将MITRE ATT&CK框架从计划转化为行动的10种方法

十年代的方式 主教法冠ATT&CK计划行动 创建一个threat-informed指南国防部负责您的组织 10Ta柯的方法在T&CK斜方计划行动 ATT&CK冠冕框架已经存在多年，但现在我们是 看到组织更多地采用它，因为他们意识到他们需要一个强大的 IT安全团队和更多的资金正在增加成熟的信息安全项目。 公司投资的不仅仅是预防技术。他们正在建立早期检测能力，以及建立事件 响应能力，同时摆脱以供应商为主导的方法 analytics-driven安全方法。 对于安全从业者和试图增加成熟度的组织 他们的安全计划，了解哪些策略和具体内容是关键技术用于来自不同威胁组织的网络攻击。 “在数字化的世界中，数据已成为安全团队的威胁检测战略规划和事件响应，以保护组织的 业务、客户和员工。” –MatthiasMaier，CISSP&CEH，安全布道者，Splunk 这种方法可帮助组织更好地管理网络风险，计划什么他们需要提供的数据，以防他们想要调查 安全事件并建立传统早期检测点基于预防的技术失败或过于严格组织的员工文化。 MITREATT&CK框架并不止于安全性 从业者，还有许多其他方式如何MITREATT&CK如何框架可用于提高可见性并传达如何 整个组织的安全工作是有效的-它甚至没有无论安全团队有多大。仍在寻找一个例子 MITREATT&CK框架看起来像？看看这个博客。 10种将MITREATT&CK从计划变为行动的方法|Splunk2 学习如何冠冕在T&CK框架 赋予不同的团队 在本电子书中，我们将探讨MITREATT&CK框架帮助组织的不同部门，包括： 1.安全运营主管建立预防、检测、响应和改进策略 2.安全内容开发人员/蓝色团队以简短的方式响应分析转变 3.SIEM建筑师验证覆盖率 4.SOC工程师向IT运营团队证明其数据需求 5.IT安全经理制定和记录风险决策基于日志和组件的报道 6.首席信息安全官证明投资的合理性，并根据资产关键性监控工作并制定路线图 7.SOC分析师开发基于风险的警报（RBA）模型 8.SIEM管理员确保数据载入和覆盖的需求 9.渗透测试人员/红色团队进行记录和沟通改进的努力 10.采购部门和IT主管定义战术事件响应的IT安全基线和需求 与第三方供应商的监控和可见性 10种将MITREATT&CK从计划变为行动的方法|Splunk3 1 授权主管安全操作 建立一个战略建立在预防、检测和响应。 借助MITREATT&CK框架中记录的技术，组织可以开始制定路线图，以超越预防和专注于检测、响应和改进流程。 西门子EAGLE数据中心安全团队正在遵循这种方法它建立了一个质量保证和持续改进流程。 他们的首要任务是防止一切可能的威胁。什么团队无法预防，它希望能够及早检测到威胁并获得警报在上面。从那时起，团队通过执行调查来做出响应，了解案例并调整检测或配置 如果可能的话，预防措施可以改善。 网络安全框架 NIST网络安全框架中记录了类似的概念 通过识别风险、保护、检测、响应和恢复。 “我们希望尽可能（多）地向前倾斜预防，所以我们不必每天处理它。 (当)我们不能前倾,我们的目标是检测充分和应对它(威胁) 适当的方式。知识(我们赢了) 日常业务进入改进状态，因此我们有它覆盖了(明天)”。 NIST网络安全框架核心功能，用于在最高级别组织基本的网络安全活动 这两个例子的基础都是建立在具有威胁的安全团队之上的——知情的防御心态和正确数据的可用性 可以询问他们有关其环境中正在发生的事情的问题。 ——奥利弗Kollenberg鹰数据中心,西门子公司(SiemensAG) 10种将MITREATT&CK从计划变为行动的方法|Splunk4 23 让安全内容 开发者/蓝色团队回应 用一个简短的分析转变。 授权SIEM建筑师来验证覆盖和测量采用。 MITREATT&CK框架允许蓝色团队和安全内容开发人员快速将新闻中看到的新网络攻击映射到使用的技术，确定数据需求并构建分析以涵盖在对手使用的战术的不同阶段进行检测。 “考虑检测操作，而不是攻击。您可能熟悉杀伤链或MITRE ATT&CK框架。如果你只是尝试检测传递攻击，您可能会倒霉 时间。如果您在交付阶段进行一些分析，一些在勘探阶段和C2 阶段,你可以检测操作。 我们最快的周转时间是两个小时的开发时间当我们了解攻击时检测攻击的新方法 一种新的行为——没有办法转向 供应商询问这个新事物正在发生，你能建造吗它进入产品，然后等待3个月。 ——乔纳森·佩吉特，英格兰银行安全防御中心负责人 对于SIEM架构师来说，找到多少钱的答案是具有挑战性的实际上由他们的SIEM覆盖，特别是当覆盖范围需要 由多个系统或系统组件定义 传递日志数据。需要定义是否产生了正确的操作在源设备记录的事件中。第二部分是确定是否 处于活动状态的SIEM内容正在寻找正确的东西。对于这些原因，MITREATT&CK框架是SIEM架构师的理想选择 地图SIEM覆盖。 ATT&CK中所有战术和技术的表格列表，同时突出显示Splunk中可用的分析。您可以突出显示处于活动状态、可用但非活动状态或需要数据的内容。颜色越深 存在的内容越多。来源：SplunkSecurityEssentials应用程序中的分析顾问（版本2.4） 10种将MITREATT&CK从计划变为行动的方法|Splunk5 45 授权SOC工程师来证明数据需要IT运作团队。 让IT安全经理来和文档的风险决策 日志和组件的报道。 通常，SOC工程师不是以下系统或应用程序的所有者：需要得到保护。