思科 ATT＆CK 框架

对于防御者来说，MITRE的ATT&CK框架是一个游戏规则的改变者，因为它规划了企业将面临的常见威胁。ATT&CK将其与保护和检测控制相结合，并允许企业内的每个人就攻击者可能如何在基础设施中移动使用一种共同语言。正如思科的SOC和IR团队会告诉您的那样，ATT&CK能够很好地支持蓝色和红色团队共存，并通过共同的目标和关键绩效指标(KPI)有效地协同工作，以衡量您的企业架构。然而，如果它达不到要求，并且威胁情报和假设不存在，会发生什么呢？

情报分析师通常会告诉您：将可能遇到的威胁归结为利用菱形模型来介绍威胁的四个方面-对手，基础设施，能力和受害者。实际上，这种情报通常偏重于前三项，而公开的TI只讲述了组织故事的一部分。不要过于依赖DNS遥测和文件散列，因为您可能无法全面了解情况。最大的盲点是，，一旦攻击者对企业的访问受到保护，ATT&CK不一定会告诉您下一步会发生什么。具体地说，即使在更全面的意义上使用ATT&CK和更复杂的企业监控，您的安全团队也可能没有足够的信息来了解组织的大部分价值可能驻留的业务系统。

在过去的12个月左右的时间里，将所有这些放在一起，作为一个停工期项目，我正在审查作为CX评估活动一部分而收集的匿名数据。目的是了解思科如何以及在何处可以学习课程，以及我的团队是否可以使用该数据来塑造思科的理解。作为思科CX团队的一部分，我可以使用一些非常复杂的报表工具。我们通常会提取各种类型的测试数据，对其进行规范化，然后使用其编写可重复生成的报告。它已经具有协助进行根本原因分析和确定采油计划的能力，但我认为我们可以做更多的事情。作为Def Con 28安全模式的一部分，Red Team的会议中的内容：

• 分析MITER ATT＆CK矩阵
• 利用CVSS，CWE等指标
• 应用STIX对现有数据进行编码
• 应用新标签以帮助进行威胁建模
• 思科如何在现实情况下利用此分析为我们的客户提供帮助，以抵御他们面临的威胁群体
• 使用FAIR使威胁模型与企业保持一致以定性风险
• 开发遥测并构建SOC和IR手册以应对晦涩的平台
• 识别工具方面的差距，它不像其他防火墙、IDS或AV产品那么简单，而需要对业务有真正的了解

你也许可以向这些方面进一步研究：

• 假设的自动提取是可能的。
• 漏洞发现可以使用标准化词典用元数据进行标记。
• 来自渗透测试的实际威胁模型和杀伤链的可视化表示有助于提供态势感知。
• 通过更丰富的元数据交换，更好地与我们的同行分析和沟通威胁，将进一步改善这种情况

有关这次会议的具体内容可以在GitHub中查看。