更快地开发更多检测，企业SIEM部署中阻碍检测的一个关键问题是：平均而言，12%的规则都是无效的，也就是说，即使出现问题也永远不会发出警报。

“这种情况通常是由于IT基础设施不断变化、供应商日志格式更改，以及规则编写中的逻辑或意外错误而造成的。”研究人员在报告中指出，“对手可以利用无效检测导致的漏洞来成功突破企业防线。”

02 MITRE ATT&CK 缘何重要

研究人员指出，创建于2013年的MITRE ATT&CK如今已经是了解对手策略和行为的标准框架。随着威胁情报的发展，该框架提供的知识也不断丰富，目前可以查询APT28、Lazarus Group、FIN7和Lapsus$等著名威胁团伙所用的500多种技术和子技术。

CardinalOps研究人员写道，“MITRE ATT&CK引入的最大创新是，该框架扩展了传统入侵杀伤链模型，超越了静态入侵指标（如攻击者可以频繁更改的IP地址），能够归类所有已知对手策略和行为（TTP）”。

研究人员引用环境、社会和治理（ESG）研究成果指出，企业明显看到了使用MITRE ATT&CK辅助自身安全工作的价值，89%的企业目前都在用此知识库来减小安全运营用例的风险，比如确定检测工作的优先级、将威胁情报应用于警报分类，以及更好地了解对手行为（TTP）。

然而，研究人员发现，使用MITRE ATT&CK框架支持SIEM工作和用好该框架是截然不同的两码事。

03 缩小SIEM差距

研究人员和安全专家称，企业可以采取一些措施来缩小SIEM网络攻击检测能力与他们目前的使用方式之间的差距。

其中一个重要的策略就是扩展SIEM检测工作流程，通过自动化更快地开发更多检测。在这方面，公司已经广泛使用自动化在安全运营中心（SOC）的多个领域取得了极佳效果，比如异常检测和事件响应，但在检测工作方面效果没那么好。

研究人员写道：“检测工作仍然是手动的，通常依赖拥有专业技术的‘大牛’”。

一名安全专家表示，事实上，人力和财务资源有限的情况下，专注自动化对于达成安全目标而言至关重要。

Viakoo Labs副总裁John Gallagher说道：“这包括将自动化检测扩展到纳入物联网（IoT）和运营技术（OT）攻击渠道，以及制定自动化威胁修复计划。”

Gallagher称，企业仍要继续面对的一个重要挑战是，当前的攻击面包含大量易受攻击的联网设备和典型企业网络，早已膨胀得超出了IT部门目前的支持或管理能力。

“想要防御和维护这些资产的完整性，就需要IT部门与公司其他部门紧密合作，确保这些资产可见、可用、安全。”

Vulcan Cyber的Parkin表示，实际上，除非企业能看清自身威胁面、管理风险，并按重要程度确定事件优先级，否则问题仍将出现。“我们有工具可以做到这些，但要有效部署和配置这些工具可不容易。”

CardinalOps《2023年SIEM检测风险现状报告》

https://cardinalops.com/whitepapers/2023-report-on-state-of-siem-detection-risk/

* 本文为nana编译，原文地址：https://www.darkreading.com/analytics/enterprise-siem-blind-mitre-attack-coverage

来源：本文来自数世咨询