當(dāng)前的SIEM規(guī)則忽略了MITRE ATT&CK框架的大部分內(nèi)容，給用戶帶來了風(fēng)險(xiǎn)負(fù)擔(dān)。

　　最近，一項(xiàng)針對(duì)十個(gè)組織的研究發(fā)現(xiàn)，平均而言，安全信息和事件管理解決方案（即SIEM）的規(guī)則和策略只涵蓋了MITRE ATT&CK框架中16%的戰(zhàn)術(shù)和技術(shù)。

　　SIEM解決方案通常被認(rèn)為是安全運(yùn)營的核心組成部分，它匯集了來自各種網(wǎng)絡(luò)設(shè)備和服務(wù)的日志數(shù)據(jù)，并對(duì)其進(jìn)行分析以檢測(cè)威脅。

　　同時(shí)，MITRE ATT&CK框架涵蓋了主要威脅行為者所使用的攻擊方法，被認(rèn)為是杰出的全球性知識(shí)庫之一。因此，人們可能會(huì)認(rèn)為SIEM與MITRE ATT&CK框架通常會(huì)保持一致。但據(jù)安全公司CardinalOps的最新報(bào)告顯示，事實(shí)并非如此，該公司的發(fā)現(xiàn)表明：“普遍看來SIEM部署的功效確實(shí)很差”。

　　在這項(xiàng)研究中，CardinalOps研究了其十家客戶的SIEM實(shí)踐，除一家外，其余九家都是價(jià)值數(shù)十億美元的跨國公司。這些客戶使用的SIEM技術(shù)各不相同，包括Splunk、IBM、Qradar和Sumo Logic等供應(yīng)商的解決方案。

　　CardinalOps首席技術(shù)官Yair Manor在該公司的對(duì)應(yīng)報(bào)告中指出，在實(shí)踐中，SIEM對(duì)ATT&CK框架的覆蓋率仍然遠(yuǎn)遠(yuǎn)低于企業(yè)的期望水平，也遠(yuǎn)遠(yuǎn)低于SIEM和檢測(cè)工具所能提供的服務(wù)。這就導(dǎo)致了SIEM用戶“自認(rèn)為擁有的安全性與他們實(shí)際獲得的安全性之間存在著鴻溝”。

　　這并不是首個(gè)關(guān)注此類問題的研究型報(bào)告。在2020年9月McAfee和加州大學(xué)伯克利分校的一份報(bào)告中，45%的受訪組織表示，他們?cè)谑褂肁TT&CK時(shí)，遇到了與安全產(chǎn)品缺乏互操作性的問題。此外，有43％的人表示他們很難將事件數(shù)據(jù)映射到已知的戰(zhàn)術(shù)和技術(shù)上，還有36%的人表示，他們從SIEMs中收到了太多的誤報(bào)。

　　報(bào)告還說，一些組織沒有使用ATT&CK框架，因?yàn)樗鼪]有針對(duì)敵方的技術(shù)進(jìn)行優(yōu)先級(jí)排序，也沒有分配權(quán)重。

　　專家表示，為確保SIEM能從ATT&CK框架中獲得最大效益，用戶需要具備對(duì)自身環(huán)境的理解能力以及對(duì)最大風(fēng)險(xiǎn)威脅的排序能力，這樣他們就可以制定最能保護(hù)自己的規(guī)則。但這需要長期努力。

　　“對(duì)組織而言，最大的問題是其奢望某些工具集、應(yīng)用程序、系統(tǒng)或框架能夠作為解決一切問題、藥到病除的萬能靈丹，”亞利桑那州立大學(xué)信息安全專家兼實(shí)踐教授Kim Jones說，“不親自分析排序優(yōu)先級(jí)并評(píng)估工具的適用性，而是采取固有的檢測(cè)態(tài)勢(shì)并生搬硬套一個(gè)框架，這是在企圖走捷徑?！?/p>

　　Jones懷疑，人們對(duì)SIEM抱有過高期望“是為了掩飾檢測(cè)引擎配置中的失誤和不足”，以及組織無法根據(jù)威脅情報(bào)優(yōu)化設(shè)計(jì)防御措施的事實(shí)?！皩栴}歸咎于工具或框架是不明智的，”他補(bǔ)充道，“在我看來，這就像是將螺絲頭落歸咎于便宜沒好貨，但其實(shí)是由于安裝螺絲釘時(shí)使用的是鉗子而不是螺絲刀。”

　　未按照預(yù)期的方式使用框架？

　　Splunk杰出的安全策略師Ryan Kovar表示，大多數(shù)SIEMs策略涵蓋的ATT＆CK框架如此之少，他并不感到驚訝。不過話說回來，與SIEMs整合“本來就不是MITRE ATT&CK的最初目的”。

　　“很多人沒有意識(shí)到MITRE ATT&CK框架最初并不是為了解決SIEM問題而設(shè)計(jì)的，”Kovar說。相反，它是一個(gè)“認(rèn)知思維模型”，“旨在幫助威脅情報(bào)專家有條不紊地將敵方行為映射到實(shí)證經(jīng)驗(yàn)上”。

