MITRE ATT&CK框架的五大成熟用例 - 网安 - 专业的网络安全产业、社区、知识平台

ATT&CK框架发布于2015年，从最初的一个内部人员分享的Excel电子表格工具，到如今已经发展成为威胁活动、技术和模型的全球知识库，成为在企业、政府和安全厂商中广为流行的安全工具。

ATT＆CK框架是野外攻击活动全面及时的社区知识集合，有助于企业划分安全威胁的优先级，并用于评估安全方法、产品和服务。

近年来，随着ATT&CK框架的不断完善（编者：例如从8.0版本开始覆盖完整的杀伤链，以及将工控网络和云计算纳入框架矩阵），其应用场景也更加广泛，但企业在部署过程中也面临诸多问题，例如缺乏安全工具支持，难以实现互操作性和框架成熟度不够，难以实现自动化等问题；本文将介绍ATT&CK框架当下较为成熟的五大用例：

一、全面的威胁情报框架

近年来，整个网络安全行业都在关注外部因素，以预测、预防和适应威胁。这种转变增加了对网络威胁情报的需求，但实施过程往往颇具挑战性。仅了解攻击者使用的恶意软件或购买对攻击者特定社会工程子技术配置文件的访问权限，并不能降低业务风险或为安全运营团队提供独特的价值。

MITRE ATT&CK的价值在于通过创建一个清晰的结构来了解攻击者、运营商和安全团队如何更好地检测威胁或实施保护以防止或缓解攻击行为，从而跨行业或地理位置做好安全准备。通过对攻击者的策略和技术进行建模，团队还可以更好地评估某些TTP的风险，并相应地确定操作的优先级。

所有团队都应该从最近针对其行业和地理位置的威胁参与者开始。对于早期团队来说，利用MITRE专注于检测会更好。相比之下，后期和更成熟的团队可以利用这种情报在优先针对其行业和地理位置的攻击者实施防御和缓解程序。

网络威胁情报流程已经变得非常普遍，多年来，业界已经设计了几个框架来支持SOC和IRT运营。最关键和最全面的威胁情报框架是MITRE ATT&CK。该框架向用户提供了网络犯罪分子常用的策略，技术和行为的纲要。这些信息收集简单直观的矩阵中。

MITRE根据技术支持的类型或攻击时间创建了三种不同的矩阵。企业矩阵封装了适用于Windows，Linux和macOS的所有技术和策略。移动矩阵包含适用于移动设备的策略和技术。

MITRE ATT&CK对于网络威胁情报非常有用，因为它可以用来收集和标准化对手行为。ATT&CK提供了大约七十个参与者或团体的详细信息，包括他们经常使用的战术和工具。

蓝队可用的ATT&CK威胁情报工具主要有以下三种：

网络威胁情报技术委员会结构化威胁信息表达（STIX™）是一种语言和序列化格式，用于交换网络威胁情报（oasis-open.github.io）。
GitHub-mitre/cti：在STIX 2.0中表达的网络威胁情报存储库此存储库包含STIX 2.0中表示的MITRE ATT&CK®和CAPEC™数据集。请参阅用法或用法-CAPEC了解。
GitHub-mitre-attack/attack-stix-data：MITRE ATT&CK的STIX数据MITRE ATT&CK是一个全球可访问的基于现实世界的对手战术和技术知识库。

二、自动化测试和审核

MITRE安全自动化框架（SAF）结合了应用程序、技术、库和工具MITRE和安全社区开发，旨在简化系统和DevOps管道的安全自动化。

SAF是一个框架，而不是一个工具。因此，要确定您的环境中需要哪些工具，请查看下图。SAF有助于将所有这些拼凑在一起。

内容管理系统安全自动化框架

来源：saf.cms.gov

三、安全风险管理与策略

随着攻击者的不断创新和威胁形势的增长，企业不能依赖传统的被动安全解决方案。相反，他们必须考虑一种新的方法来管理安全和IT运营。

信息过载（TMI）往往会带来麻烦，许多组织都在努力限制他们摄取和存储的安全数据，因为它太昂贵了。另一方面，如果企业没有来自资产、应用程序和用户的所有相关数据，就会产生盲点并增加漏洞。

但是，企业也能将信息过载变成一件好事，在不超出预算的情况下利用所有安全数据进行威胁预测和早期检测。MITRE建议SOC团队首先在五个关键领域发展更好的态势感知：

业务/使命（优先考虑什么）
法律和监管环境（您必须做什么）
技术和数据环境（您正在监视的内容）
用户、用户行为和服务交互（以及您正在监视的内容）
威胁（对手试图做什么）

