大多数企业SIEM检测不出MITRE ATT&CK攻击
尽管企业已经在尽力强化自身安全信息与事件管理(SIEM)态势,但大多数平台实现依然在覆盖面上存在巨大空白,比如攻击者用来部署勒索软件、盗窃敏感数据和执行其他网络攻击的常用技术就被SIEM漏掉了超过四分之三。
近日,以色列CardinalOps发布了《2023年SIEM检测风险现状报告》,CardinalOps的研究人员分析了Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等公司生产SIEM平台的数据,发现这些SIEM平台仅能检测出所有MITRE ATT&CK技术中的24%。也就是说,能绕过SIEM检测的攻击者所用技术大约有150种,仅约50种攻击技术会被检出。这还是让SIEM系统使用足够多数据来覆盖大约94%的各种攻击技术的情况下。
不仅如此,研究人员在报告中写道,企业很大程度上并不了解自身安全态势,“自认为拥有的安全与实际上的安全之间的差距”。这就造成了“对自身检测态势的虚假印象”。
MITRE ATT&CK是基于现实世界观察的对手策略与全球技术知识库,旨在帮助企业检测和缓解网络攻击。CardinalOps报告所呈现的数据是对不同垂直行业SIEM所用4000多条检测规则、数百种日志源类型近100万日志源进行分析的结果,所涉垂直行业包括银行与金融服务行业、保险业、制造业、能源行业和媒体与电信行业。
检测不出归咎于缺乏SIEM微调
研究人员指出,当前SIEM效率低下的主要原因是,尽管企业有资源可用于通过知识库、自动化和其他流程来检测自身环境所面临的潜在攻击,但他们仍然很大程度上依靠人工和其他“容易出错”的流程来进行检测。这使得减少积压工作并快速采取行动填补检测空白变得困难。
企业网络安全服务提供商Vulcan Cyber高级技术工程师Mike Parkin表示,事实上,SIEM自身并非“魔力无边”,要靠企业正确高效地部署才能发挥作用。
“跟大多数工具没什么两样,SIEM需要微调才能在所部署环境中发挥最佳效果。”Mike Parkin说道,“报告中的分析结果表明,很多企业只做了基础工作,但并未做到所需的微调,不能使自身检测、响应和风险管理策略更上一层楼。”
报告称,除了需要扩展检测工作流以便更快地开发更多检测,企业SIEM部署中阻碍检测的一个关键问题是:平均而言,12%的规则都是无效的,也就是说,即使出现问题也永远不会发出警报。
“这种情况通常是由于IT基础设施不断变化、供应商日志格式更改,以及规则编写中的逻辑或意外错误而造成的。”研究人员在报告中指出,“对手可以利用无效检测导致的漏洞来成功突破企业防线。”
MITRE ATT&CK 缘何重要
研究人员指出,创建于2013年的MITRE ATT&CK如今已经是了解对手策略和行为的标准框架。随着威胁情报的发展,该框架提供的知识也不断丰富,目前可以查询APT28、Lazarus Group、FIN7和Lapsus$等著名威胁团伙所用的500多种技术和子技术。
CardinalOps研究人员写道,“MITRE ATT&CK引入的最大创新是,该框架扩展了传统入侵杀伤链模型,超越了静态入侵指标(如攻击者可以频繁更改的IP地址),能够归类所有已知对手策略和行为(TTP)”。
研究人员引用环境、社会和治理(ESG)研究成果指出,企业明显看到了使用MITRE ATT&CK辅助自身安全工作的价值,89%的企业目前都在用此知识库来减小安全运营用例的风险,比如确定检测工作的优先级、将威胁情报应用于警报分类,以及更好地了解对手行为(TTP)。
然而,研究人员发现,使用MITRE ATT&CK框架支持SIEM工作和用好该框架是截然不同的两码事。
缩小SIEM差距
研究人员和安全专家称,企业可以采取一些措施来缩小SIEM网络攻击检测能力与他们目前的使用方式之间的差距。
其中一个重要的策略就是扩展SIEM检测工作流程,通过自动化更快地开发更多检测。在这方面,公司已经广泛使用自动化在安全运营中心(SOC)的多个领域取得了极佳效果,比如异常检测和事件响应,但在检测工作方面效果没那么好。
研究人员写道:“检测工作仍然是手动的,通常依赖拥有专业技术的‘大牛’”。
一名安全专家表示,事实上,人力和财务资源有限的情况下,专注自动化对于达成安全目标而言至关重要。
Viakoo Labs副总裁John Gallagher说道:“这包括将自动化检测扩展到纳入物联网(IoT)和运营技术(OT)攻击渠道,以及制定自动化威胁修复计划。”
Gallagher称,企业仍要继续面对的一个重要挑战是,当前的攻击面包含大量易受攻击的联网设备和典型企业网络,早已膨胀得超出了IT部门目前的支持或管理能力。
“想要防御和维护这些资产的完整性,就需要IT部门与公司其他部门紧密合作,确保这些资产可见、可用、安全。”
Vulcan Cyber的Parkin表示,实际上,除非企业能看清自身威胁面、管理风险,并按重要程度确定事件优先级,否则问题仍将出现。“我们有工具可以做到这些,但要有效部署和配置这些工具可不容易。”
