首先,形成一套能够应对包括云平台、移动平台、工业控制平台等多种平台,且被业内认可的通用技术表达体系和通用术语并不容易。威胁框架已经发展成为系统认知网络威胁、构建有效防御的方法与工具体系。除ATT&CK威胁框架外,还有洛克希德・马丁公司的杀伤链框架(Cyber-Kill-Chain)、美国国家情报总监办公室的公共网络威胁框架(Common Cyber Threat Framework,CCTF)、美国国家安全局的技术性网络威胁框架(Technical Cyber Threat Framework,TCTF)等。这些威胁框架均没有像ATT&CK威胁框架这样细粒度的技术刻画,也未对多种平台进行覆盖。虽然ATT&CK威胁框架对研究分析、产品开发、威胁对抗等方面具有更实际的指导作用,但这也成为其面临的现实挑战的来源。
其次,高级威胁及未知漏洞发现较为困难,甚至可能威胁已经在受害者网络环境中造成实际后果,而用户仍未感知,更无从调查取证。网络威胁不断发展变化,不断出现未被感知到的高级威胁,因此ATT&CK威胁框架如何更全面枚举入侵技战术是其面临的又一发展难点。尽管ATT&CK威胁框架已经对入侵活动进行原子化拆解,但因为无法完全枚举威胁、入侵手段过于复杂等因素,也可能导致其不能发挥应有作用。
3 ATT&CK威胁框架技术产业落地情况
3.1 威胁框架应用场景
ATT&CK威胁框架得到网络安全领域的广泛认可,在技术服务中也取得较好实际效果。此外,随着网络威胁的不断演变和进化,MITRE公司也积极推动ATT&CK威胁框架的迭代更新,以适应不断变化的入侵环境。ATT&CK威胁框架主要包括威胁情报收集、高级威胁检测、防御能力评估、安全能力提升等应用场景。
(1)威胁情报收集
网络威胁情报能够使用户了解威胁并有针对性地应对威胁。虽然威胁情报具有较大价值,但其创建过程却很复杂。ATT&CK威胁框架可作为通用语言提供统一描述标准,为情报创建提供便利条件,对威胁情报进行规整。此外,ATT&CK威胁框架中展示了近130个攻击组织的详细信息,包括其使用的攻击技战术及工具。网络安全工作人员能够基于ATT&CK威胁框架收集网络情报,进而有针对性地跟踪对手,以应对可能出现的威胁。利用ATT&CK威胁框架在化简情报创建过程、缩短分析时间、提高情报质量等方面具有现实意义。
(2)高级威胁检测
已知威胁的猎杀及未知威胁的发现通常是高级威胁检测关注的焦点。针对已知威胁的猎杀,利用ATT&CK威胁框架对对手攻击战术、技术、过程的映射能够获得已知对手的入侵信息,甚至预测对手可能的入侵行为,从而采取相应措施,进行安全防御部署,使网络安全防御价值最大化。针对未知威胁的发现,ATT&CK威胁框架能够实现网络入侵活动全生命周期的覆盖,因此即便对手应用未知威胁入侵,也将处于ATT&CK威胁框架覆盖范围内,使得未知威胁追踪有迹可循并最终发现未知威胁。
(3)防御能力评估
防御能力评估的价值在于能够为安全能力提升奠定基础,但评估中可能出现当前防御能阻止以某种方式采用某种技术的入侵,而其实无法防御其他方式采用该技术的入侵,使防御者产生一种虚假的安全感。因此,需要基于ATT&CK威胁框架利用接近实战化的攻防对抗演练才能精准地评估防御能力。
MITRE为ATT&CK威胁框架提供了原子红队(Atomic Red Team,ART)“原子化攻击仿真”测试集合,能够保障威胁框架武器库中特定技术或子技术正常发挥作用。模拟入侵人员能够在原子测试的基础上,与现实世界入侵事件相结合,根据实际网络环境调整、利用不同入侵技战术,尽可能还原对手真实入侵手段。安全防御人员基于现有网络防御策略及应急响应流程与对手进行对抗,抵御对手的潜在入侵行为,确定现有防御部署中存在的防御不足或可见性缺失的部分。网络威胁不断发展变化,因此打造一支能力可靠的蓝队参加常态化的攻防对抗演练,并基于ATT&CK威胁框架对网络防御能力进行评估,能够最大程度地为测试网络安全解决方案、提升安全防御能力提供真实的参考依据。
(4)安全能力提升
基于ATT&CK威胁框架的威胁情报、防御能力评估,网络安全人员能够认识到攻防双方差距,发现安全防御薄弱环节,有针对性地提升安全能力。安全人员可以利用ATT&CK威胁框架构建体系化防御,还可以主动构建欺骗环境,扰乱对手判断,塑造诱饵环境、诱饵对象、仿真行为等,诱骗对手实施入侵,从而触发攻击告警。基于告警信息不断加强网络安全防御复杂度,强化网络系统弹性,提升对手攻击难度,增加对手攻击成本。网络安全人员能够利用ATT&CK威胁框架改变被动的防御态势,充分发挥能够基于自身网络架构主动部署防御体系的先天优势,扭转网络威胁对抗双方不对等的情况,真正实现网络安全积极防御。企业基于ATT&CK威胁框架有针对性地进行安全防御部署,可提高安全防御能力,使网络安全防御价值最大化。