[[441426]]

隨著遠(yuǎn)程工作的常態(tài)化，網(wǎng)絡(luò)黑客對(duì)云的攻擊可能會(huì)加速，這使得像 MITRE ATT&CK (對(duì)手戰(zhàn)術(shù)和技術(shù)知識(shí)庫(kù))這樣的威脅發(fā)現(xiàn)框架比以往任何時(shí)候都更加重要，幾乎所有使用云的企業(yè)都會(huì)使用這類對(duì)抗技術(shù)。因?yàn)椋?ATT&CK 框架為網(wǎng)絡(luò)安全工作者提供了一種通用語(yǔ)言和策略，可幫助企業(yè)確定當(dāng)前安全策略的差距，并可以成為實(shí)施實(shí)時(shí)威脅檢測(cè)等方法的重要工具，保護(hù)企業(yè)網(wǎng)絡(luò)免受對(duì)抗性攻擊。

但是，安全公司 McAfee 與加州大學(xué)伯克利分校長(zhǎng)期網(wǎng)絡(luò)安全中心的聯(lián)合調(diào)研項(xiàng)目發(fā)現(xiàn)，很多網(wǎng)絡(luò)安全團(tuán)隊(duì)在框架應(yīng)用方面面臨諸多挑戰(zhàn)。

這些挑戰(zhàn)：一是，大多數(shù)采用 ATT&CK 框架的安全團(tuán)隊(duì)都沒(méi)有實(shí)現(xiàn)自動(dòng)化。雖然91% 的企業(yè)使用ATT&CK框架來(lái)標(biāo)記網(wǎng)絡(luò)安全事件，但只有不到一半的企業(yè)可以自動(dòng)更改部分安全策略。二是， ATT&CK 框架和安全產(chǎn)品之間的互操作性存在困難。三是，難以將網(wǎng)絡(luò)安全事件映射到安全策略更改，以及無(wú)法關(guān)聯(lián)來(lái)自云、網(wǎng)絡(luò)和端點(diǎn)的事件。四是，企業(yè)使用的安全產(chǎn)品可能無(wú)法檢測(cè)到 ATT&CK 矩陣中存在的所有技術(shù)。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 中心在今年6月發(fā)布了一份報(bào)告，為使用 MITRE ATT&CK 框架的企業(yè)和網(wǎng)絡(luò)安全團(tuán)隊(duì)提供了一些建議和潛在的較佳實(shí)踐，企業(yè)安全團(tuán)隊(duì)可以實(shí)施這些建議來(lái)克服這些挑戰(zhàn)。例如，該報(bào)告概述了幾種不同的方法，可以幫助在將 MITRE ATT&CK 映射到原始數(shù)據(jù)時(shí)遇到困難的企業(yè)。

較佳實(shí)踐包括從識(shí)別攻擊技術(shù)的數(shù)據(jù)源開始，再到在對(duì)手攻擊之前實(shí)施特定工具，以及遵循 Sigma 或 MITRE 的 CyberAnalytics Repository 等檢測(cè)規(guī)則。該報(bào)告還包含一份非常有價(jià)值的 MITRE 相關(guān)資源列表，這些資源包括關(guān)于 ATT&CK 背后設(shè)計(jì)理念的報(bào)告、培訓(xùn)課程列表和展示安全團(tuán)隊(duì)如何使用該協(xié)議來(lái)描述和響應(yīng)攻擊的論文等，企業(yè)可以使用這些資源來(lái)提高網(wǎng)絡(luò)安全團(tuán)隊(duì)的知識(shí)或改進(jìn)其安全系統(tǒng)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文