McAfee：MITRE ATT&CK®作為云威脅調查框架報告

　　McAfee發布了《MITRE ATT&CK?作為云威脅調查框架》。

　　報告指出，隨著云計算的迅速采用，所有企業都面臨著新的安全挑戰。McAfee調查并采訪了領先的安全專業人士，調查他們如何評估和應對這些挑戰，包括快速變化的技術和商業模式，云服務提供商和云服務購買者之間關于安全責任分擔的模糊性，以及管理云中與本地和混合環境交織在一起的威脅的需要。

　　絕大多數的研究對象都認為，一個包含云環境和本地環境的統一調查框架將通過為威脅調查提供一個單一的集成解決方案來改進其流程和結果。這樣的框架是存在的，但它們的總體效用受到幾個已知缺點的限制，最明顯的是缺乏與安全工具的互操作性，阻礙了自動化。

　　MITRE-ATT&CK?框架是目前采用最廣泛的框架，隨著該框架提高了其集成和自動化能力，許多企業正朝著更廣泛的應用方向發展。這些領域的進一步改進將有助于企業更加自信地利用云計算帶來的效率。

在全部調查對象中使用ATT&CK

　　主要發現

　　?對手技術幾乎針對云中的所有企業執行：81%的組織體驗了ATT&CK矩陣中針對企業的對手技術，涵蓋了基于云的技術(云矩陣)；58%的所有企業每月體驗一次攻擊的“初始訪問”階段。

　　?企業使用ATT&CK框架來確定當前部署的安全產品和其他重要任務中的差距：57%的全球受訪者認為ATT&CK框架有助于確定當前部署的安全工具中的差距。55%的人推薦安全策略實施框架，54%的人認為該框架對威脅建模有用。

　　?大中型企業對其安全產品檢測ATT&CK矩陣中的所有技術沒有充分信心：只有約49%的受訪者對其安全產品檢測ATT&CK矩陣中對手戰術和技術的能力有高度信心。

　　?ATT&CK框架實施的最大挑戰是缺乏與安全產品的互操作性：45%的全球調查受訪者認為缺乏與安全產品的互操作性是ATT&CK框架的最大挑戰，43%的受訪者認為將事件數據映射到戰術和技術是一個挑戰。

　　?很大一部分企業沒有將來自云、網絡和端點的事件關聯起來以調查威脅：只有39%的企業在調查威脅時合并了來自所有三種環境(云、網絡和端點)的事件。

使用ATT&CK的被調查者對矩陣值的認知

　　結論和建議

　　云安全仍然是一個不斷發展的領域，大多數威脅是可以檢測和預防的。

　　研究發現，作為數據所有者的企業應該采用全面的方法來調查云威脅，而不管共享責任模型如何劃分職責。雖然有些企業確實采用了其他框架來達到同樣的效果，但ATT&CK框架的應用最為廣泛，超過80%的被調查企業采用了它。

采用云計算與改進的安全態勢相關，并使組織能夠更自信地利用云計算資源。為進一步澄清，建議云威脅調查應使用以下構建塊進行全面評估：采用ATT&CK框架進行威脅調查、調查來自所有數據源的威脅、自動化。

　　文本由@云閑 原創發布于三個皮匠報告網站，未經授權禁止轉載。

　　數據來源：《McAfee：MITRE ATT&CK?作為云威脅調查框架》。