实施MITRE Att&ck框架，用于安全运营和事件响应

来源：https://community.ibm.com/community/user/security/blogs/rukhsar-khan/2019/01/16/operationalizing-the-mitre-attck-framework-for-sec?CommunityKey=d2f71e8c-108e-4652-b59c-29d61af7163e&Tab=

一、实施MITRE Att&ck框架，用于安全运营和事件响应

网络攻击者越来越难以发现和防御，而安全运营团队(如SOCs、CERTs和csirt)对这些威胁的适应还只是皮毛。无论组织规模或行业如何，有足够的证据表明，大多数组织在安全操作方面做得相当糟糕。

引人注目的入侵事件越来越多，尽管安全方面的预算很高，但组织目前还没有足够的能力来发现和应对入侵事件。不需要天才就能发现组织的防御生态系统中一定存在重要的漏洞。安全团队要么不知道，要么不准备接受这个事实。识别这些差距并采取正确的行动方针，可以作为实现更好的安全操作的第一步。

MITRE Att&ck框架是对这类挑战期待已久的答案。

到目前为止，网络安全行业缺乏一个整体的方法来检测和缓解先进的有针对性的攻击。为了开发一种全面的方法并向公众开放，总部位于美国的非营利组织MITRE花了多年时间分析全球备受关注的入侵事件，并将其归类为个别策略、技术和程序(TTPs)。因此，有三种矩阵得到了发展:前Att&ck矩阵、企业Att&ck矩阵和移动Att&ck矩阵。

企业Att&ck矩阵的11个战术是个体技术，从“初始访问”到“命令和控制”。每一种技术都描述了对抗的程序和方法。右上角显示企业的Att&ck矩阵如何映射到网络攻击链。它符合最后三个阶段，因此是一个破坏后的矩阵。还有一个Pre-Att&ck矩阵，可以映射到网络攻击链的前破坏阶段。

MITRE Att&ck框架是一个基于ttp的行为威胁模型。其目标是基于单个ttp检测和减轻对抗性行为，而不是基于破坏的检测和减轻指标。虽然攻击场景的行为没有完全改变，但破坏指标(IOCs)正在迅速变化，因此MITRE Att&ck完全集中于检测行为。

然而，至关重要的是要有优秀和强大的网络威胁情报(CTI)，以便在正确的基础上开始分析。这提供了真实的背景，并告知组织的战术和技术重点。下面的屏幕截图就是一个例子，它利用了Recorded Future的CTI。

在上面截屏中收集到的这个CTI与一个值为93.184.220.29的IP地址实体有关。术语实体相当于术语“指标”，这意味着我们开始调查的是IOC。

CTI还以散列、相关电子邮件地址和相关IP地址的形式将多个实体关联到此指示器。最重要的是，它发现了一个相关的威胁行动者——“APT 28”，一个著名的俄罗斯威胁组织。这个特定的CTI是可操作的，基于所提供的上下文。

基于所提供的威胁行动者，下一步是将CTI映射到MITRE Att&ck矩阵。在这个例子中，有两个相关的威胁行动者，即“AIVD”和“APT 28”。由于MITRE提供了已知的威胁行动者和他们作为Att&ck框架的一部分使用的ttp, ttp可以简单地根据威胁行动者的名称进行映射。

使用MITRE提供的免费工具(Att&ck导航器)，我们可以根据Att&ck三个矩阵中的一个创建所选威胁角色的所有ttp的可视化。在本例中，加载了企业的Att&ck矩阵。由于CTI提供“APT 28”作为一个相关的威胁行动者，并且这个特定的威胁行动者在Att&ck框架中可用，Att&ck导航器突出显示了这个组使用的所有ttp。

这个过程可以让分析人员了解威胁集团是如何运作的。通过右键单击TTP，它提供了相应技术细节的视图。从那里，一个新的浏览器标签被打开，并链接回MITRE网站。

https://mitre.github.io/attack-navigator/enterprise

MITRE网站上的一个TTP有一个唯一的id (T1091)，如下所示。它还提供了一些有关相应程序和方法的高级信息、野外的例子、检测和缓解建议，以及大量关于已知的全球高知名度的违反报告的详细参考资料。这是Att&ck框架的人类可读版本。

TTP提供的信息可以分为两个阶段:第一阶段分析和第二阶段分析。与人类可读的Att&ck矩阵相比，整个框架以机器码的形式提供，更精确地说是STIX2格式。STIX是一种有用的语言，可以通过将其组件分解为对象并提供这些对象之间的关系信息来描述威胁或事件。

MITRE框架上的一个未来的博客将突出显示STIX2格式的相关对象的可视化，以及如何自动化弹性平台中构件的丰富以提供更多的上下文。

要使MITRE Att&ck框架用于安全操作，需要健壮的CTI和MITRE矩阵提供的上下文。有了这个框架提供的信息，就可以使用IBM的QRadar和resilience等安全工具对攻击采取行动，从而形成对事件响应的整体方法。下一篇博客将描述安全分析师如何在这些平台中使用MITRE Att&ck框架。