ATT&CK框架公開發(fā)布于2015年，從最初的一個(gè)內(nèi)部人員分享的Excel電子表格工具，到如今已經(jīng)發(fā)展成為威脅活動(dòng)、技術(shù)和模型的全球知識(shí)庫(kù)，成為在企業(yè)、政府和安全廠商中廣為流行的安全工具。

　　ATT＆CK框架提供了關(guān)于野外網(wǎng)絡(luò)攻擊活動(dòng)最全面及時(shí)的社區(qū)知識(shí)集合，這有助于企業(yè)劃分安全威脅的優(yōu)先級(jí)，并用于評(píng)估安全方法、產(chǎn)品和服務(wù)。

　　ATT＆CK框架還經(jīng)常被諸如網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）之類的政府機(jī)構(gòu)用于有關(guān)威脅活動(dòng)的警報(bào)和咨詢中。例如，最近FBI和CISA在一項(xiàng)應(yīng)對(duì)俄羅斯政府資助的高級(jí)持續(xù)威脅（APT）的聯(lián)合網(wǎng)絡(luò)安全警報(bào)中使用了ATT＆CK企業(yè)版框架（下圖）。

　　該警報(bào)說道：“請(qǐng)參閱ATT＆CK for Enterprise框架以了解相關(guān)威脅參與者的策略和技術(shù)?！?/p>

　　8.0版本首次覆蓋完整“殺鏈”

　　在過去的五年中，ATT＆CK有了長(zhǎng)足的發(fā)展。上月底，Mitre發(fā)布了ATT&CK框架的8.0版，這是一個(gè)重大升級(jí)版本，將PRE-ATT&CK與ATT&CK進(jìn)行了合并（編者：此前ATT&CK框架并未覆蓋完整的殺鏈），在針對(duì)企業(yè)的ATT＆CK威脅模型中，增加了偵察和資源利用兩大對(duì)手戰(zhàn)術(shù)，從而實(shí)現(xiàn)了對(duì)KillChain殺鏈完整生命周期的覆蓋。PRE-ATT&CK與ATT&CK框架的合并如下圖所示：

　　PRE-ATT&CK分為情報(bào)規(guī)劃、偵察和資源開發(fā)三大部分15個(gè)階段

　　PRE-ATT&CK框架最后兩個(gè)階段（啟動(dòng)與入侵）與ATT&CK的第一階段（初始訪問）合并

　　Mitre ATT＆CK首席網(wǎng)絡(luò)安全工程師Adam Pennington表示，新版本的ATT＆CK類似于百科全書，描述了對(duì)手在入侵過程中所進(jìn)行的超過160多種對(duì)手活動(dòng)信息。

　　Pennington說，在過去的幾年中，Mitre的使用激增，因?yàn)樗谡麄€(gè)安全社區(qū)中得到了越來越廣泛的采用，而且ATT&CK框架也在快速的迭代中變得日趨完善和全能。

　　他說：“從最初收錄的40種行為，到現(xiàn)在已經(jīng)超過160種，”他說?！白钚掳姹竞w了過去忽視的領(lǐng)域，例如如移動(dòng)設(shè)備和工業(yè)控制系統(tǒng)，還有許多信息，使人們能夠知道如何阻止特定行為并自助處理?！?/p>

　　在上個(gè)月舉行的Forrester Security＆Risk Global 2020虛擬會(huì)議上，F(xiàn)orrester Research高級(jí)分析師Brian Kime表示，從2018年初開始，ATT＆CK成為最受歡迎的入侵框架。

　　他說：“ATT＆CK之所以流行，是因?yàn)樗梢詭椭覀儤?gòu)建彈性的安全體系結(jié)構(gòu)，為我們提供一種對(duì)威脅進(jìn)行建模的方法，這將使我們能夠進(jìn)行檢測(cè)，并從包括端點(diǎn)在內(nèi)的整個(gè)IT環(huán)境采集正確的遙測(cè)信息。ATT＆CK本身不是威脅情報(bào)，但它應(yīng)該是威脅情報(bào)工作的重要工具?！?/p>

　　McAfee研究員兼云業(yè)務(wù)部門副總裁Sekhar Sarukkai表示，ATT＆CK框架在短時(shí)間內(nèi)流行起來的原因還包括信任從企業(yè)內(nèi)部網(wǎng)絡(luò)向云端的轉(zhuǎn)移。

　　Sarukkai指出：“傳統(tǒng)的安全策略假設(shè)一切都將受到控制，但是新的現(xiàn)實(shí)是，由于云的存在，信任已經(jīng)完全開放。如今，沒有任何企業(yè)可以控制一切。第二，在新冠疫情肆虐的最近幾個(gè)月中，居家辦公需要一種分布式信任模型，這意味著安全團(tuán)隊(duì)需要研究新的方法來保護(hù)其安全狀態(tài)?！?/p>

　　此外，ATT＆CK框架還提供了一種將威脅活動(dòng)和驅(qū)動(dòng)模式聚類的方法?！皩?duì)于一個(gè)SOC （安全運(yùn)營(yíng)中心）分析員來說，他看到的不是一個(gè)單一的事件，而是多個(gè)事件的組合，這有助于它們更好地理解威脅?！?/p>

