《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > MITRE首次發(fā)布內(nèi)部威脅TTP知識(shí)庫

MITRE首次發(fā)布內(nèi)部威脅TTP知識(shí)庫

2022-03-27
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: MITRE 內(nèi)部威脅

  MITRE Engenuity近日發(fā)布了業(yè)界首個(gè)全面的內(nèi)部威脅策略、技術(shù)和程序(TTPs)知識(shí)庫,。

  該知識(shí)庫基于今年2月中旬MITRE威脅情報(bào)防御中心與花旗集團(tuán)、微軟,、Crowdstrike、Verizon和JP Morgan Chase等多行業(yè)巨頭合作發(fā)布的內(nèi)部威脅TTP知識(shí)庫的設(shè)計(jì)原則和方法論(論文鏈接在文末),。

  MITRE聲稱內(nèi)部威脅知識(shí)庫將有助于防御者更好地檢測,、緩解和模擬IT系統(tǒng)上的內(nèi)部威脅行為并阻止它們:

  “我們的目標(biāo)是幫助企業(yè)將內(nèi)部威脅緩解措施從‘可能’轉(zhuǎn)變?yōu)榭刹僮鞯臋z測和響應(yīng)?!?/p>

  從SOC視角看內(nèi)部威脅

  在發(fā)布內(nèi)部威脅TTP知識(shí)庫的同時(shí),,MITRE威脅情報(bào)防御中心研發(fā)主管Jon Baker的一篇博客文章強(qiáng)調(diào)了每個(gè)CISO都知道的事情,“惡意內(nèi)部人員對組織構(gòu)成了獨(dú)特的威脅,?!盉aker指出,重點(diǎn)是“在IT環(huán)境中SOC可以觀察到的”網(wǎng)絡(luò)威脅和活動(dòng),。

  企業(yè)會(huì)采用不同的方法來應(yīng)對內(nèi)部威脅,,這導(dǎo)致誰可以訪問哪些數(shù)據(jù)(SOC、HR,、物理安全等)以及如何處理內(nèi)部威脅的方式存在顯著差異,。鑒于SOC專注于網(wǎng)絡(luò)威脅,我們在參與者中發(fā)現(xiàn)了一個(gè)共同點(diǎn)和機(jī)會(huì)——SOC團(tuán)隊(duì)可以訪問內(nèi)部威脅案例數(shù)據(jù)的子集,,在內(nèi)部威脅計(jì)劃中往往能發(fā)揮作用,。

  14個(gè)重點(diǎn)內(nèi)部威脅技術(shù)

  內(nèi)部威脅TTP知識(shí)庫包括54種惡意內(nèi)部人員行為的已識(shí)別技術(shù),并著重強(qiáng)調(diào)了其中14個(gè)關(guān)鍵技術(shù):

  偵察

  資源開發(fā)

  初始訪問

  執(zhí)行

  駐留

  權(quán)限提升

  防御規(guī)避

  憑證訪問

  發(fā)現(xiàn)

  橫向運(yùn)動(dòng)

  信息收集

  命令與控制

  滲出

  影響

  人們經(jīng)常假設(shè),,乖乖留在“泳道”內(nèi)的受信任的內(nèi)部人員可能永遠(yuǎn)不會(huì)出現(xiàn)在內(nèi)部威脅管理程序的雷達(dá)上,。MITRE內(nèi)部威脅TTP知識(shí)庫的目的就是覆蓋這個(gè)盲區(qū),并證明即使是那些留在“泳道”上的人,,當(dāng)他們采取可疑行動(dòng)時(shí)同樣會(huì)被檢測到,。

  常見的惡意內(nèi)部威脅策略

  MITRE內(nèi)部威脅知識(shí)庫的設(shè)計(jì)原則包括了對每個(gè)TTP所需技能水平的評估,基于真實(shí)案例微TTP分配“已經(jīng)”,、“將”和“可能”三種參數(shù),,并重點(diǎn)強(qiáng)調(diào)了在那些已發(fā)生案例中經(jīng)常被使用的TTP,研究結(jié)果得出以下這些常見的惡意內(nèi)部威脅策略的推論:

  “內(nèi)部威脅通常使用簡單的TTP來訪問和泄露數(shù)據(jù)?!?/p>

  “內(nèi)部威脅通常會(huì)利用現(xiàn)有的特權(quán)訪問來促進(jìn)數(shù)據(jù)盜竊或其他惡意行為,。”

  “內(nèi)部人員通常會(huì)在泄露之前‘暫存’他們打算竊取的數(shù)據(jù),。”

  “外部/可移動(dòng)媒體仍然是一個(gè)常見的滲出渠道,?!?/p>

  “電子郵件仍然是一種常見的滲透渠道?!?/p>

  “云存儲(chǔ)既是惡意內(nèi)部人員的數(shù)據(jù)收集目標(biāo),,也是一個(gè)滲透渠道?!?/p>

  然后,,MITRE采用這些推論并分配“使用頻率”權(quán)重,為每個(gè)威脅分配“頻繁”,、“中度”或“不頻繁”標(biāo)簽,,以幫助安全人員對內(nèi)部威脅技術(shù)的可能性進(jìn)行分類,并確保那些發(fā)生頻率更高的事件被覆蓋,。隨附的GitHub文檔(文末)旨在幫助安全團(tuán)隊(duì)對其經(jīng)驗(yàn)進(jìn)行分類,。

  資源有限的企業(yè)應(yīng)將注意力集中在可能性較高的TTP上,并在條件允許時(shí)保留對可能性較低的TTP的檢測,。貝克認(rèn)為,,對可能性較低的TTP的過分關(guān)注雖然會(huì)讓團(tuán)隊(duì)看上去很有創(chuàng)意,但“會(huì)導(dǎo)致內(nèi)部威脅計(jì)劃和SOC失去焦點(diǎn),?!币虼耍紫畔踩賾?yīng)該優(yōu)先采用那些效率更高的方法,。

  關(guān)注最可能的內(nèi)部威脅場景

  雖然國家黑客組織收買員工有著非?,F(xiàn)實(shí)的可能性,但實(shí)施內(nèi)部惡意行為的更多動(dòng)機(jī)是個(gè)人獲利或“提升”職業(yè)生涯捷徑,。這可能包括個(gè)人收集信息謀求個(gè)人利益,,例如出售手頭的商品(其雇主的知識(shí)產(chǎn)權(quán)和商業(yè)秘密),或?qū)⑿畔?數(shù)據(jù)作為下一次工作機(jī)會(huì)的條件,。

  MITRE表示,,創(chuàng)建內(nèi)部威脅TTP知識(shí)庫和社區(qū)的目的是確保“內(nèi)部人員將不能在合法使用的掩護(hù)下進(jìn)行操作,;我們將在內(nèi)部威脅給企業(yè)造成代價(jià)高昂且令人尷尬的損失之前發(fā)現(xiàn)它,。”這個(gè)目標(biāo)可以通過行業(yè)共享、流程和應(yīng)用,、網(wǎng)絡(luò)研討會(huì)和會(huì)議來實(shí)現(xiàn),,“防御者可以相互學(xué)習(xí)”。

  MITRE首次為內(nèi)部威脅活動(dòng)開發(fā)知識(shí)庫和框架是很有意義的,,強(qiáng)烈建議CISO們對該知識(shí)庫和框架的適用性進(jìn)行評估,,然后確定是否或者如何采用該框架來制訂或優(yōu)化內(nèi)部威脅的檢測和響應(yīng)策略。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。