2019年回顾 | 瀚思 ATT&CK 如何从理念到落地

网络攻击常态化、攻防驱动安全体系日益流行的大背景下，ATT&CK 作为2019网络安全产业的热词一点都不为过。整个信息安全产业，包括厂商、社区以及客户都在从概念层面宣导其理念，同时就其如何产生实际落地价值进行探讨。

——瀚思科技周奕

瀚思科技对 ATT&CK知识体系的研究始于2018年初，除了对知识库及知识体系的更新做持续性方向研究，也以此为起点，在多个方向进行研究。不忘初心，砥砺前行。这些夯实的积累，为我们2019年对 ATT&CK 的瀚思产品化、社区贡献打下坚实的基础。

时值岁末年初，我们也简单跟大家介绍一下瀚思科技2019年在ATT&CK方面的实践，希望我们做的能够帮助客户成功，推动 ATT&CK 社区的建设和推广,惠及整个产业和生态。

1. ATT&CK 知识库本土化

MITER ATT＆CK™ 源于美国，是基于现实世界黑客攻防的全球对抗性战术和技术知识库。ATT＆CK提供了通用的战术分类法、技术点描述以及攻击过程。“Common Language” 是整个知识库的核心所在，用统一的、准确的、权威的通用语言描述整个攻击过程，从而避免大家在同一攻击事件的表述各不相同，产生误解和歧义。

瀚思科技在 ATT&CK 本土知识库的构建，远远超过了“翻译”的范畴。可以说是一次彻底的二次创作，在深度理解每个战术以及技术点的同时，保证语言组织精确以及信息组织到位。与此同时，我们与 Mitre ATT&CK 知识库发布更新周期保持同步，以保证本土化知识库的时效性。

目前整个知识库的最新地址是：https://hansight.github.io/ ，欢迎整个安全社区的各位朋友分享使用。

2.ATT&CK的拓展和贡献

除了对 ATT&CK 知识库的本土化，瀚思也致力于对整个知识库的拓展和贡献。ATT&CK 在一些技术点，比如：初始访问(Initial Access) 中“鱼叉式钓鱼攻击附件 (Spear Phishing Attachment)”目前没有细化，而这些技术点是黑客攻击的初始阶段,也是我们国内很多客户最关心的安全场景之一。将这些攻击点细化分类是整个知识库能够真正落地，并帮助到客户的关键所在。我们针对“Web 应用类攻击场景(T1190)”以及“邮件攻击场景进行细化(T1193,T1192)”，总计拓展28个相关子场景。这些拓展的场景，已经随产品发布并进一步帮助到我们的客户。同时我们给 Mitre 官方提交了3个技术点,丰富了在持久化,发现等战术层面的技术实现。瀚思不仅仅是 ATT&CK 的使用者和传播者，同时也是知识库实际的贡献者。

3.ATT&CK 知识库在瀚思产品中的集成应用

在今年发布的瀚思全场景安全平台5.5 中，我们更进一步将 ATT&CK 以及拓展后的知识库集成到产品，以满足客户在安全场景建设时、安全运营中的实际需求。

安全场景 1: 整个瀚思全场景平台检测能力ATT&CK 化。我们将瀚思目前大数据安全分析平台、NTA检测内容包对应于 ATT&CK 框架做了丰富化。关联分析规则、 AI检测模型、对应于ATT&CK的战术和技术矩阵做了映射。这样，任何自动检测或者手工分析猎捕的结果都会自动对应到 ATT&CK 的相关战术和技术。比过去将洛克希德马丁杀伤链模型更进一步的是，ATT&CK 补充了攻击策略、技术、常识等，扩展了攻击链的概念，为威胁管理决策的方方面面提供更丰富的相关上下文。

安全场景 2: 知识库辅助检测响应。安全事件的检测、分析、响应是每个安全团队的日常工作。我们将知识库无缝集成到了产品，将其作为产品能力的一部分,当告警或安全事件触发知识库中的攻击技术，其详情能够为安全分析人员的分析研判做具体而相关的指导。同时，安全团队也可以参考知识库中威胁缓解方法部分的建议，从而辅助安全事件的处置响应。

安全场景 3：攻击热力图之安全防护体系现状展示。

攻击热力图将整个安全防护体系的威胁检测能力和 Mitre ATT&CK 的攻击技术做了映射，以热力图的方式来展示目前整体的威胁检测状况。战略上安全团队的主管可以透过热力图中攻击技术检测覆盖率来查找盲点以做差距分析；战术上安全团队成员可以就某个未被检测重点攻击技术来做具体分析：是没有此类攻击？还是数据源质量问题？亦或是分析规则或者检测规则的问题？

攻击热力图从一个定量的维度来具体指导安全体系建设，相较于过去合规导向的安全体系建设思路或者一些安全厂商推出的SOC成熟度模型，更具备直观性和指导性。

应用场景4: 辅助威胁猎捕

在全场景安全 5.5 UEBA 模块中，我们专门发布了基于 ATT&CK 的威胁猎捕搜索语言 (HanSight HQL)。UEBA 模块利用ATT＆CK框架来收集、控制主机和网络遥测数据(Telemetry)，并指导HQL威胁猎捕脚本的开发。对于主机和网络，HQL可以从多维度关联、搜索定位可疑活动，同时也还可以利用机器学习算法来识别异常行为。目前瀚思内置的基于 ATT&CK 威胁猎捕的脚本数已达到数百个，涵盖 160 个 ATT&CK 技术点。

4. ATT&CK Eval Testing

做为Mitre ATT&CK 的合作的大戏,瀚思团队与11月初来到 Mitre 总部参与了 ATT&CK APT 29 评估测试。作为全球21个受邀安全厂商之一，瀚思团队和Mitre 攻防团队展开了广泛而深远的合作。在为期三天的测试过程中，也让我们的产品在方方面得到锤炼和验证。同时，我们也对将来的评估测试方法和流程提出建议，交流SIEM视角应用ATT&CK的场景和最佳实践,让Mitre 听到了来自中国的声音。评估测试方法的测试方法、测试结果及最终结果要在1月中下旬公布，届时我们会在第一时间和大家分享。

Looking Forward 2020

放眼2019，ATT&CK 有了长足的进步和飞跃，已经成为很多安全产品衡量检测能力的事实标准和参照系，并且开始涉及新的安全领域，如工控云安全等。而瀚思科技在ATT&CK领域探索的脚步也不会懈怠，将国际最新的ATT&CK经验带给国内客户实践，帮助其建设内部红蓝对抗。通过产品和服务将ATT&CK的价值在客户处落地，帮助其提升安全防护能力、深化与头部产品的集成、基于ATT&CK展现优秀产品检测响应的能力。瀚思将与同行一起贡献网络攻防知识库，共同提升对抗高级威胁攻击能力… 这些都是我们努力的目标。

We are pressed on…

相关报道

关于瀚思：瀚思科技专注于大数据安全分析，利用自主知识产权的智能分析与机器学习技术，帮助企业实时、自动侦测已经发生或即将发生的内部与外部安全威胁，最大限度的保护企业信息资产与业务安全。经过五年多的发展，瀚思科技已经成长为全球网络安全500强、中国网络安全50强，并于2018年获 Gartner SIEM全球魔力象限提名，2019年入选 Gartner Peer Insights 报告。

官网地址：www.HanSight.com

Email：Contact@HanSight.com

数据驱动安全• Data Driven Security返回搜狐，查看更多

责任编辑：