云安全防护面对诸多重大挑战。随着云安全挑战和问题日渐复杂，
，，安全运营中心单一的威胁调查步骤也不再有效。 

统一云端和本地环境的威胁调查框架有助于改善组织的网络安全态势、、优化组织流程和提高产出。 

安全运营中心选取ATT&CK框架调查威胁，
，，有助于全面把握攻击者的战术和技术，
，，已成为宽泛共识。 

提要

 云推算的迅速选取，
，，使得组织正面对着安全责任划分、、安全防护和安全运营等方面的新挑战。云安全责任共担模型在治理和节制方面进行了明确的划分，
，，但对于具体产生的安全事务来说仍是闪烁其词。组织正在致力同时应对多种类型高风险恶挟，
，，在云安全防护方面依然面对诸多重大挑战。随着云安全挑战和问题日渐复杂，
，，安全运营中心单一的威胁调查步骤也不再有效。

统一云端和本地环境的威胁调查框架有助于改善组织的网络安全态势、、优化组织流程和提高产出。ATT&CK框架成为当前最宽泛选取的威胁调查框架，
，，并且仍在急剧发展之中。

 从技术认同上来看，
，，ATT&CK框架的使用有助于组织展示推广云服务；；
；ぴ鹑蔚挠帕夹蜗。从选取主张上来看，
，，大无数组织使用ATT&CK框架的主张是确定当前部署的安全产品或重要工作与框架领域或要求之间所存在的差距。从选取成效上来看，
，，ATT&CK框架全面反映了现有攻击者的战术和技术，
，，在现实的云安全实际和安全运营中被普遍选取。从选取水平上来看，
，，大无数企业已经处于规划和后续的执行阶段。从选取方式上来看，
，，安全事务象征后的战术执行依然是以手工作业方式为主，
，，不足有效的自动化。

 ATT&CK框架在实现时也存在一些天堑。大中型企业对自己的安全产品是否可能有效检测ATT&CK矩阵中所有攻击技术的信心不及。一些安全产品尚未齐全覆盖ATT&CK战术有关的所有技术和子技术，
，，ATT&CK框架实现时不足多源事务的关联，
，，安全产品之间不足互操作性。ATT&CK作为风险治理框架（或与之集成），
，，依然必要注明云厂商和客户之间责任共担的细节。

 调查汇报以为，
，，云端威胁仍不休发展变动中，
，，但大无数威胁都是能够检测和防备的。不论责任共担模型若何划分职责，
，，云厂商应采取全面的步骤来调查云端威胁。首先，
，，云厂商该当选取ATT&CK框架进行威胁调查，
，，鉴别攻击者的战术和技术。其次，
，，云厂商要全面调查来自网络、、终端和云端等所罕见据源的安全事务，
，，并将三者关联起来进行综合分析。最后，
，，安全运营团队面对着日渐增多的威胁调查，
，，有必要基于安全框架采取自动化方式进行事务象征和安全战术执行等。 

1、、媒介

 云推算使得任何组织都能够付费使用云厂商数据中心的软硬件资源。云推算以一种普适、、方便和按需付费的方式实现了对共享池中可配置推算资源的网络接见，
，，这些推算资源蕴含网络、、服务器、、存储、、利用法式和服务等，
，，可能被急剧和自动化的供给和回收。云推算提供了多样化的服务模型和部署架构，
，，可能矫捷适应分歧的利用场景。例如，
，，云推算4种重要的服务模式蕴含软件即服务（SaaS）、、平台即服务（PaaS）、、基础设施即服务（IaaS）和职能即服务（FaaS）；；
；云推算3种分歧部署架构，
，，蕴含公有云、、私有云和混合云。

