MITRE ATT&CK框架的五大成熟用例

ATT&CK框架發布于2015年，從最初的一個內部人員分享的Excel電子表格工具，到如今已經發展成為威脅活動、技術和模型的全球知識庫，成為在企業、政府和安全廠商中廣為流行的安全工具。

ATT＆CK框架是野外攻擊活動全面及時的社區知識集合，有助于企業劃分安全威脅的優先級，并用于評估安全方法、產品和服務。

近年來，隨著ATT&CK框架的不斷完善（編者：例如從8.0版本開始覆蓋完整的殺傷鏈，以及將工控網絡和云計算納入框架矩陣），其應用場景也更加廣泛，但企業在部署過程中也面臨諸多問題，例如缺乏安全工具支持，難以實現互操作性和框架成熟度不夠，難以實現自動化等問題；本文將介紹ATT&CK框架當下較為成熟的五大用例：

一、全面的威脅情報框架

近年來，整個網絡安全行業都在關注外部因素，以預測、預防和適應威脅。這種轉變增加了對網絡威脅情報的需求，但實施過程往往頗具挑戰性。僅了解攻擊者使用的惡意軟件或購買對攻擊者特定社會工程子技術配置文件的訪問權限，并不能降低業務風險或為安全運營團隊提供獨特的價值。

MITRE ATT&CK的價值在于通過創建一個清晰的結構來了解攻擊者、運營商和安全團隊如何更好地檢測威脅或實施保護以防止或緩解攻擊行為，從而跨行業或地理位置做好安全準備。通過對攻擊者的策略和技術進行建模，團隊還可以更好地評估某些TTP的風險，并相應地確定操作的優先級。

所有團隊都應該從最近針對其行業和地理位置的威脅參與者開始。對于早期團隊來說，利用MITRE專注于檢測會更好。相比之下，后期和更成熟的團隊可以利用這種情報在優先針對其行業和地理位置的攻擊者實施防御和緩解程序。

網絡威脅情報流程已經變得非常普遍，多年來，業界已經設計了幾個框架來支持SOC和IRT運營。最關鍵和最全面的威脅情報框架是MITRE ATT&CK。該框架向用戶提供了網絡犯罪分子常用的策略，技術和行為的綱要。這些信息收集簡單直觀的矩陣中。

MITRE根據技術支持的類型或攻擊時間創建了三種不同的矩陣。企業矩陣封裝了適用于Windows，Linux和macOS的所有技術和策略。移動矩陣包含適用于移動設備的策略和技術。

MITRE ATT&CK對于網絡威脅情報非常有用，因為它可以用來收集和標準化對手行為。ATT&CK提供了大約七十個參與者或團體的詳細信息，包括他們經常使用的戰術和工具。

藍隊可用的ATT&CK威脅情報工具主要有以下三種：

網絡威脅情報技術委員會結構化威脅信息表達（STIX?）是一種語言和序列化格式，用于交換網絡威脅情報（oasis-open.github.io）。
GitHub-mitre/cti：在STIX 2.0中表達的網絡威脅情報存儲庫此存儲庫包含STIX 2.0中表示的MITRE ATT&CK?和CAPEC?數據集。請參閱用法或用法-CAPEC了解。
GitHub-mitre-attack/attack-stix-data：MITRE ATT&CK的STIX數據MITRE ATT&CK是一個全球可訪問的基于現實世界的對手戰術和技術知識庫。

二、自動化測試和審核

MITRE安全自動化框架（SAF）結合了應用程序、技術、庫和工具MITRE和安全社區開發，旨在簡化系統和DevOps管道的安全自動化。

SAF是一個框架，而不是一個工具。因此，要確定您的環境中需要哪些工具，請查看下圖。SAF有助于將所有這些拼湊在一起。

內容管理系統安全自動化框架

來源：saf.cms.gov

三、安全風險管理與策略

隨著攻擊者的不斷創新和威脅形勢的增長，企業不能依賴傳統的被動安全解決方案。相反，他們必須考慮一種新的方法來管理安全和IT運營。

信息過載（TMI）往往會帶來麻煩，許多組織都在努力限制他們攝取和存儲的安全數據，因為它太昂貴了。另一方面，如果企業沒有來自資產、應用程序和用戶的所有相關數據，就會產生盲點并增加漏洞。

但是，企業也能將信息過載變成一件好事，在不超出預算的情況下利用所有安全數據進行威脅預測和早期檢測。MITRE建議SOC團隊首先在五個關鍵領域發展更好的態勢感知：

業務/使命（優先考慮什么）
法律和監管環境（您必須做什么）
技術和數據環境（您正在監視的內容）
用戶、用戶行為和服務交互（以及您正在監視的內容）
威脅（對手試圖做什么）

