“右脑知攻、左脑知防”是 ATT&CK 随笔系列第一篇,如果上天能给我机会让读者记住一个关键词,我选择“假定失陷(assume breach)【1】”,如果非要为她做点什么,希望是检测“黑客行为(TTP)”。
这两个关键词是 ATT&CK 出现和被迅速认可的核心动因, ATT&CK 建立了“知攻”通向“知防”的桥梁,安全行业经由白帽子黑客为了“知防”而“知攻”,演进到基于“知攻”而帮助产品检测黑客行为,并最终达成共识 -- 基于 ATT&CK 知识库协同提升产品安全对抗能力。
这一篇我们将视角从安全产品进化切换到组织安全运营面临的挑战,通过认识ATT&CK 的体系、本质和内涵理解这个全新的模型和知识库也是破局的起点。
——瀚思科技 余凯
灵魂三问
福布斯专栏作者 Sam Curry 今年初在其文章《From Survive To Thrive In Cybersecurity》【2】(在网络安全行业,从幸存到兴盛)中提到,美国多数CISO/CSO任期仅为13个月左右,他说身边的朋友长也就18个月,短不到1年。而在去年 MITRE 公司为美国政府所做的《Cyber Risk Metrics Survey, Assessment, and Implementation Plan》【3】(网络安全风险度量调查、评估和实现规划)中也提到一些令人思考的细节:几乎所有组织的 CISO 都在挣扎如何向董事会沟通绩效,安全投入无法量化 ROI 数据,普遍的共识是安全产品不能不买但又无法证明物有所值,因此安全预算主要靠 CISO 的人品决定,而他们常常通过互相比较人均投入来衡量好坏。
图一、SANS 2018 安全运营挑战调查
在与国内客户的沟通中,每当我提到全球最大信息安全培训机构 SANS 列举的 SoC 安全运营【4】面临挑战时(上图一),都能收获增强的具有本国特色的共鸣:
作为安全主管,他们常在星空下反复三问灵魂:
- 当前的安全防御体系有效性如何,能否抵御未知的、甚至已知的黑客入侵攻击以避免数据泄露或业务受损。
- 每年几百万,甚至数千万的安全预算采购安全产品和服务,是否物有所值,带来了组织整体安全能力的持续提升,如何确定安全投资建设的优先级。
- 每年大型真人攻防对抗演练的确梳理了流程,明确了资产,修复了漏洞,锻炼了队伍,能否更进一步将这宝贵的实战经验用以持续提升安全防御体系,在“战时”运维人力和厂商安全服务回归“平时”后依然能有效应对“常态化”攻击。
作为安全运维,也总在焦虑中思考灵魂三问:
- 每天全球全国都在披露各种威胁和攻击,安全博客和白皮书中提到了大量的技术细节,哪些与本组织相关?常有老牌厂商或创业公司宣称开发了新一代革命性的产品,如何验证其核心