綠盟科技:安全運營中ATT&CK框架的實用性挑戰與應對

綠盟科技發表於2021-09-10

9月9日,由賽可達實驗室,國家計算機病毒應急處理中心,國家網路與資訊系統安全產品質量監督檢驗中心主辦,綠盟科技協辦的2021 ATT&CK技術與應用論壇在北京順利召開。

 綠盟科技:安全運營中ATT&CK框架的實用性挑戰與應對      

會上,綠盟科技天樞實驗室高階安全研究員張潤滋發表了題為《安全運營中ATT&CK框架的實用性挑戰與應對》的主題演講,向與會來賓分享了綠盟科技對安全運營和ATT&CK框架的研究和思考。

綠盟科技:安全運營中ATT&CK框架的實用性挑戰與應對

綠盟科技天樞實驗室高階安全研究員張潤滋博士

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一個攻擊行為知識庫和威脅建模模型,主要應用於評估攻防能力覆蓋、APT攻擊防護、威脅狩獵、威脅情報關聯及攻擊模擬等領域。自發布以來,引發工業界和研究界的熱捧,已逐漸發展為網路威脅分析語境下的通用元語。ATT&CK以相對適當的知識抽象層次,充分覆蓋威脅領域的技戰術場景,給安全防禦能力的匹配與對比提供了標杆和抓手,是其成功的關鍵。

張潤滋表示,在ATT&CK的驅動下,越來越多的資料來源採集能力成為企業威脅防護的標配。不過,對於安全運營團隊來說,大規模、規範化的採集資料的接入只是起點,如何利用資料對抗愈發隱匿的高階威脅行為,持續降低企業和組織的風險才是關鍵所在。

從安全運營的實戰來看,MITRE ATT&CK從資料規範性、能力抽象、語義增強等多個方面給威脅建模與分析領域帶來新機遇。然而,ATT&CK也逃不過安全運營大規模資料分析挖掘的實用性命題。在實戰化攻防的背景下,基於ATT&CK框架進行威脅分析、攻擊溯源等任務,仍然面臨採集與分析系統瓶頸、高覆蓋率下的誤報疲勞、資料收集隱私風險、知識一詞多義與資訊流依賴爆炸等多方面的技術瓶頸。

為應對以上挑戰,提升ATT&CK在安全運營中的實用性與實戰性,我們可以基於面向場景化的攻防對抗模擬,做好知識構建與富化,結合APT行為資料與威脅情報資料的融合分析,構建可用的、濃縮的ATT&CK資料資源池;透過分散式的處理分析架構緩解效能瓶頸與隱私風險;透過人機協同與可運營的分析手段,對資料中ATT&CK技戰術細節進行統計與因果建模,支撐精準、富含語義的威脅行為分析。此外,提升檢測分析能力的標準化水平,促進攻擊技戰術行為資料共享,結合技術開源,透過多種途徑來打造威脅知識庫與元語言技術生態,能夠有效應對威脅建模技術在安全運營實戰中的諸多挑戰,提升APT等高階威脅防禦、檢測、溯源的技術水平。

相關文章