背景
随着云服务和移动互联网等新兴技术的发展,网络环境日益复杂,攻击技术手段也呈现出更新快、种类多、影响大的特点。当前,组织在安全事件监测方面普遍面临两大问题:一是如何全面覆盖攻击面;二是在告警多、人员不足的背景下如何找出真正需要处理的告警。
总体思路
针对攻击覆盖面问题,MITRE ATT&CK框架作为一个全面的攻击技术集合,是评价威胁覆盖率的有效工具。通过建立基于ATT&CK各攻击阶段的检测覆盖模型,组织可以量化评估其安全措施对现有技术的防御能力。
针对告警多、无法有效找出真实告警的问题,根据实践经验,告警中仅有一部分是需要处置的,需处置的告警通常由少量异常主机或少量攻击者导致。基于此特性,可利用SOC/SIEM技术,对全量告警进行分类,识别出关键告警,再将告警根据其攻击源或失陷主机的特征进行归并,从而将大量告警日志汇聚成少量以触发IP为核心的安全事件。
方法
(一)利用ATT&CK矩阵,量化评估组织对攻击技术的覆盖率
MITRE ATT&CK框架作为一个全面的攻击技术集合,为组织提供了一套评价威胁覆盖率的有效工具。通过建立基于ATT&CK各攻击技术的统计模型,评估组织内安全系统对攻击技术的覆盖,从而量化安全措施对现有攻击技术的防御能力。
下图为ATT&CK检测覆盖表,横向为攻击的各个阶段,纵向为组织的各类安全系统,通过分析系统对攻击阶段的覆盖,实现对攻击面的量化评估。