确保SOC团队具有可见性 需求可能是一项艰巨的任务，尤其是传达正确的审核和存储的操作类型可能需要IT部门花费时间操作团队，用于查看日志记录级别和配置。 MITREATT&CK框架允许SOC工程师记录和 传达为什么他们需要来自某些活动的事件，例如 在Windows计算机或PowerShell上创建计划任务时伐木。它还允许IT运营团队决定以哪种方式收集 基于哪种技术最适合架构的数据，例如 使用sysmon配置从中收集本机终结点活动SwiftOnSecurity或通过已部署的端点保护解决方案。 MITREATT&CK框架允许IT安全经理进一步在组织的安全性中指定审核和日志记录指南控制。例如，这使SOC工程师能够更好地理解一个组织的接受的风险水平。 例如，ISO/IEC27002在控制指南中定义 事件日志记录部分：“事件日志应包括，如果相关：...系统活动;… MITREATT&CK框架允许IT安全经理定义一个控制例如：[10%]技术在[初始访问]策略中需要涵盖从事件收集到事件关联的范围。 10种将MITREATT&CK从计划变为行动的方法|Splunk6 67 授权CISOs加强安全状况,扩大监测 努力,证明新的投资。 授权SOC分析师开发 基于风险的提醒(RBA)模型。 ATT&CK框架不是一刀切的政策，而是 使CISO能够根据需求和风险构建安全态势组织简介。通过映射回特定风险，经验丰富 攻击、威胁组织和记录在案的APT威胁报告、安全性管理层可以识别其战略中的差距并制定路线图 加强本组织的安全机构，无论是 意味着增加人员配备、提高可见性或新的安全工具。这 ATT&CK框架允许CISO根据以下方面集中安全工作抽象层、应用程序关键性或日志记录级别。例如基本资产的漏洞可能由一组特定资产覆盖 的MITRE技术，而其他技术与 组织的需求—首席信息安全官可能会使SOC投入更多资金那些保护更有价值的资产的技术资源， 确保更频繁地收集和制作正确的数据在发生重大安全事件时集中可用。 随着SIEM内容开发人员构建和建立检测 对于MITREATT&CK技术，SOC分析师可能会不知所措生成的警报量。为了优先考虑MITREATT&CK技术，警报可以转换为信号，可以将风险值归因于 资产。根据所见技术和行为的类型，风险值 可以更高，或者根据所涉及的资产或用户，乘数可以添加用于计算。这允许SOC的抽象层 分析师不要被警觉疲劳所淹没，专注于资产 或风险评分最高的用户，并首先调查这些评分。 警报标题：RBA：过去7天内，系统=kutekitten跨度为5的ATT&ck策略阈值超出（>=3） 风险规则，9种ATT&CK策略和9种ATT&CK技术。风险评分总和：228。来源：SplunkEnterpriseSecurity 110将MITREATT&CK从计划变为行动的方法|Splunk7 89 授权SIEM管理员确保数据 新员工培训质量和覆盖需求。 渗透测试人员/红团队文档和沟通 改进的努力。 当安全操作时，SIEM管理员的工作变得更加容易团队和整个组织可以识别哪些数据、日志和 威胁搜寻、安全监控或事件所需的事件 调查。使用MITREATT&CK框架，SIEM管理员可以在入职过程中检查数据，以确保需求 满足SOC或是否需要其他工具。模拟威胁活动和异常是确保数据的附加机制 质量和覆盖。 “模拟对手并创建数据以验证你的检测机制的端到端工作。” ——员工安全战略家,Splunk戴夫Herrald 渗透测试人员和红队的任务是发现薄弱环节信息网络中的点。第一个问题大多数 团队询问关键漏洞在哪里。但同样重要的调查——经常被忽视——审查以下活动：导致开发，未被SOC检测到。总之 您是否与第三方渗透测试团队合作 或者您的内部SOC，MITREATT&CK框架是一个很好的方式规范沟通。一旦每个人都在使用相同的工作 框架，检查策略和 调查中使用的技术并确定洞的安全系统。 10种将MITREATT&CK从计划变为行动的方法|Splunk8 10 授权采购和它的领导人定义战术安全基线和需要事件监控和响应。 从第三方购买工具和服务是标准操作 IT和业务领导者的程序。对于这些供应商，确保他们的产品安全且满足合规性要求是首要考虑因素， 他们定期接受客户和监管机构的审计 以验证其安全实践。MITREATT&CK框架是一个详细定义需求并超越IT治理的良好层 框架，例如ISO27001或NIST-800-53证书。特别是在一个共担责任模型，其中信息安全团队 组织仍然对服务的某些部分负责，这是关键服务提供商允许自动收集审计跟踪，例如 以及确保正确的事件数据在审计跟踪中。定义独立于提供者的抽象层上的“正确的事件数据”架构、威胁演变或具有新功能的新操作系统攻击者可能利用将使它。 “在数字化的世界中，数据已成为安全团队的威胁检测战略规划和事件响应，以保护组织的 业务、客户和员工。” –MatthiasMaier，CISSP&CEH，安全布道者，Splunk 10种将MITREATT&CK从计划变为行动的方法|Splunk9 起步。 你有正确的数据吗？你问的问题是否正确？探索Splunk和搜索处理功能的功能 语言（SPL），并在Splunkbase上尝试SplunkSecurityEssentialsApp。 Splunk、Splunk>、Data-to-Everything、D2E和TurnDataIntoDo是SplunkInc.的商标和注册商标。在美国和其他国家。所有其他品牌名称、产品名称或商标均属于其各自的品牌名称、产品名称或商标的主人。©2020Splunk有限公司保留所有权利。 20-47401-10-从计划到行动ATT_CK03-11x8.5-EB