 云推算在安全责任划分、、安全防御和安全运营等方面面对挑战。例如，
，，服务模型的多样化带来了安全责任划分问题，
，，此刻的云安全责任共担模型（如表1所示）在责任划分上依然过于粗糙。IaaS模型中，
，，云厂商承担较低层（即存储、、网络、、服务器和虚构化层）的安全责任，
，，客户承担操作系统及以上层的安全责任；；
；PaaS模型中，
，，云厂商承担除数据和利用法式之外的所有责任，
，，蕴含网络、、存储、、服务器、、虚构化、、操作系统、、中央件和运行时；；
；FaaS模型（也称无服务器架构）中，
，，客户承担微服务单个编程？？？榈陌踩鹑，
，，云厂商承担其他渣滓责任；；
；SaaS模型中，
，，云厂商承担与运营服务等有关的所有安全责任，
，，客户只承担配置和数据的安全责任。

表1:云安全责任共担模型示意注明

为了评估组织当前所面对的云安全挑战，
，，有必要对云端威胁进行全面和深刻的调查。组织正在越来越多地选取MITRE ATT&CK框架调查威胁。ATT&CK是一个凭据真实的观察数据来描述和分类攻击者战术和技术的知识库，
，，已经被宽泛利用到网络安全产品或服务威胁模型和步骤的开发之中。最新的企业8.0版本提供了14种战术（共计205种技术），
，，蕴含侦测（如网络受害者主机信息）、、资源开发（攻破基础设施或账户）、、初始化接见（如鱼叉式网络垂钓）、、执行（如利用PowerShell）、、悠久化（如使用登录剧本）、、提权（如过程注入）、、防御绕过（如批改注册表）、、凭证接见（如从web浏览器提取凭证）、、发现（如网络共享发现）、、横向移动（如通过远程桌面和谈衔接）、、网络（如本地系统的数据）、、号令和节制（如通过非尺度端口通讯）、、数据渗出（如通过号令和节制通道渗出数据）、、施加影响（如勒索软件加密的数据）。

 安全运营中心选取ATT&CK框架调查威胁，
，，有助于全面把握攻击者的战术和技术。汇报将介绍上云企业所面对的云安全挑战、、ATT&CK作为云端威胁调查框架的有效性和市场选取情况、、ATT&CK框架的实现天堑以及有关建议。 

2、、云安全挑战

 首先，
，，云安全责任共担模型在治理和节制方面进行了明确的划分，
，，但对于具体产生的安全事务来说依然：：磺。云厂商节制的服务档次不足可见性（例如，
，，较低层的存储、、网络、、服务器和虚构化），
，，很难确定客户的数据泄露是否是由云厂商宿主平台上的安全事务引起的。更为严重的是，
，，随着云厂商正越来越多地引入“即服务”产品，
，，新的服务模型不休形成，
，，安全责任的划分将会越发复杂。例如，
，，目前已被亚马逊、、谷歌和微软等企业宽泛选取的职能即服务（FaaS）是一个相对较新的产品，
，，对这种新服务模式必要重新界定安全责任。

其次，
，，组织正在同时与多种高风险的威胁类型作奋斗。ATT&CK框架云矩阵中10种战术，
，，从初始化接见到数据渗出等战术攻击都极度频仍。为了应对这些威胁，
，，安全运营团队正在对攻击进行分类和补救。60%的组织成立了安全运营中心，
，，并雇佣了专门的云端威胁调查工程师。32%的受访者目前地点的安全运营中心有10-20名云端威胁调查工程师，
，，15%的受访者目前地点的安全运营中心有20多名云端威胁调查工程师。

再次，
，，组织在云安全防护方面依然面对诸多重大挑战。34%的受访者在检测正在进行中的攻击方面遭逢挑战，
，，32%的受访者在；；
；ず椭卫矶喔鲈品务方面遭逢挑战，
，，31%的受访者在与第三方共享数据时遭逢挑战，
，，31%的受访者在防备未经授权接见方面遭逢挑战，
，，81%的受访者正在遭逢ATT&CK云矩阵中的战术攻击，
，，且频率极度高。

 此外，
，，随着云安全挑战和问题日渐复杂，
，，安全运营中心单一的威胁调查方式不再有效。很多威胁并非孤立于云或本地基础设施，
，，在混合云部署模型这种异构环境下，
，，来自云服务的威胁能够穿透本地基础设施，
，，来自本地基础设施的威胁也能够穿透云服务。无论是云端威胁，
，，还是传统的场内基础设施的威胁，
，，云端威胁调查工程师必要确保云威胁调查与其他安全运营调查相结合。

