网络安全专业人员对MITRE ATT&CK框架的优点耳熟能详——免费,而且可访问全球的资源和服务,可为组织提供全面的当前网络安全威胁信息。但遗憾的是,未必所有人都真正了解MITRE ATT&CK在各个网络安全领域的巨大潜力和应用价值。毫不夸张地说,MITRE ATT&CK框架的出现,将高度复杂的网络安全攻防对抗和入侵检测从“玄学”变成了“显学”,具有划时代的意义。
不仅仅是网络安全行业,对于企业CISO来说,MITRE ATT&CK也已经是必修课,甚至可以说:“学好MITRE ATT&CK,走遍天下都不怕。”
根据迈克菲和加州大学伯克利分校长期网络安全中心的联合报告《MITRE ATT&CK作为云安全威胁调查的》大多数企业对自己的入侵检测能力都缺乏信心。
迈克菲云安全高级副总裁拉吉夫·古普塔(Rajiv Gupta)表示,全球远程办公的广泛采用只会加速对云中存储的数据和工作负载的攻击,因此必须建立威胁发现框架。
“当组织从有效性和运营角度审查其现有技术栈和策略的安全状态时,强烈建议考虑与MITER ATT&CK等一致框架的互操作性,MITER ATT&CK仍然是所有行业中使用最广泛的安全框架,有助于帮助企业快速找到安全可见性,工具和流程方面的差距。”古普塔说。
调查结果也证实了上述观点,该调查证实了由于采用云服务而导致的安全态势的快速变化,尤其是对云安全责任的划分不断变化,这使许多安全专家变得复杂和不堪重负,从而产生了对标准化调查框架的需求和渴望。
事实上,MITRE ATT&CK已经在企业中得到了广泛采用:
但是,尽管超过80%的受访者表示他们每天、每月或每年都遭遇过MITER ATT&CK框架中的对抗策略和技术,但只有49%的受访者表示,他们对自己实施的安全系统完全能够检测到它们感到高度自信。
迈克菲(McAfee)和加州大学伯克利分校(UC Berkeley)表示,这种怀疑源自与MITRE ATT&CK框架应用相关的挑战:
迈克菲的云安全数据隐私专家Nigel Hawthorn认为,CISO们无法将整个IT系统的安全事件进行关联是目前企业网络安全领域最为严重的问题之一。
“由于攻击者可以通过一个漏洞获得访问权限,然后横向搜索弱防御和敏感数据,因此,能够查看所有要点和威胁的方法对于需要严格遵守时间和安全要求的安全运营中心(SOC)团队来说具有巨大的价值资源。”他说。
“在云中保护数据是一项共同的责任,不仅要由一方承担。从云服务提供商到最终用户,‘责任堆栈’的每个元素都有各自的作用,但它们都相互作用。”
“如果我们要直面当今复杂的安全挑战,采用协作方法并使用MITRE ATT&CK框架来标准化跨云服务和本地基础架构的调查至关重要。如果正确实施,云将是最安全的业务开展场所,并且是业务增长,创新和弹性的不可思议的驱动力。”
迈克菲(McAfee)给出的建议是,采取多步骤方法,以在云中维持强健的安全状态。结合使用MITER ATT&CK Cloud Matrix,CISO应部署全面的威胁调查,以加深对正在发生的安全事件的了解,这同时还可以帮助他们系统地关联和解决在不同地方发生的事件。此外,CISO还应考虑采用自动化以减少SOC分析人员研究多个环境的工作量。
请扫描或长按识别上方二维码获取中文版的《MITRE ATT&CK框架使用指南》(附送大幅精美印刷的ATT&CK技术与数据源映射图)。