近年來,MITRE ATT&CK資安攻防框架深受企業關注,而後續衍生的ATT&CK評估計畫,不僅國際重量級資安業者響應,且每次都有更多的資安業者參與,顯示這項計畫持續被資安界看重。現在這項評估計畫,在2022年有了更多開展。
例如,第五輪針對Enterprise的ATT&CK評估計畫,舉辦方MITRE Engenuity已表示將會繼續舉行,在接下來幾個月內就會公布,而首屆的託管服務評估計畫,在今年第二季就會執行評測,日前已經正式公布共有17家資安公司參與,特別的是,今年還有另一項獨特的試驗評估計畫,這將是一個跳脫現有評估方式的新企畫,針對不同資安解決方案設法開發新的評估方法,而首次鎖定的領域是欺敵技術(Deception)。
評估試驗計畫今年亦將展開,首先研究焦點在於欺敵
這個全新的實驗性評估計畫,MITRE Engenuity是在去年11月4日首度宣布,將對不同類型資安技術進行重點評估,而第一個實驗性的評估計畫──ATT&CK Evaluations Trials,將鎖定「欺敵」技術,同樣會在2022年開始進行。
之所以發起這項新的嘗試,MITRE Engenuity ATT&CK評估計畫總經理Frank Duff解釋,從2018年開始,Enterprise的ATT&CK評估就已推出,聚焦端點保護與偵測的市場,呼應ATT&CK框架覆蓋範圍,而這類產品,本身也是為了試圖解決這樣的問題而存在。
隨著評估計畫的擴大,以及聽取更多意見回饋,他們也關注各種不同的資安解決方案。因為這些方案的功能,往往聚焦於特定的ATT&CK技術,或是提供非檢測導向的防禦,若只運用現有的方式來評估,可能會無法充分呈現廠商能耐,只因廠商產品聚焦方向不同。
對此,MITRE Engenuity認為,資安解決方案能否具備多樣性與深度,也是資安防禦技術整體發展的重要環節。因此,他們將發起試驗性質的評估計畫,與資安業者共同開發新的評估方法,運用公開、透明的方法展現業者的價值。
在他們首先推動的欺敵技術評估計畫當中,將聚焦在兩個主要問題,包括:欺敵的技術是否會影響攻擊者,以及是否真的影響到攻擊者。不過,當中會牽涉到很多議題,包括:當攻擊方受到防守方的欺敵技術影響,是否出於偶然?如何以盡可能公平的方式來呈現結果, 這些都是挑戰,需瞭解問題範圍,設法減少主觀因素影響。
其實這個評估計畫的出現,有跡可循,因為3月主動防禦知識庫MITRE Engage正式推出,當中即包含多項欺敵手法,顯示此領域現已備受關注,而試驗計畫從欺敵技術開始推動,似乎也是為了驗證此類解決方案的需求與能耐。
根據MITRE Engenuity的說明,目前,已有兩家廠商有意願參與這項研究計畫,分別是:Attivo Networks,以及CounterCraft Security。
MITRE ATT&CK評估計畫的面向擴大
近年來,協助多項資安研究的美國非營利組織MITRE,提出了MITRE ATT&CK資安框架,統整現實世界駭客組織攻擊時,在入侵各階段所使用的攻擊技術,並建立了通用語言,幫助了紅隊與藍隊之間溝通,爾後也衍生出評估計畫。
簡單來說,這是一項幫助企業、資安廠商,檢視端點偵測與阻擋能力的評測,透過公開的結果甚至是產品截圖,客觀的呈現所有評測資料,現在該計畫已經發展到第四輪,不僅國際重量級資安業者響應,且每次都有更多的資安業者參與,顯示這項計畫持續被資安界看重。
隨著MITRE的不斷改進,使得評估計畫有了更好的基礎,他們開始將目標放得更遠,除了成立MITRE Engenuity專門負責評估計畫,評估面向與規模也正持續擴大。
例如,現在的ATT&CK評估計畫,已經不再只有Enterprise的評測項目,首先,在2021年,已舉行首屆針對工業控制系統ICS工具的評估計畫,到了2022年,他們又擴展出新的項目,一是針對託管服務(Managed Services)的評估計畫,另一拓展出實驗性的評估計畫,鎖定的首個技術領域是欺敵(Deception)。
MITRE Engage V1今年3月正式發布
原稱MITRE Shield的主動式防禦知識庫,後續,MITRE將它重新定名為MITRE Engage,並在2022年3月正式發布V1版本。MITRE表示,已將Shield架構簡化,專注在下列三大領域,分別是:對手交戰(Adversary Engagement)、阻斷(Denial),以及欺敵(Deception)。此框架之中,從上圖我們可以看到,黃色部分是戰略行動,藍色是交戰行動,單以交戰行動而言,現在第一版是歸類出23種不同的具體活動,包括API Monitoring等,累計呈現共41項。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29