　　從端點(diǎn)到云端

　　ATT＆CK框架的流行以及云計(jì)算的快速普及，業(yè)界開始探討“MITRE ATT＆CK作為云威脅調(diào)查的框架”。

　　邁克菲和加州大學(xué)伯克利分校的長(zhǎng)期網(wǎng)絡(luò)安全中心（CLTC）共同編寫的報(bào)告發(fā)現(xiàn)，有87％的調(diào)查受訪者認(rèn)為采用ATT＆CK云矩陣將提高組織的云安全性。與此同時(shí)，只有49％的受訪者對(duì)他們手里的安全產(chǎn)品檢測(cè)每個(gè)ATT＆CK矩陣中的對(duì)手戰(zhàn)術(shù)和技術(shù)的能力感到高度自信。

　　Sarukkai表示，將云計(jì)算這個(gè)維度納入ATT＆CK框架至關(guān)重要，因?yàn)槿绱硕嗟耐{將穿越內(nèi)部網(wǎng)絡(luò)、端點(diǎn)設(shè)備和外部云服務(wù)的“孤島”。

　　盡管ATT＆CK框架最初更側(cè)重于端點(diǎn)威脅，但Sarukkai表示，如今越來越常見的攻擊媒介是被攻擊者入侵的云管理賬戶。

　　他說：“如今攻擊通常是借助傳統(tǒng)的惡意軟件通過端點(diǎn)進(jìn)行的，一旦獲取管理員賬號(hào)，端點(diǎn)就成了攻擊云的跳板。從設(shè)備到云這條路徑是當(dāng)下網(wǎng)絡(luò)攻擊的一個(gè)發(fā)展方向?！?/p>

　　ATT＆CK面臨兩大挑戰(zhàn)

　　CLTC的報(bào)告發(fā)現(xiàn)，全球調(diào)查受訪者中有45％的人認(rèn)為安全產(chǎn)品缺乏互操作性是ATT＆CK框架面臨的最大挑戰(zhàn)，而43％的受訪者認(rèn)為將事件數(shù)據(jù)映射到戰(zhàn)術(shù)和技術(shù)上是一項(xiàng)挑戰(zhàn)。

　　ATT＆CK面臨的兩大挑戰(zhàn)可以概括為：

　　缺乏安全工具支持，難以實(shí)現(xiàn)互操作性

　　框架部署的成熟度不夠，難以實(shí)現(xiàn)自動(dòng)化

　　除了互操作性，該報(bào)告還發(fā)現(xiàn)，只有３９％的企業(yè)能夠?qū)碜栽?、網(wǎng)絡(luò)和端點(diǎn)的事件關(guān)聯(lián)起來以調(diào)查威脅。

　　Pennington說：“數(shù)據(jù)表明，這是客戶所面臨的挑戰(zhàn)。83％的受訪者表示ATT＆CK框架非常全面，但他們正在手動(dòng)尋找將其中一些技術(shù)映射到其框架中的方法。另一方面，由于這些攻擊的本質(zhì)是跨部門的，問題變得棘手。從數(shù)據(jù)的角度來看，只有不到20％的客戶從運(yùn)營(yíng)層面完全采用了ATT＆CK，因此，自動(dòng)化也就無從談起?！?/p>

　　Pennington說，SOC團(tuán)隊(duì)希望從端點(diǎn)、移動(dòng)設(shè)備到網(wǎng)絡(luò)和云的各種安全產(chǎn)品提供的數(shù)據(jù)和可見性能夠在ATT＆CK框架上進(jìn)行標(biāo)準(zhǔn)化，在某種類型的儀表板上顯示，并提供給SIEM等其他產(chǎn)品。

　　Sarukkai說，“許多安全工具不支持ATT＆CK。缺少合適工具的企業(yè)需要手動(dòng)實(shí)現(xiàn)，這意味著他們無法完全采用Mitre ATT＆CK框架，因?yàn)闀?huì)被實(shí)例淹沒。而且因?yàn)樗麄儧]有有效的工具，所以這是最大的原因。”

　　Sarukkai說，很多企業(yè)希望使用ATT＆CK來自動(dòng)進(jìn)行修復(fù)并減輕SOC分析師的工作量。但是，這要求ATT＆CK的實(shí)施達(dá)到一定的成熟度（上圖），但報(bào)告顯示只有19％的受訪者達(dá)到了應(yīng)有的成熟度水平。

　　更大的挑戰(zhàn)是人們不知所措（成熟度不夠）?！捌髽I(yè)版ATT＆CK框架包含了156種高級(jí)行為。企業(yè)如果想一下子搞明白這156種行為的對(duì)策，肯定會(huì)頭昏腦脹?！盞ime指出：“過去一年，我們?cè)噲D釋放大量培訓(xùn)資源，例如如何開始使用，如何確定優(yōu)先次序，并計(jì)劃在將來發(fā)布更多的免費(fèi)培訓(xùn)?！?/p>