基于AKK&CK的威胁模型看风险管理

星云数世咨询 2023-03-01

MITRE ATT&CK框架发布于2015年，已经成为对攻击进行分类，与理解组织防守能力的方法之一。该框架同样适用于风险管理人员，帮助他们理解哪些攻击最具破坏性，以及这些攻击发生的大致频率。

将MITRE ATT&CK整合到组织的风险管理框架中，能够有效地提升组织内上下级的风险报告效率。其中，当风险管理者考虑经典ATT&CK框架在经典模型中（损失发生的频率乘以影响）的价值之前，首先要理解威胁模型在建立一个完整的风险场景中的作用。

损失发生的场景

风险是指可能发生损失的地方，风险本身并非是损失。ATT&CK框架中的一些项目，用企业风险管理的话来说，是“风险诱因”——指示将要发生或者已经发生的事件的迹象。以数据加密或者定期转移技术为例，这些防渗漏的技术是日常业务的一部分，但是我们需要想象攻击者会如何利用这些技术进行操作。

然而，这些技术本身并不会直接给我们公式的第一部分：频率。组织遭受攻击的频率对主管人员而言，是对风险相当重要的考量。这一层面上，ATT&CK只能帮助理解损失发生的频率或者可能性，而非损失带来的影响。

就风险评估建立威胁模型

很多人都认为很难做到将某些攻击归因于不同的攻击方，但出于风险评估的目的，积极归因并不是必要的。事实上，将攻击归因于不同类型的攻击方有利于分析组织中不同方面的能力。

举例而言，公司内部的非IT员工可能会尝试保安里破解凭证，或者在一些文件和纸张上寻找被记录的凭证，从而达成他们的恶意目的。但是，有技术的犯罪者可能会通过中间人攻击，对双因子验证进行截取。一般而言，这两类攻击者都会有一定的重叠部分。

利用ATT&CK判断损失发生率

许多组织并没有数据，去解决“犯罪份子多久最者把我们作为攻击目标”，或者“犯罪份子多久会对我们组织造成损失”这类的问题。

不过另一方面，他们也是有一些数据——以攻击类型的方式。比如，他们可以通过追踪到一些犯罪份子团体，大致知道自己受到勒索病毒攻击的频率。

自动化攻防工具能在一天内轻易地发现1,000起事件。但是，这些事件是不能直接作为“造成损失”的事件频率的。事实上，一些专家会基于这些数据上进行调整，判断组织的损失发生事件概率：比如终端检测响应工具可能一天阻断800次事件，但是在一年中，组织发生会产生损失的事件概率大概只有一到三次。

这样使用威胁模型能帮助网络风险经理综合两个非常重要的因素：一方面是日常操作，比如安全运营、威胁管理等——这些都是很关键的功能，但是往往被高层管理所注意；另一方面是自上而下的管理——但是却缺乏一线的信息。通过威胁模型进行风险管理，可以将一线获取的数据进一步提炼后，告知高层管理进行评估。

关键词：风险管理；威胁模型；ATT&CK；