8月12日,ISC 2021云峰會安全技術實踐主題各分論壇重磅上線,“ATT&CK安全能力衡量論壇”作為該主題之下的重點分享方向,囊括了眾多行業內的專家、技術大牛、企業代表,聚焦ATT&CK安全能力建設,共同探討和交流ATT&CK框架以及其在安全能力衡量的實踐中的研究。
ATT&CK 由 MITRE 于 2015 年正式發布,作為近幾年最火的攻防框架,匯聚來自全球安全社區貢獻的基于歷史實戰的高級威脅攻擊戰術、技術,形成了針對黑客行為描述及相應防御構建的通用語言和知識圖譜。同時也為組織獲得超越合規,面向實戰而衡量,評價并持續改進安全能力提供了方法論基礎和行動指南。
(公安部第三研究所首席科學家金波)
公安部第三研究所首席科學家金波為論壇致辭時表示,近年來隨著云計算、大數據、物聯網、移動互聯等信息技術快速發展,網絡空間與物理世界深度融合。地緣政治背景下國家網絡空間沖突愈演愈烈,以竊取敏感數據、破壞關鍵基礎設施為目的的國家APT活動更加頻繁和活躍。網絡安全行業已經成為大國博弈的核心主戰場,背后是各國家級的攻防能力角逐。
面對這些問題,金波指出,近年來我國網絡安全行業快速進步,在攻堅模擬、紅藍對抗、威脅狩獵等領域都借鑒了ATT&CK框架。我們需要在攻防對抗中把國家的特色建立起來,從已有的技戰術和實踐原理打磨沉淀,形成我國特色網絡安全攻擊、防御、度量的知識圖譜體系。從而實現數據驅動自動化風險評估,數據驅動安全,從實戰攻防角度進一步提升網絡安全規劃、設計、建設、運營運維的能力,進一步促進行業發展與能力提升。
(360政企安全集團產品戰略規劃專家何帆)
“傳統網絡安全度量與規劃方法面臨一些挑戰,目前國內外網絡安全成熟度模型、框架,重在評價網絡安全能力有無缺失,缺少實戰化的評價與規劃。”360政企安全集團產品戰略規劃專家何帆在《網絡安全能力度量與規劃》的主題演講中指出。他強調,實戰是檢驗網絡安全的唯一標準,因此組織需要一種實戰驅動的網絡安全方法論來度量與規劃網絡安全能力。面向實戰的網絡安全度量與規劃方法,需要將實戰攻防的元素與傳統的網絡安全咨詢規劃的方法相結合,以攻擊者視角的知識圖譜、防御者視角的知識圖譜、能力視角的成熟度模型等三方面作為方法論基礎,并且確保三個元素的關聯性。圍繞這個方法論,360公司進行了實踐并構建了全景攻防知識圖譜、網絡安全防御框架以及網絡安全成熟度模型,自主開發并形成了關聯的三大關鍵元素。
(阿里巴巴辦公安全負責人皮特)
阿里巴巴辦公安全負責人皮特結合阿里巴巴的實踐,帶來了《阿里ATT&CK的“平凡”之路》的分享。他從ATT&CK在阿里巴巴如何落地、阿里巴巴如何做辦公安全以及如何理解辦公安全等方面展開闡述,并強調阿里巴巴對辦公安全有明確的目標,就是為阿里巴巴員工提供安全的辦公環境,最終保護阿里巴巴的商業資產安全。目前有許多場景網絡安全問題需要解決,這些問題倒逼企業在ATT&CK、檢測等方面進行革新。
(北京安天網絡安全技術有限公司高級安全研究員侯方勇)
北京安天網絡安全技術有限公司高級安全研究員侯方勇帶來了題為《網空威脅框架的新進展與防御矩陣》的主旨演講,并從威脅框架年度新進展、威脅框架到防御框架、構建全面有效的防御三方面展開介紹。他表示,安天構建了全面有效的防御框架,將這個框架定義在一個主維度上網絡安全功能和能力的聚合方式,將關鍵安全動作作為防御能力定義的核心,進行安全動作的定義與枚舉,將關鍵安全動作進行聚合,完成框架,將所有防御能力點轉化為一個形式化表達式。
(京東科技SDL負責人陜晨陽)
安全能力建設一直是政企單位持續在探索的領域,如何從攻防實戰出發進行安全能力建設更是一個熱門的研究方向。京東科技SDL負責人陜晨陽帶來了《以攻防實戰為契機的安全能力建設》的分享。他指出,企業安全建設面臨很多問題,復雜的業務場景,多變的攻擊手段,防不勝防,外部真實需求不斷增加,解決了從0到1的問題,面臨從1到100的問題。攻擊是點,防御是面,木桶理論進化為氣球理論,一個點沒做好就會有“漏氣”的風險。安全能力建設落地需要滿足天時地利人和,即攻擊判斷、立體防護安全產品以及安全運營應急處置。
(綠盟科技天元實驗室研究員高東)
綠盟科技天元實驗室研究員高東作了題為《ATT&CK VS. D3FEND》的主題演講。他介紹說,ATT&CK、D3FEND在幫助攻防雙方清晰梳理各自技戰術的同時,無疑又因知己知彼而對攻防雙方提出了更高的能力要求,也將攻防對抗提高到了一個新的層次。ATT&CK在日趨完善的背景下,D3FEND的出現是在其基礎上的補充,未來也同樣可能被采用ATT&CK的組織進行采用。而D3FEND是一種知識圖譜的呈現,數據源直接決定了知識庫的內容覆蓋情況和準確性。無論是ATT&CK、D3FEND,還是另一種Shield,三者相互關聯,旨在為防御者提供提高安全能力所需的信息,在組織的安全策略中都發揮著重要作用。
(360政企安全集團漏洞研究院網絡安全工程師趙艷濤)
360政企安全集團漏洞研究院網絡安全工程師趙艷濤帶來了《Mapping MITRE ATT&CK TO Microsoft Exchange Attack》的分享,他介紹說,這個議題主要是從ATT&CK框架的視角來系統性的梳理和剖析針對Microsoft Exchange的攻擊。這些梳理出來的針對Microsoft Exchange的技戰術,為防御方防護Exchange這樣一個至關重要的攻擊面提供了系統性的參考。
(360政企安全集團安全攻防研究員莫建平)
360政企安全集團安全攻防研究員莫建平作了題為《使用AI技術對未結構化的威脅分析報告進行TTP自動化提取》的主旨演講。他認為,TTP是攻擊技戰術及其實現過程。如果能夠高效地提取到攻擊者的TTP,交給防御方,那么就可以直擊攻擊者痛點。但是從分析報告里提取TTP面臨著諸多挑戰,諸如非結構化的信息、不同的描述方式等等。360知識云團隊在構建360全景攻防知識庫的過程中,采用AI技術對大量分析報告自動抽取TTP,大幅度提高了處理效率和準確性。
近年來,網絡安全持續的變化,攻防之間的博弈在不停的進化,傳統的網絡安全能力的度量已經越來越顯露出它的局限性,這就需要網安人有新的思考,新的網絡安全能力度量方式來應對最新的網絡安全趨勢。本場論壇內容在ISC 2021云峰會的正式上線,為業內帶來了思想火花的碰撞,搭建起了線上交流的平臺,為行業發展貢獻網安人的力量。