　　事實(shí)上，框架中的一些TTP甚至無法通過SIEM解決方案來處理，Kovar說。例如，在該框架的偵察和資源開發(fā)類別下，有16種技術(shù)“幾乎不可能為其編寫SIEM警報(bào)”。

　　Kovar指出，映射到框架通常不是SIEM買家的主要?jiǎng)訖C(jī)。相反，“他們正在尋找能夠擴(kuò)展、收集不同數(shù)據(jù)的工具，使他們能夠?qū)σ阎膼阂馐录l(fā)出警報(bào)，然后在受到SolarWinds等新穎方法攻擊時(shí)，可以查看數(shù)據(jù)以獲得最新情報(bào)。”他補(bǔ)充說，只有更清楚地了解框架的真正目的，用戶才可能通過SIEM充分利用框架。

　　CardinalOps顧問Anton Chuvakin是Google Cloud的安全解決方案策略專家，也是Gartner前研究副總裁兼杰出分析師，他也認(rèn)為SIEM“并不是要覆蓋整個(gè)ATT&CK框架--因?yàn)樗讼喈?dāng)多的深度端點(diǎn)攻擊指標(biāo)，這些指標(biāo)最終可能不會(huì)記錄在日志中”，因此需要針對(duì)這些事件的端點(diǎn)檢測(cè)和響應(yīng)解決方案。

　　即便如此，僅覆蓋16%與覆蓋100%框架的SIEMs規(guī)則之間還是具有天壤之別，84%的惡意技術(shù)被忽視了。

　　CardinalOps的Manor在接受采訪時(shí)對(duì)SC Media·表示，組織的困難并不在于如何有效調(diào)整規(guī)則匹配框架內(nèi)容。首當(dāng)其沖的問題是沒有制定足夠的規(guī)則和策略。

　　Manor提出了幾種理論來解釋為什么會(huì)出現(xiàn)這種情況，其中最主要的是公司缺乏對(duì)惡意TTP覆蓋有效性和全面性的了解。

　　“此外，管理和運(yùn)營SIEM的復(fù)雜性往往會(huì)形成隱形天花板，限制了所能實(shí)現(xiàn)的覆蓋范圍?！彼f。第三，“隨著IT環(huán)境和威脅環(huán)境的不斷變化，安全工程師往往不知道需要做什么來應(yīng)對(duì)最新的用例和威脅。”

　　非營利組織Mitre公司的MITRE ATT&CK負(fù)責(zé)人Adam Pennington表示，SIEM用戶面臨的另一個(gè)問題是，檢測(cè)已知的ATT&CK技術(shù)不僅需要SIEM技術(shù)，還需要額外的投資。

　　“最大的挑戰(zhàn)是實(shí)施傳感器來收集適當(dāng)?shù)臄?shù)據(jù)源并將它們整合在一起，之后組織才會(huì)將數(shù)據(jù)源處理分析成為ATT&CK技術(shù)，”Pennington說?！半S著這些數(shù)據(jù)源和相關(guān)分析不斷增長，能夠被解決的ATT&CK技術(shù)數(shù)量自然也會(huì)增長。”

　　風(fēng)險(xiǎn)評(píng)估和威脅優(yōu)先級(jí)排序是關(guān)鍵

　　專家表示，組織可以采取一些措施確保SIEM能夠充分利用MITRE ATT&CK框架。

　　首先，Jones表示公司必須“客觀、公正地審視其保護(hù)態(tài)勢(shì)”。為此，他們必須首先識(shí)別出檢測(cè)TTP時(shí)需要關(guān)注的警示指標(biāo)，然后確定發(fā)現(xiàn)這些指標(biāo)所需的設(shè)備、系統(tǒng)和應(yīng)用程序。最后，組織需要確定這些工具集是否能夠在檢測(cè)到攻擊時(shí)向SIEM發(fā)送警報(bào)。“我認(rèn)為那些試圖實(shí)施MITRE ATT&CK的人可能沒有進(jìn)行這種嚴(yán)格的分析”，Jones說。

　　接下來是威脅優(yōu)先級(jí)，這需要了解哪些SIEM規(guī)則對(duì)保護(hù)網(wǎng)絡(luò)資產(chǎn)最為關(guān)鍵，這樣你就可以根據(jù)自己環(huán)境的最大風(fēng)險(xiǎn)來定制策略。

　　Mitre公司的Pennington表示，CardinalOps的報(bào)告發(fā)現(xiàn)SIEM平均只覆蓋了16%的框架，“這低于我們經(jīng)驗(yàn)所見的水平”。但即使如此，他也承認(rèn)，沒有任何一個(gè)SIEM能夠覆蓋100%的在野已知威脅。因此，必須對(duì)威脅進(jìn)行優(yōu)先級(jí)排序。

