ATT&CK在企业SIEM实践中的现状与改进建议

现有的SIEM产品安全规则中,并没有包含MITRE ATT&CK框架的全部内容。事实上,ATT&CK在设计之初也并不是为了集成进SIEM产品。相比于考虑规则涵盖框架的完整性,企业更需要关注的其实是威胁的优先级,针对自身特定风险制定相应策略。

最近,一项针对十个组织的研究发现,平均而言,安全信息和事件管理解决方案(即SIEM)的规则和策略只涵盖了MITRE ATT&CK框架中16%的战术和技术。

SIEM解决方案通常被认为是安全运营的核心组成部分,它汇集了来自各种网络设备和服务的日志数据,并对其进行分析以检测威胁。

同时,MITRE ATT&CK框架涵盖了主要威胁行为者所使用的攻击方法,被认为是杰出的全球性知识库之一。因此,人们可能会认为SIEM与MITRE ATT&CK框架通常会保持一致。但据安全公司CardinalOps的最新报告显示,事实并非如此,该公司的发现表明:”普遍看来SIEM部署的功效确实很差”。

在这项研究中,CardinalOps研究了其十家客户的SIEM实践,除一家外,其余九家都是价值数十亿美元的跨国公司。这些客户使用的SIEM技术各不相同,包括Splunk、IBM、Qradar和Sumo Logic等供应商的解决方案。

CardinalOps首席技术官Yair Manor在该公司的对应报告中指出,在实践中,SIEM对ATT&CK框架的覆盖率仍然远远低于企业的期望水平,也远远低于SIEM和检测工具所能提供的服务。这就导致了SIEM用户“自认为拥有的安全性与他们实际获得的安全性之间存在着鸿沟”。

这并不是首个关注此类问题的研究型报告。在2020年9月McAfee和加州大学伯克利分校的一份报告中,45%的受访组织表示,他们在使用ATT&CK时,遇到了与安全产品缺乏互操作性的问题。此外,有43%的人表示他们很难将事件数据映射到已知的战术和技术上,还有36%的人表示,他们从SIEMs中收到了太多的误报。

报告还说,一些组织没有使用ATT&CK框架,因为它没有针对敌方的技术进行优先级排序,也没有分配权重。

专家表示,为确保SIEM能从ATT&CK框架中获得最大效益,用户需要具备对自身环境的理解能力以及对最大风险威胁的排序能力,这样他们就可以制定最能保护自己的规则。但这需要长期努力。

“对组织而言,最大的问题是其奢望某些工具集、应用程序、系统或框架能够作为解决一切问题、药到病除的万能灵丹,”亚利桑那州立大学信息安全专家兼实践教授Kim Jones说,”不亲自分析排序优先级并评估工具的适用性,而是采取固有的检测态势并生搬硬套一个框架这是在企图走捷径。”

Jones怀疑,人们对SIEM抱有过高期望”是为了掩饰检测引擎配置中的失误和不足”,以及组织无法根据威胁情报优化设计防御措施的事实。”将问题归咎于工具或框架是不明智的,”他补充道,“在我看来,这就像是将螺丝头脱落归咎于便宜没好货,但其实是由于安装螺丝钉时使用的是钳子而不是螺丝刀。”

未按照预期的方式使用框架?

Splunk杰出的安全策略师Ryan Kovar表示,大多数SIEMs策略涵盖的ATT&CK框架如此之少,他并不感到惊讶。不过话说回来,与SIEMs整合”本来就不是MITRE ATT&CK的最初目的”。

“很多人没有意识到MITRE ATT&CK框架最初并不是为了解决SIEM问题而设计的,”Kovar说。相反,它是一个”认知思维模型”,”旨在帮助威胁情报专家有条不紊地将敌方行为映射到实证经验上“。

事实上,框架中的一些TTP甚至无法通过SIEM解决方案来处理,Kovar说。例如,在该框架的侦察和资源开发类别下,有16种技术”几乎不可能为其编写SIEM警报”。

Kovar指出,映射到框架通常不是SIEM买家的主要动机。相反,”他们正在寻找能够扩展、收集不同数据的工具,使他们能够对已知的恶意事件发出警报,然后在受到SolarWinds等新颖方法攻击时,可以查看数据以获得最新情报。”他补充说,只有更清楚地了解框架的真正目的,用户才可能通过SIEM充分利用框架。

CardinalOps顾问Anton Chuvakin是Google Cloud的安全解决方案策略专家,也是Gartner前研究副总裁兼杰出分析师,他也认为SIEM”并不是要覆盖整个ATT&CK框架–因为它包含了相当多的深度端点攻击指标,这些指标最终可能不会记录在日志中”,因此需要针对这些事件的端点检测和响应解决方案。

即便如此,仅覆盖16%与覆盖100%框架的SIEMs规则之间还是具有天壤之别,84%的恶意技术被忽视了。

CardinalOps的Manor在接受采访时对SC Media·表示,组织的困难并不在于如何有效调整规则匹配框架内容。首当其冲的问题是没有制定足够的规则和策略。

