优化网络安全防御

关键要点

• 网络安全团队面临资源有限的问题，尤其是在快速变化的网络威胁环境下。
• 通过采用基于威胁的信息防御策略，组织能够更好地集中有限资源，抵御已知威胁。
• MITRE ATT&CK 框架提供了一种可靠的方法，让安全团队了解敌对行为者的战术、技术和程序（TTPs）。
• 利用 ATT&CK 导航器，安全团队可以有效识别和防范攻击技术。

在网络安全领域，没有任何一个安全团队拥有无穷的资源来抵御网络攻击者。面对时间、精力和预算的限制，以及快速演变的网络威胁环境，许多组织无法获得足够的可视化信息，以评估其安全控制的有效性，从而成功抵御攻击者。因此，网络安全团队需要一种实用且简单的方法，以全面了解公司安全性能。为了实现这一目标，安全团队必须优化资产的使用方向。我们可以通过采用基于威胁情报的防御方法来实现这一点。

这种针对的方法根植于一个信念：组织必须利用有限的资源来防御针对自己的已知威胁。但是，企业如何知道哪些威胁行为者正对他们的组织发起攻击呢？这就是的价值所在。自2015年正式发布以来，这一全球可用的已知敌对战术、技术和程序（TTPs）库为公共和私营部门的组织提供了一个可靠的框架，从而能够塑造他们的防御策略。MITRE公司是一个联邦资助的非营利研究和发展组织，致力于公共利益。MITRE 开发的所有知识产权和工具均可免费使用。

让我们探讨如何帮助安全团队从偶然应对网络安全指南转变为针对已知威胁的有效防御。

了解已知敌对行为者使用的 TTPs

大多数组织知道哪些威胁团体最有可能针对他们。然而，往往他们对这些攻击者使用的具体战术和技术缺乏清晰的认识，因此无法真实地防止入侵。这正是利用 MITRE
ATT&CK 数据的价值所在。虽然绝不能忽视那些不太可能的攻击者所使用的攻击技术，但 MITRE ATT&CK
框架使安全团队能够通过优先关注已知敌对者使用的技术，从而更有效地集中努力。

安全团队可以使用 ATT&CK 导航器轻松发现并记录某些发现的技术的重复率，以及红队、蓝队和紫队准备的改进领域。用户只需在网页浏览器中打开 ATT&CK导航器，点击“搜索和多选”按钮，选择“威胁团体”中的相关威胁行为者。所选威胁行为者所使用的技术将在易于理解的仪表板上高亮显示。安全团队发现，针对其组织的威胁行为者所使用的攻击技术通常只是
MITRE 所追踪的所有技术的一个小子集。

采取专业的防御措施

确立对可能的敌对者所使用攻击技术的理解后，现在是时候学习安全团队必须建立哪些控制措施来检测和阻止这些方法了。ATT&CK
导航器也可以帮助安全团队做到这一点。他们可以在仪表板中详细查看任何列出的技术，以了解具体细节，包括检测敌对者使用该技术的方法以及阻止或减少利用该技术的攻击者影响的重要缓解措施。

组织对每一种攻击技术实施的检测和缓解措施越多，蓝队就越能检测到攻击者并阻止其使用该技术。ATT&CK导航器还允许用户创建并组合多个图层。这意味着安全团队可以为每个潜在的威胁行为者创建一个图层，通过在“技术控制”下分配分数来突出显示所有使用的技术，然后创建一个新图层并选择“从其他图层创建图层”，形成带有组合“分数表达式”的图层。新图