思科 ATT＆CK 框架

對于防御者來說，MITRE的ATT&CK框架是一個游戲規則的改變者，因為它規劃了企業將面臨的常見威脅。ATT&CK將其與保護和檢測控制相結合，并允許企業內的每個人就攻擊者可能如何在基礎設施中移動使用一種共同語言。正如思科的SOC和IR團隊會告訴您的那樣，ATT&CK能夠很好地支持藍色和紅色團隊共存，并通過共同的目標和關鍵績效指標(KPI)有效地協同工作，以衡量您的企業架構。然而，如果它達不到要求，并且威脅情報和假設不存在，會發生什么呢？

情報分析師通常會告訴您：將可能遇到的威脅歸結為利用菱形模型來介紹威脅的四個方面-對手，基礎設施，能力和受害者。實際上，這種情報通常偏重于前三項，而公開的TI只講述了組織故事的一部分。不要過于依賴DNS遙測和文件散列，因為您可能無法全面了解情況。最大的盲點是，，一旦攻擊者對企業的訪問受到保護，ATT&CK不一定會告訴您下一步會發生什么。具體地說，即使在更全面的意義上使用ATT&CK和更復雜的企業監控，您的安全團隊也可能沒有足夠的信息來了解組織的大部分價值可能駐留的業務系統。

在過去的12個月左右的時間里，將所有這些放在一起，作為一個停工期項目，我正在審查作為CX評估活動一部分而收集的匿名數據。目的是了解思科如何以及在何處可以學習課程，以及我的團隊是否可以使用該數據來塑造思科的理解。作為思科CX團隊的一部分，我可以使用一些非常復雜的報表工具。我們通常會提取各種類型的測試數據，對其進行規范化，然后使用其編寫可重復生成的報告。它已經具有協助進行根本原因分析和確定采油計劃的能力，但我認為我們可以做更多的事情。作為Def Con 28安全模式的一部分，Red Team的會議中的內容：

• 分析MITER ATT＆CK矩陣
• 利用CVSS，CWE等指標
• 應用STIX對現有數據進行編碼
• 應用新標簽以幫助進行威脅建模
• 思科如何在現實情況下利用此分析為我們的客戶提供幫助，以抵御他們面臨的威脅群體
• 使用FAIR使威脅模型與企業保持一致以定性風險
• 開發遙測并構建SOC和IR手冊以應對晦澀的平臺
• 識別工具方面的差距，它不像其他防火墻、IDS或AV產品那么簡單，而需要對業務有真正的了解

你也許可以向這些方面進一步研究：

• 假設的自動提取是可能的。
• 漏洞發現可以使用標準化詞典用元數據進行標記。
• 來自滲透測試的實際威脅模型和殺傷鏈的可視化表示有助于提供態勢感知。
• 通過更豐富的元數據交換，更好地與我們的同行分析和溝通威脅，將進一步改善這種情況

有關這次會議的具體內容可以在GitHub中查看。