文/廠商新聞稿|2021-08-17發表

你正領導推動組織的資訊安全計畫,利用 SIEM (安全資訊與事件管理) 工具建立一個安全維運中心 (SOC),然而,在如何讓 SIEM 工具套用在適當的使用案例、以及採用什麼方法能快速偵測惡意行為這兩方面,你面臨了一些挑戰。

你體認到:只撒下一張大網,就希望能抓住試圖破壞組織資料和系統的威脅者是不夠的,最好是能將重點範圍縮小到真正產生成效的地方,以便快速偵測並減少安全威脅者鎖定您組織的停留或暴露時間。理論上不錯,但如何付諸實踐?

就像《易經》以 64 卦、384 爻描繪自然界千變萬化的情境、人生禍福的因應密碼,以現實世界為基礎的 MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge, 戰術、技術和共用知識庫) 框架,為評量組織的偵測策略有效性和部署其他安全技術的潛在影響,提供了破解複雜攻擊的密碼。2021 年四月最新推出的第 9 版框架,已有 14 種攻擊戰術 (tactics)、185 個技術和 367 個子技術,如此廣泛的威脅參考模型,愈來愈受到全世界安全維運團隊的歡迎。

隨著 MITRE ATT&CK 框架的興起,技術基金會 MITRE Engenuity 發起了一項評估計畫,以 ATT&CK 框架為基礎,從多個領域模擬駭客實際攻擊過程,對資安產品進行無偏見、客觀的技術能力評估。首輪模擬被認為具中國官方色彩的 APT3 組織的攻擊情境,在 2018 年進行並於年底公布結果,當時有 12 家資安廠商參加;第二輪以俄羅斯駭客組織 APT29 為對手,21 家端點資安產品評測結果在 2020 年 4 月公布。

2020 年開始的第三輪,以駭客組織 Carbanak 及 FIN7 為攻擊情境,這兩個組織藉由複雜的惡意軟體和技術入侵金融服務和飯店業者,過去五年中數百家被盜企業的損失超過十億美元。此次參與家數已達 29 家資安業者,評測結果在 2021 年 4 月公布。Micro Focus 的 SIEM 解決方案 ArcSight Enterprise Security Manager (ESM) 軟體首次參與了這項計畫。

ATT&CK 就是 ArcSight DNA

這次的參與,向業界表明 Micro Focus 產品先於市場看到此一趨勢,早將 ATT&CK 作為 ArcSight 的指導原則與 DNA,產品本身就符合 ATT&CK 的條件。Micro Focus 抱著不惜一切代價提高 ArcSight 偵測能力的決心,在四個月評測期間,研發團隊持續努力編寫了高品質、長期性、基於 TTP 的規則,總共新增約 100 條,並將所有這些規則都納入 ArcSight ESM 的預設內容 (Default Content) 中。

此輪評測運用 Carbanak 及 FIN7 共同採用的 66 個 ATT&CK 技術評估安全廠商產品的偵測效力。連續二天,紅隊 (red team) 利用自動化、最先進的逃脫 (evasion) 工具,如 PowerShell 自動化框架、Cobalt Strike 等,攻擊安全廠商保護的二家虛構企業。結果證明,身為 29 個成員中唯一純 SIEM 的參與者,即使沒有端點偵測與回應 (EDR) 方案,ArcSight 一樣提供良好的基準 (baseline) 保護。事實上,由於 ArcSight 能「看到」EDR 方案本質上無法看到的盲點,如 DNS 流量、網路流量、防火牆、Web 代理程式、電子郵件伺服器日誌等,還提供了優於 EDR 方案的可見度和偵測率 (請上網造訪 Micro Focus ArcSight 的 Carbanak + FIN7 評測摘要)。

建立 MITRE ATT&CK 矩陣以增強防禦態勢

既然有了共同的語言和密碼,安全團隊可以如何運用?我們建議企業從今天開始,首先確定其最有可能的威脅者所使用的最重要攻擊技術,比較這些威脅行為者的技術,並找出前五個共用的技術 (共同特徵),以此作為企業防禦進階攻擊技術的起點。然後,安全團隊繼續發展技術清單,確定應該關注的前 30 項技術。

在確定主要的進階威脅技術後,企業只需將其現有的漏洞防禦能力映射到 MITRE ATT&CK 矩陣上,就能清楚了解目前所防禦的攻擊技術是哪些,最大的防禦漏洞在哪裡。採用這套方法,不但可以真正提高 SOC 的安全維運成熟度,更能增強他們的防禦態勢。

用分層分析方案提高對距陣的涵蓋率範圍

有許多安全解決方案可以幫助 SOC 提高他們對 MITRE ATT&CK 中所述技術的涵蓋範圍。安全維運 (SecOps) 技術 (如 SIEM 解決方案的即時相關性功能),以及使用者與實體行為分析 (UEBA) 解決方案的非監督式機器學習,可以在提高涵蓋範圍和填補安全漏洞方面發揮重要作用。基於規則的關聯性功能,可以即時偵測到躲過核心防禦措施的威脅,並作為關鍵性的「最後一道防線」。機器學習解決方案則效率極高,因為它們可以用來識別使用者和實體所表現出來的任何異常行為。

儘管前述兩種技術採取不同的安全分析方法,但都對防止常見和危險的威脅技術很重要。雖然它們能解決的問題有一些重疊,但也有很多不同的地方。這就是為什麼我們建議採取「分層分析」(layered analytics) 解決方案實施上述兩種 (或儘可能更多的技術),以發揮每種技術的力量。這不僅能幫助企業最大限度地提高安全覆蓋率,還能減少組織的安全漏洞。我們相信,持續採用 MITRE ATT&CK 框架有助於網路安全團隊建立更好的偵測策略,最終則能建立更強大的防禦基礎架構。

Micro Focus MITRE ATT&CK

Micro Focus 致力於藉由 ArcSight ESM (SIEM) 和 ArcSight Intelligence (UEBA) 解決方案的分層安全分析,快速有效地偵測已知和未知威脅。

ArcSight ESM 提供關鍵的日誌管理功能和業界最強大的關聯引擎,讓安全維運團隊可以非常快速地識別和回應已知 (記錄) 的威脅,以提高 SOC 在日益重要的業務功能領域所達成的效率。

ArcSight Intelligence 涵蓋 MITRE ATT&CK 框架 75% 的技巧,可有效對抗多種可能造成高價值資訊竊取的威脅、詐騙以及其他眾多威脅。Intelligence 的 UEBA 採用超過 450 種機器學習模型導出組織中每位使用者與實體的行為基準 (baseline),並將偏離基準的行為視為潛在風險行為。目前機器學習模型精心對應到 ATT&CK 的 219 種技巧,有助於更加了解:

  • 客戶最常面對的攻擊技巧

  • ArcSight Intelligence 所提供的最有效涵蓋範圍

  • 如何利用異常狀況模式來協助企業防禦真正的威脅

(請上網造訪 Micro Focus ArcSight 功能映射 MITRE ATT&CK® 框架圖表)

 

Micro Focus ArcSight Carbanak + FIN7 評測摘要

 

Micro Focus ArcSight 功能映射 MITRE ATT&CK® 框架圖表

熱門新聞

Advertisement