天融信：ATT&CK框架促进安全运营能力升级

7月19日，2022新安盟年会举办期间，天融信科技集团助理总裁张贺勋应邀出席 “基于ATT&CK的安全评测“圆桌论坛，并与嘉宾共同探讨ATT&CK架构对网安企业的应用价值与潜力。

ATT&CK框架自2013年被MITRE推出以来，无论是在网络安全企业的实践应用还是在安全研究中都发挥着巨大潜能。作为国内首家网络安全企业，天融信凭借多年来的市场洞察和前沿科技探索能力，始终积极思考与实践该框架。

在谈及ATT&CK框架给网安从业人员的启发时，张贺勋表示，该框架为攻击与防守技战术带来很多参考。首先，框架中的入侵技术、战术（技战法）通用语言以及知识图谱，使安全厂商从多角度考虑自身产品的功能、性能以及安全能力，以保证设计出的产品能够满足攻防实战对抗的需求。其次，ATT&CK框架的核心理念与要素是TTP（即战术、技术与过程），入侵者可以随意切换战术来实现最终目标。若产品可以不间断采用ATT&CK的攻击子技术进行差距分析、升级，在真实对抗环境中进行检测、拦截、告警，并实现各角度的举证溯源，那产品就能发挥最大作用；若服务能从ATT&CK的攻击子技术中提升红队攻击知识框架，进行模拟演练，就能够提升攻击队员的综合能力。

MITRE官方推荐的ATT&CK适用场景包括对手模拟、红队建设、行为分析开发、威胁情报、防御差距评估、安全运营成熟度评估。张贺勋认为，“以攻促防”是以上诸多场景的行为目标，多个产品以及多个人之间联动才能达到实战化、体系化、常态化，以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的综合效果。

与传统仪表测试相比，ATT&CK框架的应用给网络安全企业产品内测带来了很多提升。对此，张贺勋表示：“自动化测试是未来趋势，无论是产品测试还是人工渗透测试，都需要有工具辅助，ATT&CK框架的出现使我们多了一个参照物，可以不断审视测试工具的完整度、覆盖面。但整体环节中，人仍是最关键因素，一些逻辑漏洞等新型漏洞还是需要人结合工具去发现，进而通过不断迭代提升产品能力。”

ATT&CK模型汇聚了全球安全社区贡献的以及基于历史实战的威胁入侵技术、战术（技战法），涉及内容面较广，但技术水平不够深厚。5G、AI、工控、移动安全、数据安全等新技术的产生与应用，也给网络安全带来了新的挑战，安全运营防御、人才培养及知识库等也会促使ATT&CK框架不断整合、调整、升级。我国作为信息大国，信息安全要牢牢抓在自己手中，希望“产、学、研”联合起来建设我国自己的ATT&CK框架，提升国家网络空间安全综合防御实力。