MITRE ATT&CK® 威胁知情防御中心 (Center for Threat-Informed Defense) 早在2021年便已开发并发布了AWS 和MS Azure原生平台和 ATT&CK 原生安全控制之间的映射, 其成果显著地帮助了两大平台用户使用这些映射来评估所用云平台安全控制针对特定 ATT&CK 技术的有效性。
前言
然而,国内主流云服务商巨头们目前尚未成为此项评估的对象,面对真实用户的困惑和诉求,笔者尝试先从Aliyun出发,参照MITRE标准进行评估,帮助用户对Aliyun原生安全控制如何抵御真实世界对手战术、技术和程序 (TTP) 展开全面了解。
本文旨在参照MITRE CTID对于云平台安全控制的通用方法和评分标准等工作,建立和开发ATT&CK与 Aliyun原生平台的映射关系,并尝试以相同的标准和逻辑进行打分,帮助Aliyun平台用户及其安全运营者更好评估安全控制的有效性,为 Aliyun 平台用户提供参考去保护、检测和响应 ATT&CK 知识库中描述的常见威胁。
局限和不足
-
本文基于MITRE ATT&CK Enterprice V12.1,与21年MITRE当时发布的 v9 已有较大差异,技战术项不尽相同
-
MITRE之前发布AWS/Azure的评估细节公开并不充分,无法完全达到相同标准,存在一定主观差异
-
当前版本评估无法像MITRE一样联合近10家业内公司联合评估,必然会显得更主观和粗糙
不得不承认,此版本的评估是简陋和笨拙的,只是希望这一点点小小的工作能成为我们尝试探索的一小步,给到Aliyun用户和安全运营者一些参考,同时该版本也将持续迭代和改善,并不断成熟化。
此外,由于将任何平台上的安全控制映射到 ATT&CK 都免不了是主观的。不同组织和个体看法会有所不同,随时欢迎反馈和观点。
Aliyun安全栈映射
此版本提供了原生Aliyun安全控制与 ATT&CK 技术的映射。我们沿用了MITRE 为AWS/AZURE的ATT&CK 覆盖范围的图例配色并逐一评估后得到以下概览:
Aliyun安全堆栈映射覆盖范围概览
以下范围界定决策影响了 Aliyun 映射:
-
工作范围:这项工作的重点是 ATT&CK for Enterprise v12.1中包含的技术和子技术;不包括移动技术。
-
本机安全控制:这项工作的重点是映射由 Aliyun 生成或标记为 Aliyun 产品的安全控制。平台上可用的第三方安全控制被排除在分析之外。
-
映射范围内包含的控件列表只要来自Aliyun中计算、存储、网络、安全的各产品组件。
-
这项工作还包括映射选定的非安全服务(例如 VPC、RDS 等)的安全功能。
和MITRE一样,我们为每个映射的控件创建了 ATT&CK Navigator 层,以在 ATT&CK 矩阵的上下文中显示映射。
方法论
我们沿用了MITRE之前对于AWS/Azure 在安全控制映射上的工作创建的评分方法和工件,尽可能建立跨平台的一致性。
该方法包括五个主要步骤,每个步骤都逐步建立理解并允许分析师查看分析中的安全控制及其缓解的 ATT&CK(子)技术。这五个步骤是:
-
识别平台安全控制:研究可用的平台安全文档以识别分析范围内的安全控制集。
-
审查安全控制:确定有关其功能的关键信息,选择它缓解的 ATT&CK(子)技术集。
-
识别可映射的 ATT&CK(子)技术:使用收集到的信息将控制映射到它缓解的 ATT&CK(子)技术集。
-
生成分数评估:利用评分标准来评估控制措施提供的缓解措施的类别和有效性。
-
创建映射文件:按照映射格式中指定的映射文件记录前面步骤中收集的数据。
主观结论和观点
根据与AWS/Azure映射的比较,可以看到三大云服务商面向安全的一些战略差异;
AWS在安全的考量正如其整体战略一样,明显更依赖生态以及遵循责任分担模型。其共29项控制项明显少于Azure/Aliyun,相对专注于其IaaS层的安全能力,如GuardDuty等产品;而把OS/APP层的安全责任更多让用户和生态伙伴承但。
AWS&MITRE Mapping
MS Azure在安全能力和投入则强势很多,其功能48项产品组件也是目前对于MITRE覆盖最广和最深的公有云供应商。这其中得益于微软强大的安全产品线,Defender系列产品可以从各方面帮助其Azure用户进行有效的安全控制和加强。
Azure&MITRE Mapping
Aliyun虽然没有MS Defender这样的明星产品线,但其安全战略和产品覆盖似乎无限接近于微软,我们评估中超过40个组件都能在一定程度上对其原生用户进行保护和控制,其中云安全中心的多种版本如同MS Defender对混合云、容器和应用等场景进行覆盖。
下一步:运营
如果说以上的识别、评估和映射是为了帮助用户更好的了解Aliyun安全组件和MITRE ATT&CK之间的联系,帮助用户根据MITRE知识集建设安全框架;那么建设的下一阶段就必然是持续的运营和改善,我们相信“监测-分析-响应”的运营闭环,是安全工作切实落地的关键。
根据对于Aliyun主流组件和用户诉求的理解,安全分析师们结合自身的知识和理解创建出更为准确的安全用例和规则,并进行长期不断的监测和优化。
云纷InsightX@Aliyun场景Usecase示例
安全运营就是持续不断的人、技术和流程的
互相驱动
关于我们
云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Comments are closed