 所有这些挑战都凸起了ATT&CK威胁调查框架的必要性，
，，该框架既既要蕴含云环境威胁，
，，也要蕴含传统本地基础设施的威胁。

3、、ATT&CK威胁框架解决规划

 ATT&CK威胁框架有助于全面把握攻击者的战术和技术，
，，在安全运营中心选取ATT&CK威胁框架调查威胁已成为宽泛共识。63%的大中型企业的安全运营中心正在同时使用ATT&CK的云矩阵和企业矩阵。

 从技术认同上来看，
，，ATT&CK框架的使用有助于当局和企业展示推广云服务；；
；ぴ鹑蔚挠帕夹蜗。87%的受访者以为选取ATT&CK云矩阵有助于改善组织云安全，
，，79%的受访者以为选取ATT&CK云矩阵有助于推动云推算的选取。69%的受访者以为将安全运营中心外包给选取ATT&CK框架的第三方会感应安心。ATT&CK框架正在被当局和企业的防御者宽泛使用，
，，以发现可见性、、安全工具和流程方面的不及。          

从选取主张上来看，
，，大无数组织使用ATT&CK框架的主张是确定当前部署的安全产品或重要工作与框架领域或要求之间所存在的差距。57%的受访者以为ATT&CK框架有助于确定当前部署的安全工具中的实现差距，
，，55%的受访者以为该框架对安全战术执行有效，
，，54%的受访者以为该框架对威胁建模有效。

从选取成效上来看，
，，ATT&CK框架全面反映了现有攻击者的战术和技术，
，，在现实的云安全实际和安全运营中被普遍选取。81%的企业此刻正在使用ATT&CK框架，
，，其中63%的企业使用企业矩阵（Windows/Mac/Linux），
，，其中也有63%的企业正在使用云矩阵。83%的企业矩阵选取者以为企业矩阵全面反映了他们面对的攻击者战术和技术，
，，86%的云矩阵选取者以为云矩阵全面反映了他们面对的攻击者战术和技术。 

从选取水平上来看，
，，大无数企业已经处于规划和后续的执行阶段。汇报首先将云矩阵选取水平划分为无执行打算、、前期规划、、规划、、早期执行（重要用于参考和知识治理）、、中期执行（重要用于知识决策和自动响应）和高级执行（重要用于自动式威胁狩猎）。其中，
，，44%的企业处于规划和早期执行阶段，
，，44%的企业正处于ATT&CK云矩阵的中高级阶段。并且，
，，框架选取水平与最佳安全实际有关。中高级执行阶段通常必要将云端、、终端和网络环境的安全事务关联在一路，
，，60%的受访者暗示云矩阵正处于中高级执行阶段，
，，57%的受访者暗示企业矩阵正处于中高级执行阶段。对来自所有起源的安全事务进行全面分析，
，，可能全面推进安全事务检测和防御能力的构建。

从选取方式上来看，
，，安全事务象征后的战术执行依然是以手工方式为主，
，，不足有效的自动化。所有起源的安全事务，
，，意味着海量的数据，
，，分析这些数据往往导致安全运营中心的人力资源耗尽，
，，火急必要引入自动化的分析机制。91%的ATT&CK的云矩阵受访者使用云安全产品象征事务，
，，但不到一半的人实现了安全战术的自动化更改。其中，
，，48%的云矩阵受访者（在早期执行、、中期或高级阶段）暗示会使用云安全产品象征事务，
，，并允许安全战术自动化的更改。43%的受访者暗示固然会使用云安全产品象征事务，
，，但并没有思考安全战术自动化更改。安全运营团队有必要利用端到端的自动化工作流实现基于安全事务象征的威胁鉴别，
，，以及执行防备安全事务和实时响应的安全战术。

