智慧應用 影音
電子時報行動版服務
活動+

企業如何正確運用MITRE ATT&CK測試架構在威脅防禦架構中

  • 蕭怡恩

趨勢科技(Trend Micro)在MITRE綜合評量中高居領先群。趨勢科技

MITRE提出的ATT&CK資安框架,近年深受各界重視;主要因為它讓威脅入侵的描述具有一致性標準,方便企業理解攻擊者的行為,從而實施攻防演練,以驗證現有資安工具能否帶來預期防禦成效。

隨著2021年模擬銀行與飯店受駭情境的評測報告公布,MITRE ATT&CK再次成為資安界的焦點話題。不過其實有很多企業客戶也表示困惑,每個廠商都用不同的角度說自己最厲害,到底MITRE的報告應該怎麼看解讀,對企業才是有意義的。為此,趨勢科技將第三堂LetsTalk Online線上系列課程的主題設定為「MITRE ATT&CK框架的正確了解及運用」。

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請掃描QRCode。

趨勢科技大型事業部業務代表李蕙宜指出,經常有客戶提問,MITRE報告中的曲線及圖表象徵何等意義?為何許多廠商宣稱是MITRE評測的第一名?在議程中的投票資料結果也顯示出,當駭客入侵時,僅有25%的人認為自己的公司具備及早偵測與發現駭客入侵的能力。

面對這些複雜資訊,還有難以捉模的駭客攻擊,趨勢科技將帶領企業解讀MITRE測試框架,且懂得運用MITRE評測報告來規劃資安策略。

以明確的共通語言  快速掌握駭客的TTP

趨勢科技全球產品總監Andrew Chen表示,趨勢科技在2019、2020年連續參加MITRE評測。2019年MITRE以俄羅斯網軍干擾美國總統大選的事件為場景,屬於國與國之間攻防,2020年以金融業、連鎖飯店的攻擊行為做為場景;兩次評比,趨勢科技都穩定名列前茅。

MITRE從2013年開始進行情資的收集、分析與定義,逐步形成ATT&CK框架(Framework),獲得眾多資安廠商及企業組織的青睞,只因它建立具體且明確的共通語言,清楚解譯各方資安情資,可大幅降低企業消化眾多情資的負擔,快速掌握駭客的攻擊流程,及攻擊事件隱含的Tactics(駭客攻擊想達成的目標)、Techniques(駭客為達成目標所採用的手法)及Procedures(完成特定Technique的攻擊 流程),也就是TTP。

談到MITRE框架常見應用情境,大致包含5項。一是「攻擊模擬」,如金融業會利用FIN6、FIN7執行攻擊演練,驗證當前防禦能力與資安管控是否到位。二是「發展或部署所需的行為偵測與分析技術」,針對帳密被偷、提權、橫向移動或資料外洩等某個特定目標,驗證現在的行為偵測與分析機制是否到位。三是「評估SOC成熟度」,評量目前SOC的成熟度,落在1~5分的哪一層級。

四是「防禦力落差評估」,企業歷經Patch或基礎建設升級等重大變動後,驗證先前定義的資安政策是否仍然到位。五是「執行紅隊演練」,因MITRE框架100%透明,開放所有可能的執行工法、細節流程,且非常容易使用,故許多企業或資安公司都會參酌ATT&CK框架來規劃紅隊演練。

提供高可信度的偵測  而非大量警訊轟炸

欲評估防護策略是否有效,可藉由「駭客的痛苦指數金字塔」為依據。Andrew Chen解釋,金字塔的下面三層,由下而上依序是較易獲取的Hashes、IP位址及Domain Names。

惟一旦進入Detection-Response世界,不論早期的EDR或現在的XDR,皆會開始收集Network Hosts/Artifacts,像是誰啟動哪個PowerShell、誰採用Sysinternals工具等等資訊,為此趨勢科技建構完整的Vision One平台,協助用戶分析Artifacts,以利整理出可能被駭客使用的工具來源及對應TTP,繼而墊高惡意攻擊門檻、提升駭客的痛苦指數。

最近完成的MITRE評測,共分Carbanak偵測、FIN7偵測及防禦三階段,共牽涉11個攻擊目標、65項攻擊手段;另關於Linux Portion部分,則有7個攻擊目標、12個攻擊手法。29家參與評量的廠商中,僅17家參加最終防禦階段的評測。

MITRE透過官網清楚透明地呈現所有產品設定、詳細描述及最終測試結果。企業可直接觀看網頁上分析報告,或進一步下載JSON File,做為交叉評比依據。

此次趨勢科技以Vision One為中央監控平台,模擬用戶SOC環境,並利用Apex One、Cloud One Workload Security及Network One做為遙測工具,依序管控端點、伺服器及網路三個Layer,最後再由Vision One進行關聯分析,產生XDR警訊。

Andrew Chen表示,MITRE網站呈現的完整結果,包含每家廠商的偵測次數、分析覆蓋範圍(含Enriched Telemetry)、遙測覆蓋範圍、能見度,據此總結廠商的表現;意在彰顯各廠在事件調查過程中,如何透過較廣的遙測範圍匯集豐富資料來源,如何藉由關聯分析為Raw Data加值,產生高可信度的情資,幫助用戶迅速掌握攻擊事件完整脈絡,而非發送大量疲勞轟炸的警訊。這些皆與趨勢科技Vision One的設計初衷完全吻合,得以在Visibility與Telemetry綜合評量中高居領先群。

總體來說,Vision One是Purpose-built平台,可支持SOC團隊,有效透過API或工法的整合,串聯Vision One、SIEM或其他工具,形成最完整的威脅防禦平台,實現跨越不同Layer的偵測及回應,達到真正的XDR。

如需MITRE Engenuity ATT&CK Evaluations測試Trend Micro Vision One的完整報告,請參閱活動網站