香港正版挂牌:安全运营中ATT&CK框架的实用性挑战与应对
2021-09-10
9月9日,由赛可达实验室,国家计算机病毒应急处理中心,国家网络与信息系统安全产品质量监督检验中心主办,香港正版挂牌协办的2021 ATT&CK技术与应用论坛在北京顺利召开。
会上,香港正版挂牌天枢实验室高级安全研究员张润滋发表了题为《安全运营中ATT&CK框架的实用性挑战与应对》的主题演讲,向与会来宾分享了香港正版挂牌对安全运营和ATT&CK框架的研究和思考。
香港正版挂牌天枢实验室高级安全研究员张润滋博士
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个攻击行为知识库和威胁建模模型,主要应用于评估攻防能力覆盖、APT攻击防护、威胁狩猎、威胁情报关联及攻击模拟等领域。自发布以来,引发工业界和研究界的热捧,已逐渐发展为网络威胁分析语境下的通用元语。ATT&CK以相对适当的知识抽象层次,充分覆盖威胁领域的技战术场景,给安全防御能力的匹配与对比提供了标杆和抓手,是其成功的关键。
张润滋表示,在ATT&CK的驱动下,越来越多的数据源采集能力成为企业威胁防护的标配。不过,对于安全运营团队来说,大规模、规范化的采集数据的接入只是起点,如何利用数据对抗愈发隐匿的高级威胁行为,持续降低企业和组织的风险才是关键所在。
从安全运营的实战来看,MITRE ATT&CK从数据规范性、能力抽象、语义增强等多个方面给威胁建模与分析领域带来新机遇。然而,ATT&CK也逃不过安全运营大规模数据分析挖掘的实用性命题。在实战化攻防的背景下,基于ATT&CK框架进行威胁分析、攻击溯源等任务,仍然面临采集与分析系统瓶颈、高覆盖率下的误报疲劳、数据收集隐私风险、知识一词多义与信息流依赖爆炸等多方面的技术瓶颈。
为应对以上挑战,提升ATT&CK在安全运营中的实用性与实战性,我们可以基于面向场景化的攻防对抗模拟,做好知识构建与富化,结合APT行为数据与威胁情报数据的融合分析,构建可用的、浓缩的ATT&CK数据资源池;通过分布式的处理分析架构缓解性能瓶颈与隐私风险;通过人机协同与可运营的分析手段,对数据中ATT&CK技战术细节进行统计与因果建模,支撑精准、富含语义的威胁行为分析。此外,提升检测分析能力的标准化水平,促进攻击技战术行为数据共享,结合技术开源,通过多种途径来打造威胁知识库与元语言技术生态,能够有效应对威胁建模技术在安全运营实战中的诸多挑战,提升APT等高级威胁防御、检测、溯源的技术水平。
