美国网络安全和基础设施安全局 (CISA) 推出了 Decider,这是一款免费工具,可帮助网络安全社区更轻松地将威胁行为者的行为映射到 MITRE ATT&CK 框架。
Decider 与美国国土安全系统工程与开发研究所 (HSSEDI) 和 MITRE 合作创建,是一种 Web 应用程序,组织可以在其自己的基础设施中下载和托管,从而通过云将其提供给一系列用户。 它旨在简化准确有效地使用框架的繁重过程,并向给定网络安全组织中各个级别的分析师开放其使用。
ATT&CK:一个复杂的框架
ATT&CK 旨在 帮助安全分析师 确定攻击者试图实现什么以及他们在这个过程中走了多远(即,他们是否正在建立初始访问权限?横向移动?泄露数据?)它通过一组已知的网络攻击技术和定期确定和更新的子技术来实现这一点通过 MITRE,分析师可以根据他们在自己的环境中可能看到的内容进行映射。
目标是预测坏人的下一步行动并尽快停止攻击。 该框架还可以整合到各种安全工具中,它提供了一种标准语言,用于在事件响应和取证调查期间与同行和利益相关者进行交流。
这一切都很好,但问题是该框架非常复杂,例如,通常需要高水平的培训和专业知识才能选择正确的映射。 它也是 不断扩大,包括超越企业的攻击,将威胁纳入工业控制系统 (ICS) 和 移动景观,增加了复杂性。 总而言之,这是一个需要导航的庞大数据集——网络防御者在尝试使用它时往往会陷入困境。
“有很多可用的技术和子技术,它们可能会非常复杂和技术性很强,而且分析师常常不知所措,或者这会减慢他们的速度,因为他们不一定知道子技术是否-他们选择的技术是正确的。
“当你访问该网站时,面前有大量信息,很快就会让人望而生畏。 Decider 工具实际上只是将其转化为更通俗易懂的语言,供分析师使用,无论他们的专业水平如何,”他说。 “我们希望为我们的利益相关者提供更多关于如何使用该框架的指导,并使其可供初级分析师使用,例如,他们可以在半夜事件响应期间实时使用它而受益。”
在更广泛的层面上,CISA 和 MITRE 的倡导者认为,正如 Decider 所鼓励的那样,更广泛地使用 ATT&CK 将带来更好、更具可操作性的威胁情报——以及更好的网络防御成果。
“在 CISA,我们真的很想强调使用威胁情报来主动防御而不是被动防御,”Stanley 说。 “很长一段时间以来,该行业的目标一直是共享妥协指标 (IOC),这些指标具有非常广泛、非常有限的背景。”
相比之下,ATT&CK 将竞争环境向防御方的优势倾斜,他说,因为它是精细的,并为组织提供了一种了解与防御相关的特定威胁参与者剧本的方法 他们的特定环境.
“威胁参与者应该知道,一旦我们强调他们做了什么以及他们如何做并将其纳入框架,他们的剧本基本上就没用了,”他解释道。 “可以使用它的组织拥有更强大的安全态势,而不是像行业习惯那样盲目地阻止 IP 地址或哈希。 决策者让我们更接近那个。”
为分析师可访问性简化 ATT&CK
Decider 通过引导用户完成一系列关于对手活动的引导性问题,使 ATT&CK 映射更易于访问,目的是在框架中识别正确的战术、技术或子技术,以直观的方式适应事件。 根据 CISA 的说法,这些结果可以从那里“为一系列重要活动提供信息,例如分享调查结果、发现缓解措施和检测进一步的技术” 1月XNUMX日公告 的新工具。
除了预先填充的指导问题外,Decider 还使用任何安全分析师都可以访问的简化语言、用于发现相关技术的直观搜索和过滤功能,以及允许用户将结果导出为常用格式的“购物车”功能。 此外,组织可以根据自己的个人环境对其进行定制和调整,包括标记常见的错误映射。
MITRE 的 CTI 和 Adversary Emulation 部门经理 John Wunder 表示,希望 ATT&CK 最终成为网络安全组织的基础、后台工具,而不是像过去那样笨拙但有用的工具。
他说:“随着 ATT&CK 越来越多地进入幕后,我真的很想看到的一件事只是网络安全日常运营的一部分,而个人分析师只需较少关注它。” “这只是应该构成我们所做的事情和理解对手行为的思考的基础,而不是你每次进行事件响应时都必须花费大量时间思考的事情。 Decider 是朝着这个方向迈出的一大步。”
该工具还帮助 ATT&CK 的语法成为跨工具和安全平台的事实上的通用命名法,并用于共享威胁情报。
