近年来,MITRE ATT&CK安全攻防框架深受企业关注,而后续衍生的ATT&CK评估计划,不仅国际重量级安全企业响应,且每次都有更多的安全企业参与,显示这项计划持续被安全界看重。现在这项评估计划,在2022年有了更多开展。
例如,第五轮针对Enterprise的ATT&CK评估计划,举办方MITRE Engenuity已表示将会继续举行,在接下来几个月内就会公布,而首届的托管服务评估计划,在今年第二季就会执行评测,日前已经正式公布共有17家安全公司参与,特别的是,今年还有另一项独特的试验评估计划,这将是一个跳脱现有评估方式的新策划,针对不同安全解决方案设法开发新的评估方法,而首次锁定的领域是欺敌技术(Deception)。
这个全新的实验性评估计划,MITRE Engenuity是在去年11月4日首度宣布,将对不同类型安全技术进行重点评估,而第一个实验性的评估计划──ATT&CK Evaluations Trials,将锁定“欺敌”技术,同样会在2022年开始进行。
之所以发起这项新的尝试,MITRE Engenuity ATT&CK评估计划总经理Frank Duff解释,从2018年开始,Enterprise的ATT&CK评估就已推出,聚焦端点保护与侦测的市场,呼应ATT&CK框架覆盖范围,而这类产品,本身也是为了试图解决这样的问题而存在。
随着评估计划的扩大,以及听取更多意见反馈,他们也关注各种不同的安全解决方案。因为这些方案的功能,往往聚焦于特定的ATT&CK技术,或是提供非检测导向的防御,若只运用现有的方式来评估,可能会无法充分呈现厂商能耐,只因厂商产品聚焦方向不同。
对此,MITRE Engenuity认为,安全解决方案能否具备多样性与深度,也是安全防御技术整体发展的重要环节。因此,他们将发起试验性质的评估计划,与安全企业共同开发新的评估方法,运用公开、透明的方法展现企业的价值。
在他们首先推动的欺敌技术评估计划其中,将聚焦在两个主要问题,包括:欺敌的技术是否会影响攻击者,以及是否真的影响到攻击者。不过,其中会涉及到很多议题,包括:当攻击方受到防守方的欺敌技术影响,是否出于偶然?如何以尽可能公平的方式来呈现结果,这些都是挑战,需了解问题范围,设法减少主观因素影响。
其实这个评估计划的出现,有迹可循,因为3月主动防御知识库MITRE Engage正式推出,其中即包含多项欺对手法,显示此领域现已备受关注,而试验计划从欺敌技术开始推动,似乎也是为了验证此类解决方案的需求与能耐。
根据MITRE Engenuity的说明,目前,已有两家厂商有意愿参与这项研究计划,分别是:Attivo Networks,以及CounterCraft Security。
近年来,协助多项安全研究的美国非营利组织MITRE,提出了MITRE ATT&CK安全框架,规整现实世界黑客组织攻击时,在入侵各阶段所使用的攻击技术,并创建了通用语言,帮助了红队与蓝队之间沟通,尔后也衍生出评估计划。
简单来说,这是一项帮助企业、安全厂商,查看端点侦测与阻挡能力的评测,通过公开的结果甚至是产品截屏,客观的呈现所有评测资料,现在该计划已经发展到第四轮,不仅国际重量级安全企业响应,且每次都有更多的安全企业参与,显示这项计划持续被安全界看重。
随着MITRE的不断改进,使得评估计划有了更好的基础,他们开始将目标放得更远,除了成立MITRE Engenuity专门负责评估计划,评估面向与规模也正持续扩大。
例如,现在的ATT&CK评估计划,已经不再只有Enterprise的评测项目,首先,在2021年,已举行首届针对工业控制系统ICS工具的评估计划,到了2022年,他们又扩展出新的项目,一是针对托管服务(Managed Services)的评估计划,另一拓展出实验性的评估计划,锁定的首个技术领域是欺敌(Deception)。
原称MITRE Shield的主动式防御知识库,后续,MITRE将它重新定名为MITRE Engage,并在2022年3月正式发布V1版本。MITRE表示,已将Shield架构简化,专注在下列三大领域,分别是:对手交战(Adversary Engagement)、阻断(Denial),以及欺敌(Deception)。此框架之中,从上图我们可以看到,黄色部分是战略行动,蓝色是交战行动,单以交战行动而言,现在第一版是归类出23种不同的具体活动,包括API Monitoring等,累计呈现共41项。