企业首先需要知道网络安全防护的对象和原因。此外，还需要更深入地评估风险——了解哪里容易受到攻击，MITRE ATT&CK®框架正是评估风险的绝佳资源。ATT&CK®是网络对手行为的全球知识库，它被汇编成整个威胁生命周期中的战术和技术分类法，它以攻击者的视角来帮助企业了解坏人如何构思，准备和执行攻击。

SOC可以使用ATT&CK分类法来了解已知真实世界攻击的“足迹”，并确定其组织可能易受攻击的位置。接下来，他们可以优先以经济高效的方式最小化重大风险，满足其业务的风险承受能力。

MITRE Engage对手互动框架

MITRE Engage是一个用于规划和讨论对手参与行动的框架（下图），使防御者能够与对手互动（通过欺骗式防御技术）达成网络安全目标。传统的网络安全攻防中，攻击者只需要正确一次，而Engage框架的目标是：攻击者只要失误一次就会被挫败。

MITRE Engage框架中有个阶段：“准备”、“暴露”、“影响”、“诱导”和“理解”。

正如孙子所言：“知己知彼，百战不殆。”Engage的启发式操作收集的情报有助于使决策者和防御者通过与对手互动了解其网络安全防御体系的拒止和欺骗策略的有效性。

四、监管和合规映射

随着MITRE通过将其框架分类为策略，技术甚至子技术来提高对攻击方法的认识，合规团队可以学习如何使用MITRE ATT&CK框架来主动评估和优化其网络安全状况。使用此矩阵，他们可以被动地识别攻击者的攻击路径。帮助团队提出关键问题，例如：

我们是否具备所需的能力？
我们可以在威胁搜寻和检测中使用MITRE ATT&CK吗？
是否有需要改进的领域来防范威胁？
我们可以使用MITRE ATT&CK框架来衡量和改进网络防御吗？

企业可以通过将其现有的表述模糊的流程和控制映射到MITRE明确定义的战术保障措施和对策来获得这些重要的见解。此活动将确保GRC团队获得实用指导，以评估其安全措施免受攻击的影响，并证明遵守合规性要求。

五、威胁狩猎

威胁检测方法通常包括扫描IOC和网络安全监控（NSM），以及异常检测和基于TTP的检测。但是，鉴于当前大多数数据收集工作都集中在网络传感器和外围代理上，而不是基于主机的事件数据上，这些方法都有其优点和局限性。

入侵指标

在2016年之前，威胁搜寻流程主要围绕搜索IOC;其中包括恶意软件的静态特征，例如哈希、文件名、库和字符串;或收集和分析磁盘和内存取证项目。为检测与恶意活动关联的IP地址、域、文件哈希或文件名而不触发良性实例而编写的特征码对于多态性、变质性和其他实现修改通常非常脆弱，这对于对手来说相对容易。大卫·比安科的《痛苦金字塔》（Pyramid of Pain）揭示了这一点。

定义这些脆弱的特征和指标通常需要通过逆向工程和静态分析获得大量资源，并且通常依赖于通过其他方式进行检测（通常在其他违规行为中被对手成功使用并独立检测、报告和传播之后）。因此，指标扫描无法识别与已知指标不匹配的新型或不断变化的威胁，并且仅在事后提供检测功能。

基于异常的检测

基于异常的检测采用统计分析、机器学习和其他形式的大数据分析来检测非典型事件。这种方法传统上存在高误报率的问题，可能还需要在大规模数据收集和处理方面进行大量投资，且并不总是能提供足够的上下文信息来说明为什么某些内容被标记为可疑，这可能会使分析优化具有挑战性。

软件、系统管理员、软件开发人员和日常用户在企业网络中的良性活动通常随时间、用户和网络空间的变化如此之大，以至于定义“正常”行为通常是徒劳的。异常和统计分析需要处理的数据量可能难以收集和保留。必须从环境中足够数量的数据源和位置收集足够的数据，以便进行趋势和统计分析。然而，足够的内容可能会有很大差异，并且通常事先无法知道，这使得这种类型的检测难以有效利用和测量。

基于TTP的检测

一种更可靠的方法是映射和搜索对手为实现目标而必须使用的技术。因为（由于目标技术的限制）这些技术不会经常更改，在对手中很常见。

MITRE ATT&CK框架是映射这些技术的有效方法。防御者可以使用ATT&CK将报告的对手TTP在公共和开放的网络威胁情报中分类，并在网络攻击生命周期的各个阶段按策略类别对其进行调整。