綠盟科技：安全運營中ATT&CK框架的實用性挑戰與應對

9月9日，由賽可達實驗室，國家計算機病毒應急處理中心，國家網路與資訊系統安全產品質量監督檢驗中心主辦，綠盟科技協辦的2021 ATT&CK技術與應用論壇在北京順利召開。

會上，綠盟科技天樞實驗室高階安全研究員張潤滋發表了題為《安全運營中ATT&CK框架的實用性挑戰與應對》的主題演講，向與會來賓分享了綠盟科技對安全運營和ATT&CK框架的研究和思考。

綠盟科技天樞實驗室高階安全研究員張潤滋博士

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是一個攻擊行為知識庫和威脅建模模型，主要應用於評估攻防能力覆蓋、APT攻擊防護、威脅狩獵、威脅情報關聯及攻擊模擬等領域。自發布以來，引發工業界和研究界的熱捧，已逐漸發展為網路威脅分析語境下的通用元語。ATT&CK以相對適當的知識抽象層次，充分覆蓋威脅領域的技戰術場景，給安全防禦能力的匹配與對比提供了標杆和抓手，是其成功的關鍵。

張潤滋表示，在ATT&CK的驅動下，越來越多的資料來源採集能力成為企業威脅防護的標配。不過，對於安全運營團隊來說，大規模、規範化的採集資料的接入只是起點，如何利用資料對抗愈發隱匿的高階威脅行為，持續降低企業和組織的風險才是關鍵所在。

從安全運營的實戰來看，MITRE ATT&CK從資料規範性、能力抽象、語義增強等多個方面給威脅建模與分析領域帶來新機遇。然而，ATT&CK也逃不過安全運營大規模資料分析挖掘的實用性命題。在實戰化攻防的背景下，基於ATT&CK框架進行威脅分析、攻擊溯源等任務，仍然面臨採集與分析系統瓶頸、高覆蓋率下的誤報疲勞、資料收集隱私風險、知識一詞多義與資訊流依賴爆炸等多方面的技術瓶頸。

為應對以上挑戰，提升ATT&CK在安全運營中的實用性與實戰性，我們可以基於面向場景化的攻防對抗模擬，做好知識構建與富化，結合APT行為資料與威脅情報資料的融合分析，構建可用的、濃縮的ATT&CK資料資源池；透過分散式的處理分析架構緩解效能瓶頸與隱私風險；透過人機協同與可運營的分析手段，對資料中ATT&CK技戰術細節進行統計與因果建模，支撐精準、富含語義的威脅行為分析。此外，提升檢測分析能力的標準化水平，促進攻擊技戰術行為資料共享，結合技術開源，透過多種途徑來打造威脅知識庫與元語言技術生態，能夠有效應對威脅建模技術在安全運營實戰中的諸多挑戰，提升APT等高階威脅防禦、檢測、溯源的技術水平。