　　“我們一直建議不要把重點(diǎn)放在完全覆蓋ATT&CK上，將來也將會(huì)繼續(xù)保持這個(gè)觀點(diǎn)，”Pennington說?！拔覀冞€建議組織在開始實(shí)施ATT&CK時(shí)，優(yōu)先考慮實(shí)施某些部分，而不是試圖一次性全部實(shí)施?！?/p>

　　Jones解釋說，對(duì)于一個(gè)組織來說，有些攻擊場景更有可能發(fā)生或產(chǎn)生影響?！鞍阎攸c(diǎn)放在這些場景上，并在此基礎(chǔ)上建立一個(gè)適當(dāng)?shù)娘L(fēng)險(xiǎn)平衡實(shí)施方法。與其選擇對(duì)整個(gè)框架進(jìn)行檢測(cè)并告警，我寧愿選擇99.999%最有可能發(fā)生的場景或最大影響力的場景相關(guān)的TTP。

　　”你比任何人都更清楚誰要害你，“Kovar說?！碑?dāng)然，有一些商品威脅（commodity threats）會(huì)影響到所有人，但除此之外，了解其威脅情報(bào)來源的最終用戶必須進(jìn)行威脅優(yōu)先級(jí)排名?！?/p>

　　Kovar推薦基于風(fēng)險(xiǎn)的告警，通過這種方式，SIEM將向SOC分析師發(fā)出潛在威脅告警，但只有當(dāng)異常事件與多個(gè)SIEM規(guī)則相匹配時(shí)，才會(huì)使其成為高風(fēng)險(xiǎn)事件--這就不太可能是誤報(bào)?！庇脩糇罱K會(huì)有許多不同的觸發(fā)和檢測(cè)規(guī)則，但風(fēng)險(xiǎn)分析框架提供了識(shí)別針對(duì)個(gè)人或資產(chǎn)高風(fēng)險(xiǎn)行動(dòng)的能力，顯著降低了警報(bào)疲勞，“Kovar說。

　　但是，盡管用戶組織承擔(dān)主要責(zé)任，但供應(yīng)商合作伙伴也可以在提高SIEM對(duì)ATT&CK框架的覆蓋率方面發(fā)揮作用。

　　”Splunk過去曾說過，供應(yīng)商還可以更好的地將MITRE ATT&CK集成到他們的工具中去?！癒ovar說?！蔽蚁嘈?，每個(gè)軟件供應(yīng)商的目標(biāo)都應(yīng)該是客戶的工作變得更輕松。作為一個(gè)行業(yè)，我們應(yīng)該努力在整個(gè)矩陣中實(shí)現(xiàn)更好的覆蓋，但同時(shí)也要意識(shí)到，我們永遠(yuǎn)沒法涵蓋所有的技術(shù)。“

　　Pennington表示，Mitre也在采取措施降低ATT&CK框架對(duì)SIEM的負(fù)擔(dān)，并提到該組織創(chuàng)建并持續(xù)改進(jìn)了網(wǎng)絡(luò)分析知識(shí)庫（Cyber Analytics Repository），”其中包含了組織可以在其SIEM中用來檢測(cè)ATT&CK技術(shù)的分析方法。“

　　”我們目前還在努力改進(jìn)ATT&CK中的數(shù)據(jù)源，以便更好地描述組織需要為某項(xiàng)特定技術(shù)所需要收集的信息，“Pennington繼續(xù)說道，”利用這些資源可以幫助各方提高M(jìn)ITRE ATT&CK中所列技術(shù)的覆蓋率?！?/p>

　　事實(shí)上，Splunk的Kovar表示，Mitre正在通過MITRE Engenuity（一個(gè)與私營企業(yè)合作以加速創(chuàng)新的基金會(huì)）等舉措，”大踏步地幫助組織運(yùn)營數(shù)據(jù)“。Engenuity提供的服務(wù)之一是ATT&CK評(píng)估，它評(píng)估廠商抵御已知敵方技術(shù)的能力，并公開發(fā)布結(jié)果供行業(yè)終端用戶審查。

　　Pennington表示，Mitre公司不僅致力于幫助用戶確定威脅的優(yōu)先級(jí)，還”努力更進(jìn)一步了解敵方最常用的技術(shù)“。為此，Mitre公司啟動(dòng)了一項(xiàng)名為ATT&CK Sitings的試點(diǎn)情報(bào)收集計(jì)劃，通過該計(jì)劃，ATT&CK用戶社區(qū)的成員可以相互報(bào)告對(duì)技術(shù)的了解。

　　當(dāng)然，關(guān)于優(yōu)先級(jí)排序的最后決定權(quán)還是必須來自用戶組織。

　　”每個(gè)組織的威脅優(yōu)先次序各不相同，“Pennington說?！蔽覀儑L試為人們制定策略，使他們可以采取不同的方法來確定ATT&CK技術(shù)的優(yōu)先級(jí)，但我們永遠(yuǎn)無法告訴您哪種技術(shù)對(duì)您的組織最重要。“