在当今复杂多变的网络威胁环境中,清晰的认知和准确的判断变得尤为重要。网络防御者面临的挑战是如何在不断变化的攻击手段中找到突破口,而这往往取决于我们对威胁的理解深度。为了应对这一挑战,MITRE (非营利组织,负责运营美国政府的联邦资助研发中心 (FFRDC)。这些研发中心为政府机构提供网络安全、国防和医疗保健等各个领域的技术专业知识和支持。)五年前成立了威胁情报驱动防御中心(CTID),旨在推动全球范围内威胁情报驱动防御的“技术前沿”和“实践应用”。Fortinet 作为 CTID 的早期成员之一,迅速成为其最活跃的贡献者之一,并于 2022 年成为 CTID 的官方研究合作伙伴。
CTID 的模式是将来自公共和私营部门的专家聚集在一起,共享数据、研究成果和专业知识。这些集体研究的成果,包括框架、工具和发现,直接融入到 Fortinet 等厂商的产品和实践中,帮助客户构建更强大的防御体系。
为了纪念 CTID 成立五周年,该组织最近发布了 2024 年影响力报告,详细介绍了其 40 个开源研究项目,以及这些项目如何为网络安全社区提供支持。以下是其中三个关键项目的深入解读,它们通过提供真实威胁的可见性、预测性洞察和韧性策略,显著增强了防御者的工具箱。
威胁观测生态系统:揭示真实世界中的威胁
首席信息安全官(CISO)常常面临这样的问题:“我们应该优先关注哪些攻击者技术?”
过去,防御者往往缺乏对真实世界中攻击者行为的可见性,导致在设置优先级时只能依靠猜测。而威胁观测生态系统(Sightings Ecosystem)项目正是为了解决这一问题而诞生。
该项目于 2024 年 3 月启动,创建了一个全球性的威胁观测网络,组织可以自愿提交其检测到的 MITRE ATT&CK 技术的原始数据。这些数据经过匿名化和聚合,形成一个社区数据集,揭示了哪些攻击技术最为普遍。这一努力将战场知识转化为跨越组织和地理边界的威胁活动实证地图。
作为 CTID 的赞助商,Fortinet 为其贡献了来自 FortiGuard Labs 团队的大量威胁情报数据,涵盖了 198 个国家的 160 万条观测记录,涉及 353 种独特的 MITRE ATT&CK 技术。这些全球范围的数据为项目提供了丰富的分析基础,帮助 CISO 更清楚地了解哪些威胁需要优先防御。
技术推断引擎:预测攻击者的下一步动作
威胁观测生态系统揭示了攻击者已经采取的行动,而技术推断引擎(Technique Inference Engine, TIE)则专注于预测攻击者可能采取的下一步行动。这一基于机器学习的工具于 2024 年底推出,能够根据过去的观测数据推断出攻击者尚未被发现的技术。
简单来说,如果安全团队知道攻击者使用了技术 X,TIE 可以预测攻击者可能接下来会使用的技术 Y,即使 Y 尚未被检测到。这种能力为防御者提供了战略性洞察,使他们能够提前发现并缓解攻击者可能使用的威胁技术,从而更快地弥补安全漏洞。
训练一个能够预测攻击行为的 AI 模型需要大量多样化的训练数据,而 Fortinet 的全球威胁情报数据集在这一过程中发挥了关键作用。Fortinet 与其他领先组织合作,贡献了大量经过整理的网络威胁情报报告和攻击者数据,为 TIE 的机器学习模型提供了支持。这些数据包括来自之前 CTID 项目(如威胁观测生态系统、MITRE Attack Flow、公共威胁情报库和合作伙伴贡献的情报)的 6200 份真实攻击报告,覆盖了 96% 的 MITRE ATT&CK 技术。
通过从全球范围内观察到的实际攻击序列中学习,TIE 的建议基于现实而非理论。这种项目推动了防御哲学的转变,使安全团队从被动响应警报转向主动预测攻击者的路径。
攀登金字塔:增强防御能力以抵御规避攻击
攻击者拥有越来越多的工具来增加攻击的规模和复杂性,因此防御者必须在每一步都增加攻击者的难度。MITRE 的“痛苦金字塔”概念正是基于这一理念:攻击者更难改变其战术或技术,而不是仅仅更换低级别的指标(如 IP 地址或哈希值)。CTID 的“攀登金字塔”(Summiting the Pyramid, STP)项目正是基于这一理念而开发的。
STP 项目于 2023 年首次启动,并在 2024 年进行了增强,旨在对检测分析能力进行评分并加以改进。STP 为防御者提供了一种衡量其检测能力是否足够强大的方法:团队是否主要捕获了容易更改的低级别指标(金字塔底部),还是针对了更难更改的行为和 TTP(金字塔顶部)?该项目指导检测工程师创建能够抵御攻击者规避行为的分析逻辑,即使攻击者改进了工具或恶意软件,检测逻辑仍然能够触发警报。
Fortinet 与其他几家知名网络安全公司一起为 STP 项目贡献了专业知识,确保这一框架真正满足企业防御者的需求。FortiGuard Labs 团队分享了匿名化的检测分析和攻击者案例研究,以测试 STP 方法的有效性。通过将 Fortinet 的检测内容运行在金字塔评分系统中,团队验证了该方法是否与真实世界的数据一致,并帮助优化了评分标准和建议。
最终,STP 提供了一个完整的框架,包括方法论和技巧,帮助组织使其分析逻辑更难以被攻击者规避。
公共与私营合作的力量
这些 CTID 项目展示了公共和私营部门合作所能实现的成果。例如,像 STP 这样强大的分析模型无法单独创建,因为没有任何一个组织拥有所有必要的数据和资源。当知识共享时,所有防御能力都会得到加强。
作为防御者,我们必须采用并运营这些工具,为这些生态系统做出贡献,并在组织内倡导威胁情报驱动的防御工作。每一个点亮威胁观测生态系统数据的仪表板、每一个由 TIE 预测增强的剧本、每一个通过 STP 评分的检测规则,都是迈向更安全社会的一步。
联系瑞技
Fortinet 一直以来都是网络安全发展以及网络和安全融合的推动力量,也是业内部署最广泛、专利最多、验证最充分的解决方案之一。欢迎来联系瑞技,一起打造您的专属网络安全空间。
400-8866-490 | sales.cn@bytebt.com
