天融信：ATT&CK框架促進安全運營能力升級

7月19日，2022新安盟年會舉辦期間，天融信科技集團助理總裁張賀勛應邀出席 “基于ATT&CK的安全評測“圓桌論壇，并與嘉賓共同探討ATT&CK架構對網安企業的應用價值與潛力。

ATT&CK框架自2013年被MITRE推出以來，無論是在網絡安全企業的實踐應用還是在安全研究中都發揮著巨大潛能。作為國內首家網絡安全企業，天融信憑借多年來的市場洞察和前沿科技探索能力，始終積極思考與實踐該框架。

在談及ATT&CK框架給網安從業人員的啟發時，張賀勛表示，該框架為攻擊與防守技戰術帶來很多參考。首先，框架中的入侵技術、戰術（技戰法）通用語言以及知識圖譜，使安全廠商從多角度考慮自身產品的功能、性能以及安全能力，以保證設計出的產品能夠滿足攻防實戰對抗的需求。其次，ATT&CK框架的核心理念與要素是TTP（即戰術、技術與過程），入侵者可以隨意切換戰術來實現最終目標。若產品可以不間斷采用ATT&CK的攻擊子技術進行差距分析、升級，在真實對抗環境中進行檢測、攔截、告警，并實現各角度的舉證溯源，那產品就能發揮最大作用；若服務能從ATT&CK的攻擊子技術中提升紅隊攻擊知識框架，進行模擬演練，就能夠提升攻擊隊員的綜合能力。

MITRE官方推薦的ATT&CK適用場景包括對手模擬、紅隊建設、行為分析開發、威脅情報、防御差距評估、安全運營成熟度評估。張賀勛認為，“以攻促防”是以上諸多場景的行為目標，多個產品以及多個人之間聯動才能達到實戰化、體系化、常態化，以及動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的綜合效果。

與傳統儀表測試相比，ATT&CK框架的應用給網絡安全企業產品內測帶來了很多提升。對此，張賀勛表示：“自動化測試是未來趨勢，無論是產品測試還是人工滲透測試，都需要有工具輔助，ATT&CK框架的出現使我們多了一個參照物，可以不斷審視測試工具的完整度、覆蓋面。但整體環節中，人仍是最關鍵因素，一些邏輯漏洞等新型漏洞還是需要人結合工具去發現，進而通過不斷迭代提升產品能力。”

ATT&CK模型匯聚了全球安全社區貢獻的以及基于歷史實戰的威脅入侵技術、戰術（技戰法），涉及內容面較廣，但技術水平不夠深厚。5G、AI、工控、移動安全、數據安全等新技術的產生與應用，也給網絡安全帶來了新的挑戰，安全運營防御、人才培養及知識庫等也會促使ATT&CK框架不斷整合、調整、升級。我國作為信息大國，信息安全要牢牢抓在自己手中，希望“產、學、研”聯合起來建設我國自己的ATT&CK框架，提升國家網絡空間安全綜合防御實力。