綠盟科技:安全運營中ATT&CK框架的實用性挑戰與應對
9月9日,由賽可達實驗室、國家計算機病毒應急處理中心、國家網絡與信息系統安全產品質量監督檢驗中心主辦,綠盟科技協辦的2021 ATT&CK技術與應用論壇在北京順利召開。
會上,綠盟科技天樞實驗室高級安全研究員張潤滋博士發表了題為《安全運營中ATT&CK框架的實用性挑戰與應對》的主題演講,向與會來賓分享了綠盟科技對安全運營和ATT&CK框架的研究和思考。
綠盟科技天樞實驗室高級安全研究員張潤滋博士
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一個攻擊行為知識庫和威脅建模模型,主要應用于評估攻防能力覆蓋、APT攻擊防護、威脅狩獵、威脅情報關聯及攻擊模擬等領域。自發布以來,引發工業界和研究界的熱捧,已逐漸發展為網絡威脅分析語境下的通用元語。ATT&CK以相對適當的知識抽象層次,充分覆蓋威脅領域的技戰術場景,給安全防御能力的匹配與對比提供了標桿和抓手,是其成功的關鍵。
張潤滋表示,在ATT&CK的驅動下,越來越多的數據源采集能力成為企業威脅防護的標配。不過,對于安全運營團隊來說,大規模、規范化的采集數據的接入只是起點,如何利用數據對抗愈發隱匿的高級威脅行為,持續降低企業和組織的風險才是關鍵所在。
從安全運營的實戰來看,MITRE ATT&CK從數據規范性、能力抽象、語義增強等多個方面給威脅建模與分析領域帶來新機遇。然而,ATT&CK也逃不過安全運營大規模數據分析挖掘的實用性命題。在實戰化攻防的背景下,基于ATT&CK框架進行威脅分析、攻擊溯源等任務,仍然面臨采集與分析系統瓶頸、高覆蓋率下的誤報疲勞、數據收集隱私風險、知識一詞多義與信息流依賴爆炸等多方面的技術瓶頸。
為應對以上挑戰,提升ATT&CK在安全運營中的實用性與實戰性,我們可以基于面向場景化的攻防對抗模擬,做好知識構建與富化,結合APT行為數據與威脅情報數據的融合分析,構建可用的、濃縮的ATT&CK數據資源池;通過分布式的處理分析架構緩解性能瓶頸與隱私風險;通過人機協同與可運營的分析手段,對數據中ATT&CK技戰術細節進行統計與因果建模,支撐精準、富含語義的威脅行為分析。此外,提升檢測分析能力的標準化水平,促進攻擊技戰術行為數據共享,結合技術開源,通過多種途徑來打造威脅知識庫與元語言技術生態,能夠有效應對威脅建模技術在安全運營實戰中的諸多挑戰,提升APT等高級威脅防御、檢測、溯源的技術水平。
