當前的SIEM規(guī)則忽略了MITRE ATT&CK框架的大部分內容，給用戶帶來了風險負擔。

　　最近，一項針對十個組織的研究發(fā)現(xiàn)，平均而言，安全信息和事件管理解決方案（即SIEM）的規(guī)則和策略只涵蓋了MITRE ATT&CK框架中16%的戰(zhàn)術和技術。

　　SIEM解決方案通常被認為是安全運營的核心組成部分，它匯集了來自各種網(wǎng)絡設備和服務的日志數(shù)據(jù)，并對其進行分析以檢測威脅。

　　同時，MITRE ATT&CK框架涵蓋了主要威脅行為者所使用的攻擊方法，被認為是杰出的全球性知識庫之一。因此，人們可能會認為SIEM與MITRE ATT&CK框架通常會保持一致。但據(jù)安全公司CardinalOps的最新報告顯示，事實并非如此，該公司的發(fā)現(xiàn)表明：“普遍看來SIEM部署的功效確實很差”。

　　在這項研究中，CardinalOps研究了其十家客戶的SIEM實踐，除一家外，其余九家都是價值數(shù)十億美元的跨國公司。這些客戶使用的SIEM技術各不相同，包括Splunk、IBM、Qradar和Sumo Logic等供應商的解決方案。

　　CardinalOps首席技術官Yair Manor在該公司的對應報告中指出，在實踐中，SIEM對ATT&CK框架的覆蓋率仍然遠遠低于企業(yè)的期望水平，也遠遠低于SIEM和檢測工具所能提供的服務。這就導致了SIEM用戶“自認為擁有的安全性與他們實際獲得的安全性之間存在著鴻溝”。

　　這并不是首個關注此類問題的研究型報告。在2020年9月McAfee和加州大學伯克利分校的一份報告中，45%的受訪組織表示，他們在使用ATT&CK時，遇到了與安全產品缺乏互操作性的問題。此外，有43％的人表示他們很難將事件數(shù)據(jù)映射到已知的戰(zhàn)術和技術上，還有36%的人表示，他們從SIEMs中收到了太多的誤報。

　　報告還說，一些組織沒有使用ATT&CK框架，因為它沒有針對敵方的技術進行優(yōu)先級排序，也沒有分配權重。

　　專家表示，為確保SIEM能從ATT&CK框架中獲得最大效益，用戶需要具備對自身環(huán)境的理解能力以及對最大風險威脅的排序能力，這樣他們就可以制定最能保護自己的規(guī)則。但這需要長期努力。

　　“對組織而言，最大的問題是其奢望某些工具集、應用程序、系統(tǒng)或框架能夠作為解決一切問題、藥到病除的萬能靈丹，”亞利桑那州立大學信息安全專家兼實踐教授Kim Jones說，“不親自分析排序優(yōu)先級并評估工具的適用性，而是采取固有的檢測態(tài)勢并生搬硬套一個框架，這是在企圖走捷徑?！?/p>

　　Jones懷疑，人們對SIEM抱有過高期望“是為了掩飾檢測引擎配置中的失誤和不足”，以及組織無法根據(jù)威脅情報優(yōu)化設計防御措施的事實。“將問題歸咎于工具或框架是不明智的，”他補充道，“在我看來，這就像是將螺絲頭落歸咎于便宜沒好貨，但其實是由于安裝螺絲釘時使用的是鉗子而不是螺絲刀?！?/p>

　　未按照預期的方式使用框架？

　　Splunk杰出的安全策略師Ryan Kovar表示，大多數(shù)SIEMs策略涵蓋的ATT＆CK框架如此之少，他并不感到驚訝。不過話說回來，與SIEMs整合“本來就不是MITRE ATT&CK的最初目的”。

　　“很多人沒有意識到MITRE ATT&CK框架最初并不是為了解決SIEM問題而設計的，”Kovar說。相反，它是一個“認知思維模型”，“旨在幫助威脅情報專家有條不紊地將敵方行為映射到實證經驗上”。

　　事實上，框架中的一些TTP甚至無法通過SIEM解決方案來處理，Kovar說。例如，在該框架的偵察和資源開發(fā)類別下，有16種技術“幾乎不可能為其編寫SIEM警報”。

　　Kovar指出，映射到框架通常不是SIEM買家的主要動機。相反，“他們正在尋找能夠擴展、收集不同數(shù)據(jù)的工具，使他們能夠對已知的惡意事件發(fā)出警報，然后在受到SolarWinds等新穎方法攻擊時，可以查看數(shù)據(jù)以獲得最新情報?！彼a充說，只有更清楚地了解框架的真正目的，用戶才可能通過SIEM充分利用框架。

　　CardinalOps顧問Anton Chuvakin是Google Cloud的安全解決方案策略專家，也是Gartner前研究副總裁兼杰出分析師，他也認為SIEM“并不是要覆蓋整個ATT&CK框架--因為它包含了相當多的深度端點攻擊指標，這些指標最終可能不會記錄在日志中”，因此需要針對這些事件的端點檢測和響應解決方案。

　　即便如此，僅覆蓋16%與覆蓋100%框架的SIEMs規(guī)則之間還是具有天壤之別，84%的惡意技術被忽視了。

　　CardinalOps的Manor在接受采訪時對SC Media·表示，組織的困難并不在于如何有效調整規(guī)則匹配框架內容。首當其沖的問題是沒有制定足夠的規(guī)則和策略。

　　Manor提出了幾種理論來解釋為什么會出現(xiàn)這種情況，其中最主要的是公司缺乏對惡意TTP覆蓋有效性和全面性的了解。

　　“此外，管理和運營SIEM的復雜性往往會形成隱形天花板，限制了所能實現(xiàn)的覆蓋范圍?！彼f。第三，“隨著IT環(huán)境和威脅環(huán)境的不斷變化，安全工程師往往不知道需要做什么來應對最新的用例和威脅?！?/p>

