随着数字化持续不断的发展,业务上云成为大势所趋。在此背景下,以攻击者视角出发,基于现实中发生的真实APT攻击事件所创建的MITRE ATT&CK对抗战术和技术知识库,最近几年炙手可热,而如何运用ATT&CK应对云上威胁挑战也渐渐成为焦点。
北京时间5月20日,来自CLTC伯克利分校的两名研究员在RSAC现场便针对这一问题作了《MITRE ATT&CK as aFramework for Cloud Threat Investigation》的演讲。演讲中他们以2020年关于MITRE ATT&CK 云矩阵在大中型企业中的实施情况为基础,与各界一同探讨了云时代网络威胁的应对之策。
当前,企业使用MITRE ATT&CK云矩阵大多数都用在以下四个目的:1、企业使用的安全产品和工具是否和实际的威胁有差距,如果有,找到在哪里;2、根据矩阵中的入侵者的技战术,制定安全策略;3、威胁建模;4、量化安全风险。
演讲者所在团队在2020年对美国、英国、澳大利亚的325家大中型公司进行了MITRE ATT&CK云矩阵运用的情况做了调查。被调查企业分布在各行各业,包括:信息科技、通讯、金融、零售、交通、制造业……其中不乏5000雇员以上的大规模的公司,1000雇员以上的中型企业。
但在实施过程中,大多数企业却都表示对自己的入侵检验测试能力缺乏信心。45%的企业反映实施过程中缺少和安全产品互动去深度理解安全产品的能力;43%反映把安全事件映射到云矩阵中的技战术是件困难的事情;36%反映会产生很多的误报。
而另一方面,演讲也透漏出从企业网络安全的角度来看,云安全是不可能独立存在的。随着大量企业部分业务的上云,入侵者会从传统通道打进企业内部,横向移动到云端获取信息活,核心网络渗透;抑或从云端开始向本地端的网段横移。在演讲中,研究员调查发现39% 的安全事件需要终端,网络流量,云端互相配合才能处理,这一个数字以后会慢慢的高。
不同模式为客户和云供应商带来了不同的职责,也带来了安全问题的复杂化。例如,IaaS这种模式云供应商只需要出示存储、网络、虚拟化的基础设施,其它的都可以让客户来负责;而SaaS模式云供应商会提供基础设施、操作系统、应用平台或中间件,客户负责功能、配置、数据等。
不可否认,MITRE ATT&CK框架的出现具备着划时代的意义,然而,如何有效将其落地、实施,借其标准化衡量当前云时代所面临的攻击者入侵,尚是一道难题。直面当今复杂的云安全挑战,采用协作方法来标准化跨云服务和本地基础架构迫在眉睫。
作为唯一参加MITRE ATT&CK评测的国内安全厂商,360政企安全集团基于15年攻防实战经验及230亿安全研发投入,积累了海量安全大数据、东半球白帽子军团、领先的漏洞挖掘能力、APT狩猎能力、云端公共服务能力,同时也构建出了自己的ATT&CK知识库。
与MITRE ATT&CK最大的不同是,360政企安全集团提出了以360安全大脑为核心的数字安全能力体系,通过多级安全大脑实现大连接、大数据、大计算和大协同,持续帮助国家、城市、行业、企事业等打造云网端一体化的纵深防御及运营体系。
其在东半球视角下,大量扩充了360视野内独特的技战术细节,同时创造性的增加了漏洞利用技战术知识库并持续更新,形成了360独有的全景攻防知识图谱。同时,还积极打造出APT安全知识图谱标准,将攻击行为规划范,并形成了中国通讯标准化协会行业标准草案。
当前在上述理念下,360本地安全大脑结合了360全景攻防矩阵和入侵者模拟系统,能够对企业的抗攻击能力进行相对有效的评估,自动的找到企业的薄弱点,并提供系统的改进建议。
大安全时代,安全被重新定义。传统基于产品、依靠单点、限于局部的安全方案,需要转向以能力为核心、强调整体设计和协同、基于安全大数据威胁情报和知识库的新时代。未来360政企安全将以15年安全技术积累,携手各界,一同推动应对云威胁的安全数字化建设,构筑云时代的安全转型基石。
