在2022年的RSA大会上,专家们就MITRE ATT&CK框架进行了分享,重点讲述了如何将MITRE ATT & CK框架和安全控制框架结合,进而形成以应对具体威胁为导向的安全合规方法。
如何巧用ATT & CK框架
第一步,把MITRE ATT & CK 中的技术与NIST 800-53《信息系统和组织的安全和隐私控制》做映射。由于NIST 800-53是NIST(美国国家标准与技术研究院)信息安全的支撑性文件,存在很多其它的安全控制框架与其做映射,例如:NIST的《网络安全框架》和 CIS Controls 。
第二步,将具体的组织或恶意软件的行为与MITRE ATT & CK的技术做映射。企业在使用的时候,能够以具体威胁为导向,来找到最需要的安全控制手段。例如:金融企业优先关注以他们为目标的APT组织或者恶意软件家族,进而可以优先实现这些威胁对应的安全控制手段。
360 ATT & CK框架的应用实践
360知识云团队以MITRE ATT & CK框架与360多年攻防对抗的实战经验和数据为基础,基于知识图谱技术,持续将360各安全团队在实战攻防对抗中新增的攻击技战术、攻击活动杀伤链、攻击工具、攻击者组织信息、资产类型、数据源、检测规则、防御缓解方案、等保控制项等信息以及它们之间的关系都呈现在一个可视化图谱上,形成360独有的全景攻防知识图谱。
基于360全景攻防知识图谱,安全研究和运营人员可以看到实战攻防技战术全景,并建立攻击、防御和评估之间的“相互关联性”,实现攻防能力转化,为对抗已知威胁甚至未知威胁提供明确的行动指导,并通过统一攻防语言,帮助产品联动,厂商协同,形成对安全能力的衡量、评价和改进。
作为数字经济的守护者、数字安全的领导者,360政企安全集团基于17年攻防实战经验及300亿安全研发投入,打造了以云端安全大脑为核心的安全情报能力体系。将商业情报、开源情报、自研情报等多类型情报整合,可对十多个维度线索进行精细化提取、分离、关联、索引,并通过多源情报关联分析对安全攻击进行全面立体化溯源。该体系支持订阅360全景攻防知识图谱,并通过云地协同、能力下沉,为安全设备提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等百余种基础的安全数据及分析能力,可以满足各类安全设备的通用化威胁检测与分析需求。
未来,360全景攻防知识图谱将持续助力广大客户提升其抗攻击能力,实现自动化风险评估,进而实现实战定义数据,数据驱动安全,护航数字经济平稳健康发展。