行业新闻与博客

如何开始使用攻击框架

像 MITER ATT&CK 矩阵这样的框架不仅适用于大型企业,而且大小企业都可以使用它们来更好地保护自己并将攻击者归类。



MITER ATT&CK 威胁情报主管和 SANS 讲师 Katie Nickels 在伦敦举行的 SANS 网络威胁会议上发表讲话时说,人们经常听到 MITER ATT&CK 的消息,但不确定是什么,也不知道从何着手。



Nickels 拥有一家想象中的受攻击公司,表示他们经常会看到主动攻击,根据其战术,技术和程序(TTP)搜索详细信息并进行阻止,但这并不考虑攻击者的行为改变。



尼克尔斯说,缺乏框架常常会导致公司不同部门与安全团队之间的沟通和协作中断。她辩称:“您应该传达自己的置信水平,因为永远无法确定自己的安全性。”建议使用交通信号灯和颜色阴影系统来确定置信水平。“随着对手改变行为,您永远不会百分百自信。”



她建议整合团队,因为“每个团队还有另一个团队需要的东西–了解对手和战术,了解什么是威胁,以及能力和攻击策略。”



她还建议从哪里开始,即使是通过电子邮件,Excel 或票务系统进行。“在您的框架中叠加检测和威胁,已知哪些组使用此技术并将不同的团队映射到攻击。”



她说,首先要建立一个攻击和 TTP 库,因为有些人“在敌人在做新事物时急于建立自己的技术,因此要创建对您很重要的东西并创建自己的技术。”



您还可以使用开源技术,例如 OWASP, Atomic Threat Coverage 和 Unfetter。



她说:“ ​​ATT&CK 适用于每个人,我们经常听到小型团队是否可以使用它,如果您是一个团队,则可以着眼于行为或开源工具来收集数据。” “从小处开始,然后从那里进行迭代。不要让完美成为敌人,因为您将永远不会拥有完美的覆盖范围,因此要进行迭代和改进。”



尼克斯最后建议与他人合作与合作,并使用 ATT&CK 共享对手所做的数据。当被 Infosecurity 询问要采取的第一步时,Nickels 建议确定要解决的问题,并考虑拥有的数据并将其用于创建分析。



非常感谢您对亚洲注册的支持与信任!

禁止转载

需要帮助吗?联系我们的支持团队 在线客服