ATTCK框架面临两大难题

Mitre ATT&CK首席网络安全工程师Adam Pennington表示，新版本的ATT&CK类似于百科全书，描述了对手在入侵过程中所进行的超过160多种对手活动信息。

Pennington说，在过去的几年中，Mitre的使用激增，因为它在整个安全社区中得到了越来越广泛的采用，而且ATT&CK框架也在快速的迭代中变得日趋完善和全能。

他说：“从最初收录的40种行为，到现在已经超过160种，”他说。“最新版本涵盖了过去忽视的领域，例如如移动设备和工业控制系统，还有许多信息，使人们能够知道如何阻止特定行为并自助处理。”

在上个月举行的Forrester Security&Risk Global 2020虚拟会议上，Forrester Research高级分析师Brian Kime表示，从2018年初开始，ATT&CK成为最受欢迎的入侵框架。

他说：“ATT&CK之所以流行，是因为它可以帮助我们构建弹性的安全体系结构，为我们提供一种对威胁进行建模的方法，这将使我们能够进行检测，并从包括端点在内的整个IT环境采集正确的遥测信息。ATT&CK本身不是威胁情报，但它应该是威胁情报工作的重要工具。”

McAfee研究员兼云业务部门副总裁Sekhar Sarukkai表示，ATT&CK框架在短时间内流行起来的原因还包括信任从企业内部网络向云端的转移。

Sarukkai指出：“传统的安全策略假设一切都将受到控制，但是新的现实是，由于云的存在，信任已经完全开放。如今，没有任何企业可以控制一切。第二，在新冠疫情肆虐的最近几个月中，居家办公需要一种分布式信任模型，这意味着安全团队需要研究新的方法来保护其安全状态。”

此外，ATT&CK框架还提供了一种将威胁活动和驱动模式聚类的方法。“对于一个SOC (安全运营中心)分析员来说，他看到的不是一个单一的事件，而是多个事件的组合，这有助于它们更好地理解威胁。”

从端点到云端

ATT&CK框架的流行以及云计算的快速普及，业界开始探讨“MITRE ATT&CK作为云威胁调查的框架”。

迈克菲和加州大学伯克利分校的长期网络安全中心(CLTC)共同编写的报告发现，有87%的调查受访者认为采用ATT&CK云矩阵将提高组织的云安全性。与此同时，只有49%的受访者对他们手里的安全产品检测每个ATT&CK矩阵中的对手战术和技术的能力感到高度自信。

Sarukkai表示，将云计算这个维度纳入ATT&CK框架至关重要，因为如此多的威胁将穿越内部网络、端点设备和外部云服务的“孤岛”。

尽管ATT&CK框架最初更侧重于端点威胁，但Sarukkai表示，如今越来越常见的攻击媒介是被攻击者入侵的云管理账户。

他说：“如今攻击通常是借助传统的恶意软件通过端点进行的，一旦获取管理员账号，端点就成了攻击云的跳板。从设备到云这条路径是当下网络攻击的一个发展方向。”

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!