McAfee发布了《MITRE ATT&CK®作为云威胁调查框架》。
报告指出,随着云计算的迅速采用,所有企业都面临着新的安全挑战。McAfee调查并采访了领先的安全专业人士,调查他们如何评估和应对这些挑战,包括快速变化的技术和商业模式,云服务提供商和云服务购买者之间关于安全责任分担的模糊性,以及管理云中与本地和混合环境交织在一起的威胁的需要。
绝大多数的研究对象都认为,一个包含云环境和本地环境的统一调查框架将通过为威胁调查提供一个单一的集成解决方案来改进其流程和结果。这样的框架是存在的,但它们的总体效用受到几个已知缺点的限制,最明显的是缺乏与安全工具的互操作性,阻碍了自动化。
MITRE-ATT&CK®框架是目前采用最广泛的框架,随着该框架提高了其集成和自动化能力,许多企业正朝着更广泛的应用方向发展。这些领域的进一步改进将有助于企业更加自信地利用云计算带来的效率。
在全部调查对象中使用ATT&CK
主要发现
•对手技术几乎针对云中的所有企业执行:81%的组织体验了ATT&CK矩阵中针对企业的对手技术,涵盖了基于云的技术(云矩阵);58%的所有企业每月体验一次攻击的“初始访问”阶段。
•企业使用ATT&CK框架来确定当前部署的安全产品和其他重要任务中的差距:57%的全球受访者认为ATT&CK框架有助于确定当前部署的安全工具中的差距。55%的人推荐安全策略实施框架,54%的人认为该框架对威胁建模有用。
•大中型企业对其安全产品检测ATT&CK矩阵中的所有技术没有充分信心:只有约49%的受访者对其安全产品检测ATT&CK矩阵中对手战术和技术的能力有高度信心。
•ATT&CK框架实施的最大挑战是缺乏与安全产品的互操作性:45%的全球调查受访者认为缺乏与安全产品的互操作性是ATT&CK框架的最大挑战,43%的受访者认为将事件数据映射到战术和技术是一个挑战。
•很大一部分企业没有将来自云、网络和端点的事件关联起来以调查威胁:只有39%的企业在调查威胁时合并了来自所有三种环境(云、网络和端点)的事件。
使用ATT&CK的被调查者对矩阵值的认知
结论和建议
云安全仍然是一个不断发展的领域,大多数威胁是可以检测和预防的。
研究发现,作为数据所有者的企业应该采用全面的方法来调查云威胁,而不管共享责任模型如何划分职责。虽然有些企业确实采用了其他框架来达到同样的效果,但ATT&CK框架的应用最为广泛,超过80%的被调查企业采用了它。
采用云计算与改进的安全态势相关,并使组织能够更自信地利用云计算资源。为进一步澄清,建议云威胁调查应使用以下构建块进行全面评估:采用ATT&CK框架进行威胁调查、调查来自所有数据源的威胁、自动化。
文本由@云闲 原创发布于三个皮匠报告网站,未经授权禁止转载。
数据来源:《McAfee:MITRE ATT&CK®作为云威胁调查框架》。