“一旦你看到 ATT&CK 在越来越多的生态系统中使用,并且每个人都使用共同的语言,那么 ATT&CK 的用户就会开始看到越来越多的人从将事物与框架对齐并使用它来更有效地关联工具等中受益”Wunder 说。 “希望通过像 Decider 这样更易于使用的东西,我们将开始看到越来越多的东西。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds
- :是
- $UP
- 1
- a
- 关于
- ACCESS
- 无障碍
- 根据
- 准确
- 横过
- 活动
- 活动
- 演员
- 增加
- 另外
- 地址
- 优点
- 机构
- 所有类型
- 分析人士
- 分析师
- 和
- 和基础设施
- 预料
- 应用领域
- 保健
- AS
- At
- 攻击
- 关注我们
- 可使用
- 背景
- 坏
- BE
- 因为
- 成为
- 相信
- 得益
- 更好
- 超越
- 大
- 位
- 盲目
- 闭塞
- 带来
- 广阔
- 更广泛
- by
- CAN
- 可以得到
- 首席
- CISA
- 接近
- 云端技术
- 相当常见
- 常用
- 沟通
- 社体的一部分
- 投诉
- 复杂
- 复杂
- 妥协
- 上下文
- 对比
- 控制
- 公司
- 可以
- 网络
- 网络攻击
- 网络安全
- 网络安全和基础设施安全局
- data
- 数据集
- 日复一日
- 捍卫者
- 国防
- 问题类型
- 设计
- 确定
- 决心
- 研发支持
- 发现
- 做
- 向下
- 下载
- ,我们将参加
- e
- 每
- 更容易
- 容易
- 生态系统
- 只
- 重点
- 鼓励
- 工程师
- 企业
- 环境中
- 本质上
- 建立
- 醚(ETH)
- 终于
- 所有的
- 每个人
- 专门知识
- 介绍
- 出口
- 事实上
- 远
- 部分
- 过滤
- 适合
- 针对
- 法医
- 申请
- 向前
- 基金会
- 骨架
- Free
- 止
- 前
- 功能
- 功能
- 进一步
- 得到
- 给
- 特定
- 给
- Go
- 目标
- 非常好
- 指南
- 有
- 有
- 帮助
- 帮助
- 高
- 近期亮点
- 家园
- 国土安全部
- 抱有希望
- 希望
- 主持人
- 创新中心
- How To
- HTTPS
- i
- ICS
- 确定
- 重要
- in
- 事件
- 事件响应
- 包含
- 合并
- 成立
- 指标
- 个人
- 产业
- 行业中的应用:
- 信息
- 基础设施
- 初始
- 例
- 研究所
- 仪器
- 房源搜索
- 直观的
- 调查
- 参与
- IP
- IP地址
- IT
- 它的
- John
- 类
- 知道
- 已知
- 语言
- 推出
- 铅
- 让
- Level
- 喜欢
- 有限
- 长
- 长时间
- 看
- 占地
- 爱
- 使
- 制作
- 制作
- 经理
- 地图
- 制图
- 最大宽度
- 可能
- 联络号码
- 更多
- 移动
- 移动
- 导航
- 一定
- 全新
- 下页
- of
- 经常
- on
- 一
- 打开
- 运营
- 反对
- 组织
- 组织
- 不堪重负
- 己
- 部分
- 合作伙伴
- 朴素
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 可能
- 主动
- 市场问题
- 过程
- 提供
- 放
- 有疑问吗?
- 很快
- 范围
- 宁
- RE
- 真实
- 实时的
- 而不管
- 相应
- 响应
- 成果
- s
- 说
- 搜索
- 部分
- 保安
- 安全系统
- 安全工具
- 看到
- 系列
- 集
- Share
- 共享
- 购物
- 购物车
- 应该
- 关闭
- 简
- 简化
- 减慢
- So
- 东西
- 来源
- 具体的
- 花
- 利益相关者
- 标准
- 赤柱
- 开始
- 步
- 强
- 这样
- 句法
- 产品
- 策略
- 采取
- 文案
- 技术
- 这
- 其
- 他们
- 事
- 事
- 思维
- 威胁
- 威胁者
- 威胁情报
- 威胁
- 通过
- 次
- 秘诀
- 至
- 工具
- 工具
- 最佳
- 产品培训
- 理解
- 理解
- us
- 使用
- 用户
- 各种
- 通过
- 步行
- 通缉
- 方法..
- 卷筒纸
- Web应用程序
- 您的网站
- 井
- 什么是
- 这
- WHO
- 更宽
- 将
- 中
- 将
- 您一站式解决方案
- 和风网