在2022年的RSA大會上,專家們就MITRE ATT&CK框架進行了分享,重點講述瞭如何將MITRE ATT & CK框架和安全控制框架結合,進而形成以應對具體威脅為導向的安全合規方法。
如何巧用ATT & CK框架
第一步,把MITRE ATT & CK 中的技術與NIST 800-53《資訊系統和組織的安全和隱私控制》做對映。由於NIST 800-53是NIST(美國國家標準與技術研究院)資訊保安的支撐性檔案,存在很多其它的安全控制框架與其做對映,例如:NIST的《網路安全框架》和 CIS Controls 。
第二步,將具體的組織或惡意軟體的行為與MITRE ATT & CK的技術做對映。企業在使用的時候,能夠以具體威脅為導向,來找到最需要的安全控制手段。例如:金融企業優先關注以他們為目標的APT組織或者惡意軟體家族,進而可以優先實現這些威脅對應的安全控制手段。
360 ATT & CK框架的應用實踐
360知識雲團隊以MITRE ATT & CK框架與360多年攻防對抗的實戰經驗和資料為基礎,基於知識圖譜技術,持續將360各安全團隊在實戰攻防對抗中新增的攻擊技戰術、攻擊活動殺傷鏈、攻擊工具、攻擊者組織資訊、資產型別、資料來源、檢測規則、防禦緩解方案、等保控制項等資訊以及它們之間的關係都呈現在一個視覺化圖譜上,形成360獨有的全景攻防知識圖譜。
基於360全景攻防知識圖譜,安全研究和運營人員可以看到實戰攻防技戰術全景,並建立攻擊、防禦和評估之間的“相互關聯性”,實現攻防能力轉化,為對抗已知威脅甚至未知威脅提供明確的行動指導,並透過統一攻防語言,幫助產品聯動,廠商協同,形成對安全能力的衡量、評價和改進。
作為數字經濟的守護者、數字安全的領導者,360政企安全集團基於17年攻防實戰經驗及300億安全研發投入,打造了以雲端安全大腦為核心的安全情報能力體系。將商業情報、開源情報、自研情報等多型別情報整合,可對十多個維度線索進行精細化提取、分離、關聯、索引,並透過多源情報關聯分析對安全攻擊進行全面立體化溯源。該體系支援訂閱360全景攻防知識圖譜,並透過雲地協同、能力下沉,為安全裝置提供從漏洞到資產、從情報到知識、從線索到規則、從事件到態勢等百餘種基礎的安全資料及分析能力,可以滿足各類安全裝置的通用化威脅檢測與分析需求。
未來,360全景攻防知識圖譜將持續助力廣大客戶提升其抗攻擊能力,實現自動化風險評估,進而實現實戰定義資料,資料驅動安全,護航數字經濟平穩健康發展。