 4、、 ATT&CK威胁框架实现天堑

 首先，
，，一些安全产品尚未齐全覆盖ATT&CK战术有关的所有技术和子技术。组织该当对所有安全产品进行持续测试，
，，鉴别与ATT&CK战术有关的所有技术和子技术，
，，确保安全产品的有效性。

 其次，
，，ATT&CK框架的落地仍需有关基于ATT&CK框架的安全产品的支持。ATT&CK框架的使用正在面对一些挑战，
，，45%的组织以为ATT&CK的安全产品之间不足互操作性，
，，43%的组织以为很难将安全事务数据映射到战术和技术，
，，36%的组织暗示收到误报率太高。这些挑战必要基于ATT&CK框架的安全事务象征产品来解决。例如，
，，“渗出”战术优先于“初始化接见”战术。

 再次，
，，ATT&CK在实现时不足多源事务的关联。云推算的散布式特点以及通过互联网为用户提供的全球可接见性，
，，增长了鉴别和调查企业威胁的复杂性。这些威胁蕴含的网络、、终端和云组件的威胁，
，，必要网络、、终端和云等3个数据源的事务关联。只有39%的受访者在调查威胁时纳入了所有三种环境中的事务，
，，大无数受访者（57%）只使用终端和云2个源的安全事务调查威胁。

第四，
，，ATT&CK作为风险治理框架（或与之集成），
，，依然必要注明云厂商和客户之间责任共担的细节。例如，
，，美国当局的联邦风险和授权治理打算（Federal Risk andAuthorization Management Program，
，，FedRAMP）是一个很好的模式。通过划分联邦当局和云厂商之间所有部署的责任，
，，FedRAMP使美国当拘挠快了云推算的部署，
，，蕴含通过了国防部的结合企业防御基础设施（JEDI）等重大合同。云厂商为美国当局提供了专门的产品，
，，如AWS GovCloud和Azure Government。

 第五，
，，ATT&CK框架不足攻击者技术的优先级和权重。很多组织不使用ATT&CK框架，
，，一个重要原因是其不思考任何攻击者技术的优先级和权重。汇报以为这种做法是有意为之，
，，主张是促使对每个业务或安全产品的独立风险评估，
，，并确定各自威胁的可能性和影响力。每个企业必要凭据地点部门的威胁谍报和具体的威胁模型，
，，对战术和技术进行优先排序。

 未将所有起源安全事务关联的机构，
，，失去发现威胁类型的能力

最后，
，，大中型企业对自己的安全产品是否可能有效检测ATT&CK矩阵中所有攻击技术的信心不及。只有约莫49%的受访者对其组织的安全产品在每个ATT&CK矩阵中检测攻击者战术和技术的能力高度自负。  

5、、建议措施 

云端威胁仍不休发展变动中，
，，但大无数威胁都是能够检测和防备的。不论责任共担模型若何划分职责，
，，云厂商应采取全面的步骤来调查云端威胁。固然有些企业选取了其他框架达到同样的成效，
，，但ATT&CK框架的利用最为宽泛的，
，，超过80%的企业选取了该框架。ATT&CK框架的选取有助于改善网络安全态势，
，，使企业越发自负地利用云推算资源。

为此，
，，汇报建议采取以下措施进行全面的云端威胁调查：：

 1）选取ATT&CK框架进行威胁调查，
，，鉴别攻击者的战术和技术。大无数组织已经正在使用ATT&CK框架来尺度化组织的知识库，
，，鉴别当前部署的安全产品或工具中的缝隙，
，，领导安全战术的执行，
，，对威胁进行建模，
，，并评估与选取新技术（如云服务）有关的风险。

2）调查来自所罕见据源的威胁。维持对事务的可见性对于检测和防备威胁至关重要。在威胁调查中，
，，全面调查来自网络、、终端和云的事务，
，，并将三者关联起来进行综合分析。目前，
，，只有39%的受访者在调查威胁时将所有三种环境结合在一路。

3）自动化。安全运营团队面对着日渐增多的威胁调查，
，，有必要使用安全框架进行自动化的事务象征。