→產品訊息

新聞中心

 

McAfee引領並擴展MITRE ATT和CK框架

作者: Ismael Valenzuela Nov 20, 2018

10月,我很榮幸參加為期兩天的MITRE ATT&CK ™會議,與會者和與會者表達了他們對ATT和CK框架的支持。該活動由邁克菲贊助,作為一個論壇,分享使用ATT和CK作為描述和揭開當今網路攻擊複雜性的一種方式的見解和最佳實踐。MITRE以其基於威脅的網路安全研究而聞名,包括高度採用的標準和工具,如STIX / TAXII和常見漏洞暴露(CVE)。

什麼是MITRE ATT和CK框架?為什麼它對安全社區如此重要?

ATT&CK是基於真實世界觀察的公開戰略和技術的公開可訪問知識庫。與供應商無關的ATT和CK框架首次使我們能夠標準化威脅情報共享流程,並描述攻擊者如何準備,發起和執行攻擊。有了這些知識,安全供應商和客戶都可以努力改進他們的檢測和預防方法。

是什麼讓ATT和CK如此強大,這是一個龐大的貢獻者社區。通過為全球所有從業者提供ATT和CK內容,MITER創建了一個不斷發展的社區,該社區正在基於該框架促進開源工具,產品和服務的創新。

最重要的是,ATT和CK提供了一種易於理解的通用語言,可以在一口大小的塊中使用。它使從業者能夠通過將安全風險與業務相關聯,向管理層和客戶解釋複雜的概念。

組織如何使用ATT和CK 框架?

代表廣泛組織的演講者 - 來自政府,私營部門和安全領域共享的方式,他們從ATT和CK受益:

  • 通過紅色團隊構建特定於行業的威脅配置文件並進行對手仿真:通過像現實生活中的對手一樣,紅色團隊使用特定於威脅的技術執行滲透測試,以檢測網路和系統漏洞並測試安全工具的效果。這使組織能夠回答對其安全運營團隊至關重要的問題:
    • 我的組織是否是目標,以及針對我們的群體是什麼類型的?
    • 這些對抗團體如何運作?
    • 我們以前見過對手了嗎?
    • 他們的動機是什麼?對我的組織有什麼潛在的影響?

通過使用ATT和CK,正在進行攻擊的紅隊可以輕鬆地與正在進行防守的藍隊進行溝通並分享他們的發現。

  • 單元或原子測試級別的紅色團隊自動化:最近,出現了幾種評估工具,可以針對ATT和CK確定的各種對抗技術,在粒度級別上自動檢測和預防測試。Gartner預計這些工具將在安全運營中獲得成功,並可能取代傳統的滲透測試。1
  • 戰術層面的情報操作:擁有成熟安全運營組織的大型公司正在使用ATT和CK作為框架來推動其正在進行的安全運營中心(SOC)活動。具體來說,他們通過以下方式使用ATT和CK:
    • 通過設計新內容以提供其安全信息和事件管理(SIEM)解決方案,入侵檢測系統(IDS)和入侵防禦系統(IPS)來提高其檢測能力
    • 為在網路上狩獵對手創建假設
    • 使用SOC過程的策略,技術和程序(TTP)跟踪對手組,例如網絡安全管理,取證等
    • 將ATT和CK與漏洞管理和配置管理相結合,推動整體風險管理計劃,例如優先考慮安全架構和控制差距

我們在推動ATT和CK前進方面的作用是什麼?
邁克菲與MITRE密切合作,擴展其ATT和CK技術,並調整我們的產品,以顯示基於此框架的覆蓋範圍和背景。會議的參與者和與會者一致認為,ATT和CK是可行的企業安全戰略的必要組成部分。

在我們的展位上,我們展示了我們如何將ATT和CK納入McAfee MVISION端點檢測和響應(MVISION EDR),計劃於2019年第一季度上市。參與者對如何基於並映射到ATT和CK框架的檢測印象深刻,允許更快,更一致的過程來確定威脅的階段,評估相關風險並確定響應的優先級。

憑藉我們在EDR,威脅情報,威脅搜尋和雲方面的擴展專業知識,我們發現了多個機會,可以進一步加強與MITER的合作。

我們還計劃通過積極參與此次會議的從業者論壇和活動,更加積極地參與MITRE ATT&CK社區。我們正在推出新的計劃,通過發布和分享我們關於新的對抗技術,事件響應方法和紅色團隊流程的研究和學習,使我們能夠為ATT和CK知識庫做出貢獻。

如果您無法參加,可以在YouTube上觀看ATT和CK會議的視頻

要了解有關MITRE ATT和CK的更多信息,請查看我們在此主題上發布的資源:

  • 資料來源:
  • https://securingtomorrow.mcafee.com/business/security-operations/mcafee-leads-the-charge-to-embrace-and-expand-the-mitre-attck-framework/