3.2 威胁框架产业落地
(1)国内产业落地情况
ATT&CK威胁框架为应对日益复杂的网络威胁,提供了有力的技术支撑。国内网络安全企业纷纷利用ATT&CK威胁框架来覆盖其技术分析报告以及产品实现过程,积极推动该框架在安全产品侧的落地。
目前主要技术报告的分析成果如下:总结出最常见的十大ATT&CK攻击技术,即供应链失陷、创建或更改系统进程、进程注入、命令和脚本解释、系统凭证提取、远程服务、利用C2通道渗漏数据、协议通道、软件探测、执行流劫持等;应用ATT&CK威胁框架示意图直观展示攻击组织利用哪些技战术完成入侵;从攻击战术、技术、过程、标签、分析溯源、红蓝知识库等方面对ATT&CK威胁框架进行研究。
主要产品可实现的功能包括以下3个方面:一是将ATT&CK威胁框架应用到终端产品的研发与能力验证工作中,不仅使产品在威胁防御和异常事件捕获方面的能力大幅度提升,还可以支持以ATT&CK威胁框架的形式展现网内威胁事件,并能对事件进行关联分析;二是结合企业自身对威胁知识、经验的积累,基于ATT&CK威胁框架构建网络安全知识图谱,进行高级持续性威胁(Advanced Persistent Threat,APT)组织追踪、内部威胁识别、攻击模拟及知识扩展等相关研究;三是对标ATT&CK威胁框架输出精准的告警研判信息。
(2)国外产业落地情况
国外众多领先的网络安全公司都采用了ATT&CK威胁框架。2021年4月,MITRE公司基于ATT&CK威胁框架对29个不同网络安全企业的产品进行评估,但不会产生分数和排名。安全产品防御能力的评估结果,不仅取决于与ATT&CK威胁框架的映射覆盖度,更取决于是否满足最终用户的关键需求。
除MITRE官方应用之外,还有如下应用方式:将端点检测与响应(Endpoint Detection & Response,EDR)产品与ATT&CK威胁框架相互映射,并利用该框架丰富其APT情报报告;应用ATT&CK威胁框架检测产品覆盖范围,找出产品能力与攻击者应用技术间的差距,由应急响应团队缩小差距;在分析2020年12月的“太阳风”(SolarWinds)软件供应链攻击事件中,全面采用ATT&CK威胁框架映射、分析该攻击事件,并认为至少应用了17种技术手段;将ATT&CK威胁框架应用于网络威胁检测、描述攻击者入侵目标网络行为等方面,并为受害者提供预防和缓解网络安全威胁的工具;开发公开的剧本查看器(Playbook Viewer),其显示了ATT&CK威胁框架的部分入侵组织的已知入侵行为。
网络安全人员是ATT&CK威胁框架实践的主体,该框架被国内外网络安全企业广泛应用,一方面体现在网络安全的研究分析过程中,另一方面体现在网络安全产品的开发实践过程中。国内外网络安全企业将ATT&CK威胁框架作为分析高级威胁的技术表达体系和分析框架,应用于检测已知威胁、识别潜在威胁、干扰反制对手行为、提高入侵成本等方面,从而提升安全产品功能,强化用户网络安全防御能力。因此,对于网络安全防御工作来说,ATT&CK威胁框架具有重要的现实意义。
4 结语
本文主要对ATT&CK威胁框架的发展及应用进行梳理和分析。在网络安全防御领域应用ATT&CK威胁框架,一方面能够发现现有防御能力的不足,通过评估、分析差距,指导防御能力提升;另一方面能够通过威胁事件与威胁框架的关联映射,帮助防御人员直观地理解已发现威胁事件的战术、技术或目标、行为,辅助决策,提升威胁检测、响应与分析处置能力。此外,国内外众多网络安全研究人员和安全企业都纷纷采用ATT&CK威胁框架,进行技术分析研究或产品落地实践,实现用户网络安全防御能力的持续提升。未来,随着ATT&CK威胁框架不断发展和完善,其将得到更加广泛的应用。
(原载于《保密科学技术》杂志2022年8月刊)