當前的SIEM規則忽略了MITRE ATT&CK框架的大部分內容,給用戶帶來了風險負擔。
最近,一項針對十個組織的研究發現,平均而言,安全信息和事件管理解決方案(即SIEM)的規則和策略只涵蓋了MITRE ATT&CK框架中16%的戰術和技術。
SIEM解決方案通常被認為是安全運營的核心組成部分,它匯集了來自各種網絡設備和服務的日志數據,并對其進行分析以檢測威脅。
同時,MITRE ATT&CK框架涵蓋了主要威脅行為者所使用的攻擊方法,被認為是杰出的全球性知識庫之一。因此,人們可能會認為SIEM與MITRE ATT&CK框架通常會保持一致。但據安全公司CardinalOps的最新報告顯示,事實并非如此,該公司的發現表明:“普遍看來SIEM部署的功效確實很差”。
在這項研究中,CardinalOps研究了其十家客戶的SIEM實踐,除一家外,其余九家都是價值數十億美元的跨國公司。這些客戶使用的SIEM技術各不相同,包括Splunk、IBM、Qradar和Sumo Logic等供應商的解決方案。
CardinalOps首席技術官Yair Manor在該公司的對應報告中指出,在實踐中,SIEM對ATT&CK框架的覆蓋率仍然遠遠低于企業的期望水平,也遠遠低于SIEM和檢測工具所能提供的服務。這就導致了SIEM用戶“自認為擁有的安全性與他們實際獲得的安全性之間存在著鴻溝”。
這并不是首個關注此類問題的研究型報告。在2020年9月McAfee和加州大學伯克利分校的一份報告中,45%的受訪組織表示,他們在使用ATT&CK時,遇到了與安全產品缺乏互操作性的問題。此外,有43%的人表示他們很難將事件數據映射到已知的戰術和技術上,還有36%的人表示,他們從SIEMs中收到了太多的誤報。
報告還說,一些組織沒有使用ATT&CK框架,因為它沒有針對敵方的技術進行優先級排序,也沒有分配權重。
專家表示,為確保SIEM能從ATT&CK框架中獲得最大效益,用戶需要具備對自身環境的理解能力以及對最大風險威脅的排序能力,這樣他們就可以制定最能保護自己的規則。但這需要長期努力。
“對組織而言,最大的問題是其奢望某些工具集、應用程序、系統或框架能夠作為解決一切問題、藥到病除的萬能靈丹,”亞利桑那州立大學信息安全專家兼實踐教授Kim Jones說,“不親自分析排序優先級并評估工具的適用性,而是采取固有的檢測態勢并生搬硬套一個框架,這是在企圖走捷徑。”
Jones懷疑,人們對SIEM抱有過高期望“是為了掩飾檢測引擎配置中的失誤和不足”,以及組織無法根據威脅情報優化設計防御措施的事實。“將問題歸咎于工具或框架是不明智的,”他補充道,“在我看來,這就像是將螺絲頭落歸咎于便宜沒好貨,但其實是由于安裝螺絲釘時使用的是鉗子而不是螺絲刀。”
未按照預期的方式使用框架?
Splunk杰出的安全策略師Ryan Kovar表示,大多數SIEMs策略涵蓋的ATT&CK框架如此之少,他并不感到驚訝。不過話說回來,與SIEMs整合“本來就不是MITRE ATT&CK的最初目的”。
“很多人沒有意識到MITRE ATT&CK框架最初并不是為了解決SIEM問題而設計的,”Kovar說。相反,它是一個“認知思維模型”,“旨在幫助威脅情報專家有條不紊地將敵方行為映射到實證經驗上”。
事實上,框架中的一些TTP甚至無法通過SIEM解決方案來處理,Kovar說。例如,在該框架的偵察和資源開發類別下,有16種技術“幾乎不可能為其編寫SIEM警報”。
Kovar指出,映射到框架通常不是SIEM買家的主要動機。相反,“他們正在尋找能夠擴展、收集不同數據的工具,使他們能夠對已知的惡意事件發出警報,然后在受到SolarWinds等新穎方法攻擊時,可以查看數據以獲得最新情報。”他補充說,只有更清楚地了解框架的真正目的,用戶才可能通過SIEM充分利用框架。
CardinalOps顧問Anton Chuvakin是Google Cloud的安全解決方案策略專家,也是Gartner前研究副總裁兼杰出分析師,他也認為SIEM“并不是要覆蓋整個ATT&CK框架--因為它包含了相當多的深度端點攻擊指標,這些指標最終可能不會記錄在日志中”,因此需要針對這些事件的端點檢測和響應解決方案。
即便如此,僅覆蓋16%與覆蓋100%框架的SIEMs規則之間還是具有天壤之別,84%的惡意技術被忽視了。
CardinalOps的Manor在接受采訪時對SC Media·表示,組織的困難并不在于如何有效調整規則匹配框架內容。首當其沖的問題是沒有制定足夠的規則和策略。
Manor提出了幾種理論來解釋為什么會出現這種情況,其中最主要的是公司缺乏對惡意TTP覆蓋有效性和全面性的了解。
