ISC 2021云峰会 ATT&CK安全能力衡量论坛上线，云聚安全技术实践

　　8月12日，ISC 2021云峰会安全技术实践主题各分论坛重磅上线，“ATT&CK安全能力衡量论坛”作为该主题之下的重点分享方向，囊括了众多行业内的专家、技术大牛、企业代表，聚焦ATT&CK安全能力建设，共同探讨和交流ATT&CK框架以及其在安全能力衡量的实践中的研究。

　　ATT&CK 由 MITRE 于 2015 年正式发布，作为近几年最火的攻防框架，汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术，形成了针对黑客行为描述及相应防御构建的通用语言和知识图谱。同时也为组织获得超越合规，面向实战而衡量，评价并持续改进安全能力提供了方法论基础和行动指南。

　　(公安部第三研究所首席科学家金波)

　　公安部第三研究所首席科学家金波为论坛致辞时表示，近年来随着云计算、大数据、物联网、移动互联等信息技术快速发展，网络空间与物理世界深度融合。地缘政治背景下国家网络空间冲突愈演愈烈，以窃取敏感数据、破坏关键基础设施为目的的国家APT活动更加频繁和活跃。网络安全行业已经成为大国博弈的核心主战场，背后是各国家级的攻防能力角逐。

　　面对这些问题，金波指出，近年来我国网络安全行业快速进步，在攻坚模拟、红蓝对抗、威胁狩猎等领域都借鉴了ATT&CK框架。我们需要在攻防对抗中把国家的特色建立起来，从已有的技战术和实践原理打磨沉淀，形成我国特色网络安全攻击、防御、度量的知识图谱体系。从而实现数据驱动自动化风险评估，数据驱动安全，从实战攻防角度进一步提升网络安全规划、设计、建设、运营运维的能力，进一步促进行业发展与能力提升。

　　(360政企安全集团产品战略规划专家何帆)

　　“传统网络安全度量与规划方法面临一些挑战，目前国内外网络安全成熟度模型、框架，重在评价网络安全能力有无缺失，缺少实战化的评价与规划。”360政企安全集团产品战略规划专家何帆在《网络安全能力度量与规划》的主题演讲中指出。他强调，实战是检验网络安全的唯一标准，因此组织需要一种实战驱动的网络安全方法论来度量与规划网络安全能力。面向实战的网络安全度量与规划方法，需要将实战攻防的元素与传统的网络安全咨询规划的方法相结合，以攻击者视角的知识图谱、防御者视角的知识图谱、能力视角的成熟度模型等三方面作为方法论基础，并且确保三个元素的关联性。围绕这个方法论，360公司进行了实践并构建了全景攻防知识图谱、网络安全防御框架以及网络安全成熟度模型，自主开发并形成了关联的三大关键元素。

　　(阿里巴巴办公安全负责人皮特)

　　阿里巴巴办公安全负责人皮特结合阿里巴巴的实践，带来了《阿里ATT&CK的“平凡”之路》的分享。他从ATT&CK在阿里巴巴如何落地、阿里巴巴如何做办公安全以及如何理解办公安全等方面展开阐述，并强调阿里巴巴对办公安全有明确的目标，就是为阿里巴巴员工提供安全的办公环境，最终保护阿里巴巴的商业资产安全。目前有许多场景网络安全问题需要解决，这些问题倒逼企业在ATT&CK、检测等方面进行革新。

　　(北京安天网络安全技术有限公司高级安全研究员侯方勇)

　　北京安天网络安全技术有限公司高级安全研究员侯方勇带来了题为《网空威胁框架的新进展与防御矩阵》的主旨演讲，并从威胁框架年度新进展、威胁框架到防御框架、构建全面有效的防御三方面展开介绍。他表示，安天构建了全面有效的防御框架，将这个框架定义在一个主维度上网络安全功能和能力的聚合方式，将关键安全动作作为防御能力定义的核心，进行安全动作的定义与枚举，将关键安全动作进行聚合，完成框架，将所有防御能力点转化为一个形式化表达式。

　　(京东科技SDL负责人陕晨阳)

　　安全能力建设一直是政企单位持续在探索的领域，如何从攻防实战出发进行安全能力建设更是一个热门的研究方向。京东科技SDL负责人陕晨阳带来了《以攻防实战为契机的安全能力建设》的分享。他指出，企业安全建设面临很多问题，复杂的业务场景，多变的攻击手段，防不胜防，外部真实需求不断增加，解决了从0到1的问题，面临从1到100的问题。攻击是点，防御是面，木桶理论进化为气球理论，一个点没做好就会有“漏气”的风险。安全能力建设落地需要满足天时地利人和，即攻击判断、立体防护安全产品以及安全运营应急处置。

　　(绿盟科技天元实验室研究员高东)

　　绿盟科技天元实验室研究员高东作了题为《ATT&CK VS. D3FEND》的主题演讲。他介绍说，ATT&CK、D3FEND在帮助攻防双方清晰梳理各自技战术的同时，无疑又因知己知彼而对攻防双方提出了更高的能力要求，也将攻防对抗提高到了一个新的层次。ATT&CK在日趋完善的背景下，D3FEND的出现是在其基础上的补充，未来也同样可能被采用ATT&CK的组织进行采用。而D3FEND是一种知识图谱的呈现，数据源直接决定了知识库的内容覆盖情况和准确性。无论是ATT&CK、D3FEND，还是另一种Shield，三者相互关联，旨在为防御者提供提高安全能力所需的信息，在组织的安全策略中都发挥着重要作用。

　　(360政企安全集团漏洞研究院网络安全工程师赵艳涛)

　　360政企安全集团漏洞研究院网络安全工程师赵艳涛带来了《Mapping MITRE ATT&CK TO Microsoft Exchange Attack》的分享，他介绍说，这个议题主要是从ATT&CK框架的视角来系统性的梳理和剖析针对Microsoft Exchange的攻击。这些梳理出来的针对Microsoft Exchange的技战术，为防御方防护Exchange这样一个至关重要的攻击面提供了系统性的参考。

　　(360政企安全集团安全攻防研究员莫建平)

　　360政企安全集团安全攻防研究员莫建平作了题为《使用AI技术对未结构化的威胁分析报告进行TTP自动化提取》的主旨演讲。他认为，TTP是攻击技战术及其实现过程。如果能够高效地提取到攻击者的TTP，交给防御方，那么就可以直击攻击者痛点。但是从分析报告里提取TTP面临着诸多挑战，诸如非结构化的信息、不同的描述方式等等。360知识云团队在构建360全景攻防知识库的过程中，采用AI技术对大量分析报告自动抽取TTP，大幅度提高了处理效率和准确性。

　　近年来，网络安全持续的变化，攻防之间的博弈在不停的进化，传统的网络安全能力的度量已经越来越显露出它的局限性，这就需要网安人有新的思考，新的网络安全能力度量方式来应对最新的网络安全趋势。本场论坛内容在ISC 2021云峰会的正式上线，为业内带来了思想火花的碰撞，搭建起了线上交流的平台，为行业发展贡献网安人的力量。