　　非營利組織Mitre公司的MITRE ATT&CK負責人Adam Pennington表示，SIEM用戶面臨的另一個問題是，檢測已知的ATT&CK技術不僅需要SIEM技術，還需要額外的投資。

　　“最大的挑戰(zhàn)是實施傳感器來收集適當?shù)臄?shù)據(jù)源并將它們整合在一起，之后組織才會將數(shù)據(jù)源處理分析成為ATT&CK技術，”Pennington說。“隨著這些數(shù)據(jù)源和相關分析不斷增長，能夠被解決的ATT&CK技術數(shù)量自然也會增長?！?/p>

　　風險評估和威脅優(yōu)先級排序是關鍵

　　專家表示，組織可以采取一些措施確保SIEM能夠充分利用MITRE ATT&CK框架。

　　首先，Jones表示公司必須“客觀、公正地審視其保護態(tài)勢”。為此，他們必須首先識別出檢測TTP時需要關注的警示指標，然后確定發(fā)現(xiàn)這些指標所需的設備、系統(tǒng)和應用程序。最后，組織需要確定這些工具集是否能夠在檢測到攻擊時向SIEM發(fā)送警報。“我認為那些試圖實施MITRE ATT&CK的人可能沒有進行這種嚴格的分析”，Jones說。

　　接下來是威脅優(yōu)先級，這需要了解哪些SIEM規(guī)則對保護網(wǎng)絡資產最為關鍵，這樣你就可以根據(jù)自己環(huán)境的最大風險來定制策略。

　　Mitre公司的Pennington表示，CardinalOps的報告發(fā)現(xiàn)SIEM平均只覆蓋了16%的框架，“這低于我們經驗所見的水平”。但即使如此，他也承認，沒有任何一個SIEM能夠覆蓋100%的在野已知威脅。因此，必須對威脅進行優(yōu)先級排序。

　　“我們一直建議不要把重點放在完全覆蓋ATT&CK上，將來也將會繼續(xù)保持這個觀點，”Pennington說。“我們還建議組織在開始實施ATT&CK時，優(yōu)先考慮實施某些部分，而不是試圖一次性全部實施?！?/p>

　　Jones解釋說，對于一個組織來說，有些攻擊場景更有可能發(fā)生或產生影響?！鞍阎攸c放在這些場景上，并在此基礎上建立一個適當?shù)娘L險平衡實施方法。與其選擇對整個框架進行檢測并告警，我寧愿選擇99.999%最有可能發(fā)生的場景或最大影響力的場景相關的TTP。

　　”你比任何人都更清楚誰要害你，“Kovar說?！碑斎唬幸恍┥唐吠{（commodity threats）會影響到所有人，但除此之外，了解其威脅情報來源的最終用戶必須進行威脅優(yōu)先級排名?！?/p>

　　Kovar推薦基于風險的告警，通過這種方式，SIEM將向SOC分析師發(fā)出潛在威脅告警，但只有當異常事件與多個SIEM規(guī)則相匹配時，才會使其成為高風險事件--這就不太可能是誤報?！庇脩糇罱K會有許多不同的觸發(fā)和檢測規(guī)則，但風險分析框架提供了識別針對個人或資產高風險行動的能力，顯著降低了警報疲勞，“Kovar說。

　　但是，盡管用戶組織承擔主要責任，但供應商合作伙伴也可以在提高SIEM對ATT&CK框架的覆蓋率方面發(fā)揮作用。

　　”Splunk過去曾說過，供應商還可以更好的地將MITRE ATT&CK集成到他們的工具中去。“Kovar說?！蔽蚁嘈?，每個軟件供應商的目標都應該是客戶的工作變得更輕松。作為一個行業(yè)，我們應該努力在整個矩陣中實現(xiàn)更好的覆蓋，但同時也要意識到，我們永遠沒法涵蓋所有的技術?！?/p>

　　Pennington表示，Mitre也在采取措施降低ATT&CK框架對SIEM的負擔，并提到該組織創(chuàng)建并持續(xù)改進了網(wǎng)絡分析知識庫（Cyber Analytics Repository），”其中包含了組織可以在其SIEM中用來檢測ATT&CK技術的分析方法。“

　　”我們目前還在努力改進ATT&CK中的數(shù)據(jù)源，以便更好地描述組織需要為某項特定技術所需要收集的信息，“Pennington繼續(xù)說道，”利用這些資源可以幫助各方提高MITRE ATT&CK中所列技術的覆蓋率。“

　　事實上，Splunk的Kovar表示，Mitre正在通過MITRE Engenuity（一個與私營企業(yè)合作以加速創(chuàng)新的基金會）等舉措，”大踏步地幫助組織運營數(shù)據(jù)“。Engenuity提供的服務之一是ATT&CK評估，它評估廠商抵御已知敵方技術的能力，并公開發(fā)布結果供行業(yè)終端用戶審查。

　　Pennington表示，Mitre公司不僅致力于幫助用戶確定威脅的優(yōu)先級，還”努力更進一步了解敵方最常用的技術“。為此，Mitre公司啟動了一項名為ATT&CK Sitings的試點情報收集計劃，通過該計劃，ATT&CK用戶社區(qū)的成員可以相互報告對技術的了解。

　　當然，關于優(yōu)先級排序的最后決定權還是必須來自用戶組織。

　　”每個組織的威脅優(yōu)先次序各不相同，“Pennington說。”我們嘗試為人們制定策略，使他們可以采取不同的方法來確定ATT&CK技術的優(yōu)先級，但我們永遠無法告訴您哪種技術對您的組織最重要。“