Manor提出了几种理论来解释为什么会出现这种情况,其中最主要的是公司缺乏对恶意TTP覆盖有效性和全面性的了解

“此外,管理和运营SIEM的复杂性往往会形成隐形天花板,限制了所能实现的覆盖范围。”他说。第三,”随着IT环境和威胁环境的不断变化,安全工程师往往不知道需要做什么来应对最新的用例和威胁。”

非营利组织Mitre公司的MITRE ATT&CK负责人Adam Pennington表示,SIEM用户面临的另一个问题是,检测已知的ATT&CK技术不仅需要SIEM技术,还需要额外的投资

“最大的挑战是实施传感器来收集适当的数据源并将它们整合在一起,之后组织才会将数据源处理分析成为ATT&CK技术,”Pennington说。”随着这些数据源和相关分析不断增长,能够被解决的ATT&CK技术数量自然也会增长。” 

风险评估和威胁优先级排序是关键

专家表示,组织可以采取一些措施确保SIEM能够充分利用MITRE ATT&CK框架。

首先,Jones表示公司必须”客观、公正地审视其保护态势”。为此,他们必须首先识别出检测TTP时需要关注的警示指标,然后确定发现这些指标所需的设备、系统和应用程序。最后,组织需要确定这些工具集是否能够在检测到攻击时向SIEM发送警报。”我认为那些试图实施MITRE ATT&CK的人可能没有进行这种严格的分析”,Jones说。

接下来是威胁优先级,这需要了解哪些SIEM规则对保护网络资产最为关键,这样你就可以根据自己环境的最大风险来定制策略

Mitre公司的Pennington表示,CardinalOps的报告发现SIEM平均只覆盖了16%的框架,”这低于我们经验所见的水平”。但即使如此,他也承认,没有任何一个SIEM能够覆盖100%的在野已知威胁。因此,必须对威胁进行优先级排序。

“我们一直建议不要把重点放在完全覆盖ATT&CK上,将来也将会继续保持这个观点,”Pennington说。”我们还建议组织在开始实施ATT&CK时,优先考虑实施某些部分,而不是试图一次性全部实施。”

Jones解释说,对于一个组织来说,有些攻击场景更有可能发生或产生影响。”把重点放在这些场景上,并在此基础上建立一个适当的风险平衡实施方法。与其选择对整个框架进行检测并告警,我宁愿选择99.999%最有可能发生的场景或最大影响力的场景相关的TTP。

“你比任何人都更清楚谁要害你,”Kovar说。”当然,有一些商品威胁(commodity threats)会影响到所有人,但除此之外,了解其威胁情报来源的最终用户必须进行威胁优先级排名。”

Kovar推荐基于风险的告警,通过这种方式,SIEM将向SOC分析师发出潜在威胁告警,但只有当异常事件与多个SIEM规则相匹配时,才会使其成为高风险事件–这就不太可能是误报。”用户最终会有许多不同的触发和检测规则,但风险分析框架提供了识别针对个人或资产高风险行动的能力,显著降低了警报疲劳,”Kovar说。

但是,尽管用户组织承担主要责任,但供应商合作伙伴也可以在提高SIEM对ATT&CK框架的覆盖率方面发挥作用。

“Splunk过去曾说过,供应商还可以更好的地将MITRE ATT&CK集成到他们的工具中去。”Kovar说。”我相信,每个软件供应商的目标都应该是客户的工作变得更轻松。作为一个行业,我们应该努力在整个矩阵中实现更好的覆盖,但同时也要意识到,我们永远没法涵盖所有的技术。”

Pennington表示,Mitre也在采取措施降低ATT&CK框架对SIEM的负担,并提到该组织创建并持续改进了网络分析知识库(Cyber Analytics Repository),”其中包含了组织可以在其SIEM中用来检测ATT&CK技术的分析方法。”

“我们目前还在努力改进ATT&CK中的数据源,以便更好地描述组织需要为某项特定技术所需要收集的信息,”Pennington继续说道,”利用这些资源可以帮助各方提高MITRE ATT&CK中所列技术的覆盖率。”

事实上,Splunk的Kovar表示,Mitre正在通过MITRE Engenuity(一个与私营企业合作以加速创新的基金会)等举措,”大踏步地帮助组织运营数据”。Engenuity提供的服务之一是ATT&CK评估,它评估厂商抵御已知敌方技术的能力,并公开发布结果供行业终端用户审查。

Pennington表示,Mitre公司不仅致力于帮助用户确定威胁的优先级,还”努力更进一步了解敌方最常用的技术”。为此,Mitre公司启动了一项名为ATT&CK Sitings的试点情报收集计划,通过该计划,ATT&CK用户社区的成员可以相互报告对技术的了解

当然,关于优先级排序的最后决定权还是必须来自用户组织。

“每个组织的威胁优先次序各不相同,”Pennington说。”我们尝试为人们制定策略,使他们可以采取不同的方法来确定ATT&CK技术的优先级,但我们永远无法告诉您哪种技术对您的组织最重要。”

原文链接:https://www.scmagazine.com/home/security-news/network-security/siem-rules-ignore-bulk-of-mitre-attck-framework-placing-risk-burden-on-users/

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注