“此外,管理和運營SIEM的復雜性往往會形成隱形天花板,限制了所能實現的覆蓋范圍。”他說。第三,“隨著IT環境和威脅環境的不斷變化,安全工程師往往不知道需要做什么來應對最新的用例和威脅。”
非營利組織Mitre公司的MITRE ATT&CK負責人Adam Pennington表示,SIEM用戶面臨的另一個問題是,檢測已知的ATT&CK技術不僅需要SIEM技術,還需要額外的投資。
“最大的挑戰是實施傳感器來收集適當的數據源并將它們整合在一起,之后組織才會將數據源處理分析成為ATT&CK技術,”Pennington說。“隨著這些數據源和相關分析不斷增長,能夠被解決的ATT&CK技術數量自然也會增長。”
風險評估和威脅優先級排序是關鍵
專家表示,組織可以采取一些措施確保SIEM能夠充分利用MITRE ATT&CK框架。
首先,Jones表示公司必須“客觀、公正地審視其保護態勢”。為此,他們必須首先識別出檢測TTP時需要關注的警示指標,然后確定發現這些指標所需的設備、系統和應用程序。最后,組織需要確定這些工具集是否能夠在檢測到攻擊時向SIEM發送警報。“我認為那些試圖實施MITRE ATT&CK的人可能沒有進行這種嚴格的分析”,Jones說。
接下來是威脅優先級,這需要了解哪些SIEM規則對保護網絡資產最為關鍵,這樣你就可以根據自己環境的最大風險來定制策略。
Mitre公司的Pennington表示,CardinalOps的報告發現SIEM平均只覆蓋了16%的框架,“這低于我們經驗所見的水平”。但即使如此,他也承認,沒有任何一個SIEM能夠覆蓋100%的在野已知威脅。因此,必須對威脅進行優先級排序。
“我們一直建議不要把重點放在完全覆蓋ATT&CK上,將來也將會繼續保持這個觀點,”Pennington說。“我們還建議組織在開始實施ATT&CK時,優先考慮實施某些部分,而不是試圖一次性全部實施。”
Jones解釋說,對于一個組織來說,有些攻擊場景更有可能發生或產生影響。“把重點放在這些場景上,并在此基礎上建立一個適當的風險平衡實施方法。與其選擇對整個框架進行檢測并告警,我寧愿選擇99.999%最有可能發生的場景或最大影響力的場景相關的TTP。
”你比任何人都更清楚誰要害你,“Kovar說。”當然,有一些商品威脅(commodity threats)會影響到所有人,但除此之外,了解其威脅情報來源的最終用戶必須進行威脅優先級排名。“
Kovar推薦基于風險的告警,通過這種方式,SIEM將向SOC分析師發出潛在威脅告警,但只有當異常事件與多個SIEM規則相匹配時,才會使其成為高風險事件--這就不太可能是誤報。”用戶最終會有許多不同的觸發和檢測規則,但風險分析框架提供了識別針對個人或資產高風險行動的能力,顯著降低了警報疲勞,“Kovar說。
但是,盡管用戶組織承擔主要責任,但供應商合作伙伴也可以在提高SIEM對ATT&CK框架的覆蓋率方面發揮作用。
”Splunk過去曾說過,供應商還可以更好的地將MITRE ATT&CK集成到他們的工具中去。“Kovar說。”我相信,每個軟件供應商的目標都應該是客戶的工作變得更輕松。作為一個行業,我們應該努力在整個矩陣中實現更好的覆蓋,但同時也要意識到,我們永遠沒法涵蓋所有的技術。“
Pennington表示,Mitre也在采取措施降低ATT&CK框架對SIEM的負擔,并提到該組織創建并持續改進了網絡分析知識庫(Cyber Analytics Repository),”其中包含了組織可以在其SIEM中用來檢測ATT&CK技術的分析方法。“
”我們目前還在努力改進ATT&CK中的數據源,以便更好地描述組織需要為某項特定技術所需要收集的信息,“Pennington繼續說道,”利用這些資源可以幫助各方提高MITRE ATT&CK中所列技術的覆蓋率。“
事實上,Splunk的Kovar表示,Mitre正在通過MITRE Engenuity(一個與私營企業合作以加速創新的基金會)等舉措,”大踏步地幫助組織運營數據“。Engenuity提供的服務之一是ATT&CK評估,它評估廠商抵御已知敵方技術的能力,并公開發布結果供行業終端用戶審查。
Pennington表示,Mitre公司不僅致力于幫助用戶確定威脅的優先級,還”努力更進一步了解敵方最常用的技術“。為此,Mitre公司啟動了一項名為ATT&CK Sitings的試點情報收集計劃,通過該計劃,ATT&CK用戶社區的成員可以相互報告對技術的了解。
當然,關于優先級排序的最后決定權還是必須來自用戶組織。
”每個組織的威脅優先次序各不相同,“Pennington說。”我們嘗試為人們制定策略,使他們可以采取不同的方法來確定ATT&CK技術的優先級,但我們永遠無法告訴您哪種技術對您的組織最重要。“