9月9日，由賽可達(dá)實(shí)驗(yàn)室、國家計(jì)算機(jī)病毒應(yīng)急處理中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心主辦，【綠盟科技(300369)、股吧】（300369）協(xié)辦的2021 ATT&CK技術(shù)與應(yīng)用論壇在北京順利召開。

　　會(huì)上，綠盟科技天樞實(shí)驗(yàn)室高級(jí)安全研究員張潤(rùn)滋博士發(fā)表了題為《安全運(yùn)營中ATT&CK框架的實(shí)用性挑戰(zhàn)與應(yīng)對(duì)》的主題演講，向與會(huì)來賓分享了綠盟科技對(duì)安全運(yùn)營和ATT&CK框架的研究和思考。

　　ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是一個(gè)攻擊行為知識(shí)庫和威脅建模模型，主要應(yīng)用于評(píng)估攻防能力覆蓋、APT攻擊防護(hù)、威脅狩獵、威脅情報(bào)關(guān)聯(lián)及攻擊模擬等領(lǐng)域。自發(fā)布以來，引發(fā)工業(yè)界和研究界的熱捧，已逐漸發(fā)展為網(wǎng)絡(luò)威脅分析語境下的通用元語。ATT&CK以相對(duì)適當(dāng)?shù)闹R(shí)抽象層次，充分覆蓋威脅領(lǐng)域的技戰(zhàn)術(shù)場(chǎng)景，給安全防御能力的匹配與對(duì)比提供了標(biāo)桿和抓手，是其成功的關(guān)鍵。

　　張潤(rùn)滋表示，在ATT&CK的驅(qū)動(dòng)下，越來越多的數(shù)據(jù)源采集能力成為企業(yè)威脅防護(hù)的標(biāo)配。不過，對(duì)于安全運(yùn)營團(tuán)隊(duì)來說，大規(guī)模、規(guī)范化的采集數(shù)據(jù)的接入只是起點(diǎn)，如何利用數(shù)據(jù)對(duì)抗愈發(fā)隱匿的高級(jí)威脅行為，持續(xù)降低企業(yè)和組織的風(fēng)險(xiǎn)才是關(guān)鍵所在。

　　從安全運(yùn)營的實(shí)戰(zhàn)來看，MITRE ATT&CK從數(shù)據(jù)規(guī)范性、能力抽象、語義增強(qiáng)等多個(gè)方面給威脅建模與分析領(lǐng)域帶來新機(jī)遇。然而，ATT&CK也逃不過安全運(yùn)營大規(guī)模數(shù)據(jù)分析挖掘的實(shí)用性命題。在實(shí)戰(zhàn)化攻防的背景下，基于ATT&CK框架進(jìn)行威脅分析、攻擊溯源等任務(wù)，仍然面臨采集與分析系統(tǒng)瓶頸、高覆蓋率下的誤報(bào)疲勞、數(shù)據(jù)收集隱私風(fēng)險(xiǎn)、知識(shí)一詞多義與信息流依賴爆炸等多方面的技術(shù)瓶頸。

　　為應(yīng)對(duì)以上挑戰(zhàn)，提升ATT&CK在安全運(yùn)營中的實(shí)用性與實(shí)戰(zhàn)性，我們可以基于面向場(chǎng)景化的攻防對(duì)抗模擬，做好知識(shí)構(gòu)建與富化，結(jié)合APT行為數(shù)據(jù)與威脅情報(bào)數(shù)據(jù)的融合分析，構(gòu)建可用的、濃縮的ATT&CK數(shù)據(jù)資源池；通過分布式的處理分析架構(gòu)緩解性能瓶頸與隱私風(fēng)險(xiǎn)；通過人機(jī)協(xié)同與可運(yùn)營的分析手段，對(duì)數(shù)據(jù)中ATT&CK技戰(zhàn)術(shù)細(xì)節(jié)進(jìn)行統(tǒng)計(jì)與因果建模，支撐精準(zhǔn)、富含語義的威脅行為分析。此外，提升檢測(cè)分析能力的標(biāo)準(zhǔn)化水平，促進(jìn)攻擊技戰(zhàn)術(shù)行為數(shù)據(jù)共享，結(jié)合技術(shù)開源，通過多種途徑來打造威脅知識(shí)庫與元語言技術(shù)生態(tài)，能夠有效應(yīng)對(duì)威脅建模技術(shù)在安全運(yùn)營實(shí)戰(zhàn)中的諸多挑戰(zhàn)，提升APT等高級(jí)威脅防御、檢測(cè)、溯源的技術(shù)水平。