企業首先需要知道網絡安全防護的對象和原因。此外，還需要更深入地評估風險——了解哪里容易受到攻擊，MITRE ATT&CK?框架正是評估風險的絕佳資源。ATT&CK?是網絡對手行為的全球知識庫，它被匯編成整個威脅生命周期中的戰術和技術分類法，它以攻擊者的視角來幫助企業了解壞人如何構思，準備和執行攻擊。

SOC可以使用ATT&CK分類法來了解已知真實世界攻擊的“足跡”，并確定其組織可能易受攻擊的位置。接下來，他們可以優先以經濟高效的方式最小化重大風險，滿足其業務的風險承受能力。

MITRE Engage對手互動框架

MITRE Engage是一個用于規劃和討論對手參與行動的框架（下圖），使防御者能夠與對手互動（通過欺騙式防御技術）達成網絡安全目標。傳統的網絡安全攻防中，攻擊者只需要正確一次，而Engage框架的目標是：攻擊者只要失誤一次就會被挫敗。

MITRE Engage框架中有個階段：“準備”、“暴露”、“影響”、“誘導”和“理解”。

正如孫子所言：“知己知彼，百戰不殆。”Engage的啟發式操作收集的情報有助于使決策者和防御者通過與對手互動了解其網絡安全防御體系的拒止和欺騙策略的有效性。

四、監管和合規映射

隨著MITRE通過將其框架分類為策略，技術甚至子技術來提高對攻擊方法的認識，合規團隊可以學習如何使用MITRE ATT&CK框架來主動評估和優化其網絡安全狀況。使用此矩陣，他們可以被動地識別攻擊者的攻擊路徑。幫助團隊提出關鍵問題，例如：

我們是否具備所需的能力？
我們可以在威脅搜尋和檢測中使用MITRE ATT&CK嗎？
是否有需要改進的領域來防范威脅？
我們可以使用MITRE ATT&CK框架來衡量和改進網絡防御嗎？

企業可以通過將其現有的表述模糊的流程和控制映射到MITRE明確定義的戰術保障措施和對策來獲得這些重要的見解。此活動將確保GRC團隊獲得實用指導，以評估其安全措施免受攻擊的影響，并證明遵守合規性要求。

五、威脅狩獵

威脅檢測方法通常包括掃描IOC和網絡安全監控（NSM），以及異常檢測和基于TTP的檢測。但是，鑒于當前大多數數據收集工作都集中在網絡傳感器和外圍代理上，而不是基于主機的事件數據上，這些方法都有其優點和局限性。

入侵指標

在2016年之前，威脅搜尋流程主要圍繞搜索IOC;其中包括惡意軟件的靜態特征，例如哈希、文件名、庫和字符串;或收集和分析磁盤和內存取證項目。為檢測與惡意活動關聯的IP地址、域、文件哈希或文件名而不觸發良性實例而編寫的特征碼對于多態性、變質性和其他實現修改通常非常脆弱，這對于對手來說相對容易。大衛·比安科的《痛苦金字塔》（Pyramid of Pain）揭示了這一點。

定義這些脆弱的特征和指標通常需要通過逆向工程和靜態分析獲得大量資源，并且通常依賴于通過其他方式進行檢測（通常在其他違規行為中被對手成功使用并獨立檢測、報告和傳播之后）。因此，指標掃描無法識別與已知指標不匹配的新型或不斷變化的威脅，并且僅在事后提供檢測功能。

基于異常的檢測

基于異常的檢測采用統計分析、機器學習和其他形式的大數據分析來檢測非典型事件。這種方法傳統上存在高誤報率的問題，可能還需要在大規模數據收集和處理方面進行大量投資，且并不總是能提供足夠的上下文信息來說明為什么某些內容被標記為可疑，這可能會使分析優化具有挑戰性。

軟件、系統管理員、軟件開發人員和日常用戶在企業網絡中的良性活動通常隨時間、用戶和網絡空間的變化如此之大，以至于定義“正常”行為通常是徒勞的。異常和統計分析需要處理的數據量可能難以收集和保留。必須從環境中足夠數量的數據源和位置收集足夠的數據，以便進行趨勢和統計分析。然而，足夠的內容可能會有很大差異，并且通常事先無法知道，這使得這種類型的檢測難以有效利用和測量。

基于TTP的檢測

一種更可靠的方法是映射和搜索對手為實現目標而必須使用的技術。因為（由于目標技術的限制）這些技術不會經常更改，在對手中很常見。

MITRE ATT&CK框架是映射這些技術的有效方法。防御者可以使用ATT&CK將報告的對手TTP在公共和開放的網絡威脅情報中分類，并在網絡攻擊生命周期的各個階段按策略類別對其進行調整。