CardinalOps推出MITREATT&CK安全层用于测量与预期业务成果相关的检测状态|今日热文
【资料图】
检测姿态管理公司CardinalOps今天宣布了一种使用MITRE ATT&CK 框架测量检测姿态和作为理解对手剧本和行为的标准框架,MITRE ATT&CK现在描述了威胁组织(如 APT28、Lazarus Group、FIN7 和 LAPSUS$)使用的 500 多种技术和子技术。
根据 ESG 研究,89% 的组织目前使用 MITRE ATT&CK 来降低安全操作用例的风险,例如确定检测工程的优先级、将威胁情报应用于警报分类,以及更好地了解对手的战术、技术和程序( TTP)。
为什么需要新的覆盖率指标
传统的 MITRE ATT&CK 覆盖率指标和热图过于简单,因为它们仅将与给定技术一致的检测总数相加,而没有衡量您的基础设施中有多少攻击面实际上被所有检测覆盖。
MITRE ATT&CK Security Layers 由 CardinalOps 开发,首次通过测量检测覆盖的“深度”显着扩展了 ATT&CK 覆盖的概念。它通过将每个检测映射到特定的安全层(例如端点、网络、电子邮件、云、容器和 IAM),然后枚举给定技术涵盖的不同层的数量来实现这一点。
这使 SecOps 团队能够确保他们在多个层次上对对他们最重要的技术进行“深度检测”。
此外,安全层使组织能够通过立即识别与皇冠上的珠宝资产(例如最敏感的应用程序和数据)相关的盲点,将其覆盖范围与所需的业务成果联系起来。它还揭示了缺失的遥测和数据源,可以将其纳入其检测策略以增加覆盖深度。
使用安全层的覆盖跟踪内置于 CardinalOps 自动化平台中,该平台持续审核现有 SIEM/XDR 的规则集,并将它们分组到每个 ATT&CK 技术的各自层中。该平台与主要 SIEM 本地集成,包括 Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle SIEM、CrowdStrike Falcon LogScale 和 Sumo Logic。