《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > MITRE首次發(fā)布內(nèi)部威脅TTP知識庫

MITRE首次發(fā)布內(nèi)部威脅TTP知識庫

2022-03-27
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: MITRE 內(nèi)部威脅

  MITRE Engenuity近日發(fā)布了業(yè)界首個全面的內(nèi)部威脅策略,、技術(shù)和程序(TTPs)知識庫,。

  該知識庫基于今年2月中旬MITRE威脅情報防御中心與花旗集團,、微軟,、Crowdstrike、Verizon和JP Morgan Chase等多行業(yè)巨頭合作發(fā)布的內(nèi)部威脅TTP知識庫的設(shè)計原則和方法論(論文鏈接在文末),。

  MITRE聲稱內(nèi)部威脅知識庫將有助于防御者更好地檢測,、緩解和模擬IT系統(tǒng)上的內(nèi)部威脅行為并阻止它們:

  “我們的目標(biāo)是幫助企業(yè)將內(nèi)部威脅緩解措施從‘可能’轉(zhuǎn)變?yōu)榭刹僮鞯臋z測和響應(yīng),?!?/p>

  從SOC視角看內(nèi)部威脅

  在發(fā)布內(nèi)部威脅TTP知識庫的同時,,MITRE威脅情報防御中心研發(fā)主管Jon Baker的一篇博客文章強調(diào)了每個CISO都知道的事情,“惡意內(nèi)部人員對組織構(gòu)成了獨特的威脅,?!盉aker指出,,重點是“在IT環(huán)境中SOC可以觀察到的”網(wǎng)絡(luò)威脅和活動,。

  企業(yè)會采用不同的方法來應(yīng)對內(nèi)部威脅,這導(dǎo)致誰可以訪問哪些數(shù)據(jù)(SOC,、HR,、物理安全等)以及如何處理內(nèi)部威脅的方式存在顯著差異。鑒于SOC專注于網(wǎng)絡(luò)威脅,,我們在參與者中發(fā)現(xiàn)了一個共同點和機會——SOC團隊可以訪問內(nèi)部威脅案例數(shù)據(jù)的子集,,在內(nèi)部威脅計劃中往往能發(fā)揮作用。

  14個重點內(nèi)部威脅技術(shù)

  內(nèi)部威脅TTP知識庫包括54種惡意內(nèi)部人員行為的已識別技術(shù),,并著重強調(diào)了其中14個關(guān)鍵技術(shù):

  偵察

  資源開發(fā)

  初始訪問

  執(zhí)行

  駐留

  權(quán)限提升

  防御規(guī)避

  憑證訪問

  發(fā)現(xiàn)

  橫向運動

  信息收集

  命令與控制

  滲出

  影響

  人們經(jīng)常假設(shè),,乖乖留在“泳道”內(nèi)的受信任的內(nèi)部人員可能永遠不會出現(xiàn)在內(nèi)部威脅管理程序的雷達上,。MITRE內(nèi)部威脅TTP知識庫的目的就是覆蓋這個盲區(qū),并證明即使是那些留在“泳道”上的人,,當(dāng)他們采取可疑行動時同樣會被檢測到,。

  常見的惡意內(nèi)部威脅策略

  MITRE內(nèi)部威脅知識庫的設(shè)計原則包括了對每個TTP所需技能水平的評估,基于真實案例微TTP分配“已經(jīng)”,、“將”和“可能”三種參數(shù),,并重點強調(diào)了在那些已發(fā)生案例中經(jīng)常被使用的TTP,研究結(jié)果得出以下這些常見的惡意內(nèi)部威脅策略的推論:

  “內(nèi)部威脅通常使用簡單的TTP來訪問和泄露數(shù)據(jù),?!?/p>

  “內(nèi)部威脅通常會利用現(xiàn)有的特權(quán)訪問來促進數(shù)據(jù)盜竊或其他惡意行為?!?/p>

  “內(nèi)部人員通常會在泄露之前‘暫存’他們打算竊取的數(shù)據(jù),。”

  “外部/可移動媒體仍然是一個常見的滲出渠道,?!?/p>

  “電子郵件仍然是一種常見的滲透渠道?!?/p>

  “云存儲既是惡意內(nèi)部人員的數(shù)據(jù)收集目標(biāo),,也是一個滲透渠道?!?/p>

  然后,,MITRE采用這些推論并分配“使用頻率”權(quán)重,為每個威脅分配“頻繁”,、“中度”或“不頻繁”標(biāo)簽,,以幫助安全人員對內(nèi)部威脅技術(shù)的可能性進行分類,并確保那些發(fā)生頻率更高的事件被覆蓋,。隨附的GitHub文檔(文末)旨在幫助安全團隊對其經(jīng)驗進行分類,。

  資源有限的企業(yè)應(yīng)將注意力集中在可能性較高的TTP上,并在條件允許時保留對可能性較低的TTP的檢測,。貝克認(rèn)為,,對可能性較低的TTP的過分關(guān)注雖然會讓團隊看上去很有創(chuàng)意,但“會導(dǎo)致內(nèi)部威脅計劃和SOC失去焦點,?!币虼耍紫畔踩賾?yīng)該優(yōu)先采用那些效率更高的方法,。

  關(guān)注最可能的內(nèi)部威脅場景

  雖然國家黑客組織收買員工有著非?,F(xiàn)實的可能性,但實施內(nèi)部惡意行為的更多動機是個人獲利或“提升”職業(yè)生涯捷徑,。這可能包括個人收集信息謀求個人利益,,例如出售手頭的商品(其雇主的知識產(chǎn)權(quán)和商業(yè)秘密),,或?qū)⑿畔?數(shù)據(jù)作為下一次工作機會的條件。

  MITRE表示,,創(chuàng)建內(nèi)部威脅TTP知識庫和社區(qū)的目的是確?!皟?nèi)部人員將不能在合法使用的掩護下進行操作;我們將在內(nèi)部威脅給企業(yè)造成代價高昂且令人尷尬的損失之前發(fā)現(xiàn)它,?!边@個目標(biāo)可以通過行業(yè)共享、流程和應(yīng)用,、網(wǎng)絡(luò)研討會和會議來實現(xiàn),,“防御者可以相互學(xué)習(xí)”。

  MITRE首次為內(nèi)部威脅活動開發(fā)知識庫和框架是很有意義的,,強烈建議CISO們對該知識庫和框架的適用性進行評估,,然后確定是否或者如何采用該框架來制訂或優(yōu)化內(nèi)部威脅的檢測和響應(yīng)策略。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。