绿盟科技：安全运营中ATT&CK框架的实用性挑战与应对

9月9日，由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心主办，绿盟科技协办的2021 ATT&CK技术与应用论坛在北京顺利召开。

会上，绿盟科技天枢实验室高级安全研究员张润滋博士发表了题为《安全运营中ATT&CK框架的实用性挑战与应对》的主题演讲，向与会来宾分享了绿盟科技对安全运营和ATT&CK框架的研究和思考。

绿盟科技天枢实验室高级安全研究员张润滋博士

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是一个攻击行为知识库和威胁建模模型，主要应用于评估攻防能力覆盖、APT攻击防护、威胁狩猎、威胁情报关联及攻击模拟等领域。自发布以来，引发工业界和研究界的热捧，已逐渐发展为网络威胁分析语境下的通用元语。ATT&CK以相对适当的知识抽象层次，充分覆盖威胁领域的技战术场景，给安全防御能力的匹配与对比提供了标杆和抓手，是其成功的关键。

张润滋表示，在ATT&CK的驱动下，越来越多的数据源采集能力成为企业威胁防护的标配。不过，对于安全运营团队来说，大规模、规范化的采集数据的接入只是起点，如何利用数据对抗愈发隐匿的高级威胁行为，持续降低企业和组织的风险才是关键所在。

从安全运营的实战来看，MITRE ATT&CK从数据规范性、能力抽象、语义增强等多个方面给威胁建模与分析领域带来新机遇。然而，ATT&CK也逃不过安全运营大规模数据分析挖掘的实用性命题。在实战化攻防的背景下，基于ATT&CK框架进行威胁分析、攻击溯源等任务，仍然面临采集与分析系统瓶颈、高覆盖率下的误报疲劳、数据收集隐私风险、知识一词多义与信息流依赖爆炸等多方面的技术瓶颈。

为应对以上挑战，提升ATT&CK在安全运营中的实用性与实战性，我们可以基于面向场景化的攻防对抗模拟，做好知识构建与富化，结合APT行为数据与威胁情报数据的融合分析，构建可用的、浓缩的ATT&CK数据资源池；通过分布式的处理分析架构缓解性能瓶颈与隐私风险；通过人机协同与可运营的分析手段，对数据中ATT&CK技战术细节进行统计与因果建模，支撑精准、富含语义的威胁行为分析。此外，提升检测分析能力的标准化水平，促进攻击技战术行为数据共享，结合技术开源，通过多种途径来打造威胁知识库与元语言技术生态，能够有效应对威胁建模技术在安全运营实战中的诸多挑战，提升APT等高级威胁防御、检测、溯源的技术水平。