企业如何正确运用MITRE ATT&CK测试架构在威胁防御架构中

趋势科技(Trend Micro)在MITRE综合评量中高居领先群。趋势科技

MITRE提出的ATT&CK网安框架，近年深受各界重视；主要因为它让威胁入侵的描述具有一致性标准，方便企业理解攻击者的行为，从而实施攻防演练，以验证现有网安工具能否带来预期防御成效。

随着2021年模拟银行与饭店受骇情境的评测报告公布，MITRE ATT&CK再次成为网安界的焦点话题。不过其实有很多企业客户也表示困惑，每个厂商都用不同的角度说自己最厉害，到底MITRE的报告应该怎麽看解读，对企业才是有意义的。为此，趋势科技将第三堂LetsTalk Online在线系列课程的主题设定为「MITRE ATT&CK框架的正确了解及运用」。

趋势科技大型事业部业务代表李蕙宜指出，经常有客户提问，MITRE报告中的曲线及图表象徵何等意义？为何许多厂商宣称是MITRE评测的第一名？在议程中的投票数据结果也显示出，当黑客入侵时，仅有25%的人认为自己的公司具备及早侦测与发现黑客入侵的能力。

面对这些复杂信息，还有难以捉模的黑客攻击，趋势科技将带领企业解读MITRE测试框架，且懂得运用MITRE评测报告来规划网安策略。

以明确的共通语言  快速掌握黑客的TTP

趋势科技全球产品总监Andrew Chen表示，趋势科技在2019、2020年连续参加MITRE评测。2019年MITRE以俄罗斯网军干扰美国总统大选的事件为场景，属于国与国之间攻防，2020年以金融业、连锁饭店的攻击行为做为场景；两次评比，趋势科技都稳定名列前茅。

MITRE从2013年开始进行情资的收集、分析与定义，逐步形成ATT&CK框架(Framework)，获得众多网安厂商及企业组织的青睐，只因它建立具体且明确的共通语言，清楚解译各方网安情资，可大幅降低企业消化众多情资的负担，快速掌握黑客的攻击流程，及攻击事件隐含的Tactics(黑客攻击想达成的目标)、Techniques(黑客为达成目标所采用的手法)及Procedures(完成特定Technique的攻击 流程)，也就是TTP。

谈到MITRE框架常见应用情境，大致包含5项。一是「攻击模拟」，如金融业会利用FIN6、FIN7执行攻击演练，验证当前防御能力与网安管控是否到位。二是「发展或部署所需的行为侦测与分析技术」，针对帐密被偷、提权、横向移动或数据外泄等某个特定目标，验证现在的行为侦测与分析机制是否到位。三是「评估SOC成熟度」，评量目前SOC的成熟度，落在1~5分的哪一层级。

四是「防御力落差评估」，企业历经Patch或基础建设升级等重大变动后，验证先前定义的网安政策是否仍然到位。五是「执行红队演练」，因MITRE框架100%透明，开放所有可能的执行工法、细节流程，且非常容易使用，故许多企业或网安公司都会参酌ATT&CK框架来规划红队演练。

提供高可信度的侦测  而非大量警讯轰炸

欲评估防护策略是否有效，可藉由「黑客的痛苦指数金字塔」为依据。Andrew Chen解释，金字塔的下面三层，由下而上依序是较易获取的Hashes、IP位址及Domain Names。

惟一旦进入Detection-Response世界，不论早期的EDR或现在的XDR，皆会开始收集Network Hosts/Artifacts，像是谁启动哪个PowerShell、谁采用Sysinternals工具等等信息，为此趋势科技建构完整的Vision One平台，协助用户分析Artifacts，以利整理出可能被黑客使用的工具来源及对应TTP，继而垫高恶意攻击门槛、提升黑客的痛苦指数。

最近完成的MITRE评测，共分Carbanak侦测、FIN7侦测及防御三阶段，共牵涉11个攻击目标、65项攻击手段；另关于Linux Portion部分，则有7个攻击目标、12个攻击手法。29家参与评量的厂商中，仅17家参加最终防御阶段的评测。

MITRE透过官网清楚透明地呈现所有产品设定、详细描述及最终测试结果。企业可直接观看网页上分析报告，或进一步下载JSON File，做为交叉评比依据。

此次趋势科技以Vision One为中央监控平台，模拟用户SOC环境，并利用Apex One、Cloud One Workload Security及Network One做为遥测工具，依序管控端点、服务器及网络三个Layer，最后再由Vision One进行关联分析，产生XDR警讯。

Andrew Chen表示，MITRE网站呈现的完整结果，包含每家厂商的侦测次数、分析覆盖范围(含Enriched Telemetry)、遥测覆盖范围、能见度，据此总结厂商的表现；意在彰显各厂在事件调查过程中，如何透过较广的遥测范围汇集丰富数据来源，如何藉由关联分析为Raw Data加值，产生高可信度的情资，帮助用户迅速掌握攻击事件完整脉络，而非发送大量疲劳轰炸的警讯。这些皆与趋势科技Vision One的设计初衷完全吻合，得以在Visibility与Telemetry综合评量中高居领先群。

总体来说，Vision One是Purpose-built平台，可支持SOC团队，有效透过API或工法的整合，串联Vision One、SIEM或其他工具，形成最完整的威胁防御平台，实现跨越不同Layer的侦测及回应，达到真正的XDR。

如需MITRE Engenuity ATT&CK Evaluations测试Trend Micro Vision One的完整报告，请参阅活动网站。