MITRE Engenuity近日發(fā)布了業(yè)界首個(gè)全面的內(nèi)部威脅策略、技術(shù)和程序（TTPs）知識(shí)庫(kù)。

　　該知識(shí)庫(kù)基于今年2月中旬MITRE威脅情報(bào)防御中心與花旗集團(tuán)、微軟、Crowdstrike、Verizon和JP Morgan Chase等多行業(yè)巨頭合作發(fā)布的內(nèi)部威脅TTP知識(shí)庫(kù)的設(shè)計(jì)原則和方法論（論文鏈接在文末）。

　　MITRE聲稱內(nèi)部威脅知識(shí)庫(kù)將有助于防御者更好地檢測(cè)、緩解和模擬IT系統(tǒng)上的內(nèi)部威脅行為并阻止它們：

　　“我們的目標(biāo)是幫助企業(yè)將內(nèi)部威脅緩解措施從‘可能’轉(zhuǎn)變?yōu)榭刹僮鞯臋z測(cè)和響應(yīng)。”

　　從SOC視角看內(nèi)部威脅

　　在發(fā)布內(nèi)部威脅TTP知識(shí)庫(kù)的同時(shí)，MITRE威脅情報(bào)防御中心研發(fā)主管Jon Baker的一篇博客文章強(qiáng)調(diào)了每個(gè)CISO都知道的事情，“惡意內(nèi)部人員對(duì)組織構(gòu)成了獨(dú)特的威脅。”Baker指出，重點(diǎn)是“在IT環(huán)境中SOC可以觀察到的”網(wǎng)絡(luò)威脅和活動(dòng)。

　　企業(yè)會(huì)采用不同的方法來(lái)應(yīng)對(duì)內(nèi)部威脅，這導(dǎo)致誰(shuí)可以訪問(wèn)哪些數(shù)據(jù)（SOC、HR、物理安全等）以及如何處理內(nèi)部威脅的方式存在顯著差異。鑒于SOC專注于網(wǎng)絡(luò)威脅，我們?cè)趨⑴c者中發(fā)現(xiàn)了一個(gè)共同點(diǎn)和機(jī)會(huì)——SOC團(tuán)隊(duì)可以訪問(wèn)內(nèi)部威脅案例數(shù)據(jù)的子集，在內(nèi)部威脅計(jì)劃中往往能發(fā)揮作用。

　　14個(gè)重點(diǎn)內(nèi)部威脅技術(shù)

　　內(nèi)部威脅TTP知識(shí)庫(kù)包括54種惡意內(nèi)部人員行為的已識(shí)別技術(shù)，并著重強(qiáng)調(diào)了其中14個(gè)關(guān)鍵技術(shù)：

　　偵察

　　資源開(kāi)發(fā)

　　初始訪問(wèn)

　　執(zhí)行

　　駐留

　　權(quán)限提升

　　防御規(guī)避

　　憑證訪問(wèn)

　　發(fā)現(xiàn)

　　橫向運(yùn)動(dòng)

　　信息收集

　　命令與控制

　　滲出

　　影響

　　人們經(jīng)常假設(shè)，乖乖留在“泳道”內(nèi)的受信任的內(nèi)部人員可能永遠(yuǎn)不會(huì)出現(xiàn)在內(nèi)部威脅管理程序的雷達(dá)上。MITRE內(nèi)部威脅TTP知識(shí)庫(kù)的目的就是覆蓋這個(gè)盲區(qū)，并證明即使是那些留在“泳道”上的人，當(dāng)他們采取可疑行動(dòng)時(shí)同樣會(huì)被檢測(cè)到。

　　常見(jiàn)的惡意內(nèi)部威脅策略

　　MITRE內(nèi)部威脅知識(shí)庫(kù)的設(shè)計(jì)原則包括了對(duì)每個(gè)TTP所需技能水平的評(píng)估，基于真實(shí)案例微TTP分配“已經(jīng)”、“將”和“可能”三種參數(shù)，并重點(diǎn)強(qiáng)調(diào)了在那些已發(fā)生案例中經(jīng)常被使用的TTP，研究結(jié)果得出以下這些常見(jiàn)的惡意內(nèi)部威脅策略的推論：

　　“內(nèi)部威脅通常使用簡(jiǎn)單的TTP來(lái)訪問(wèn)和泄露數(shù)據(jù)。”

　　“內(nèi)部威脅通常會(huì)利用現(xiàn)有的特權(quán)訪問(wèn)來(lái)促進(jìn)數(shù)據(jù)盜竊或其他惡意行為。”

　　“內(nèi)部人員通常會(huì)在泄露之前‘暫存’他們打算竊取的數(shù)據(jù)。”

　　“外部/可移動(dòng)媒體仍然是一個(gè)常見(jiàn)的滲出渠道。”

　　“電子郵件仍然是一種常見(jiàn)的滲透渠道。”

　　“云存儲(chǔ)既是惡意內(nèi)部人員的數(shù)據(jù)收集目標(biāo)，也是一個(gè)滲透渠道。”

　　然后，MITRE采用這些推論并分配“使用頻率”權(quán)重，為每個(gè)威脅分配“頻繁”、“中度”或“不頻繁”標(biāo)簽，以幫助安全人員對(duì)內(nèi)部威脅技術(shù)的可能性進(jìn)行分類，并確保那些發(fā)生頻率更高的事件被覆蓋。隨附的GitHub文檔（文末）旨在幫助安全團(tuán)隊(duì)對(duì)其經(jīng)驗(yàn)進(jìn)行分類。

　　資源有限的企業(yè)應(yīng)將注意力集中在可能性較高的TTP上，并在條件允許時(shí)保留對(duì)可能性較低的TTP的檢測(cè)。貝克認(rèn)為，對(duì)可能性較低的TTP的過(guò)分關(guān)注雖然會(huì)讓團(tuán)隊(duì)看上去很有創(chuàng)意，但“會(huì)導(dǎo)致內(nèi)部威脅計(jì)劃和SOC失去焦點(diǎn)。”因此，首席信息安全官應(yīng)該優(yōu)先采用那些效率更高的方法。

　　關(guān)注最可能的內(nèi)部威脅場(chǎng)景

　　雖然國(guó)家黑客組織收買(mǎi)員工有著非常現(xiàn)實(shí)的可能性，但實(shí)施內(nèi)部惡意行為的更多動(dòng)機(jī)是個(gè)人獲利或“提升”職業(yè)生涯捷徑。這可能包括個(gè)人收集信息謀求個(gè)人利益，例如出售手頭的商品（其雇主的知識(shí)產(chǎn)權(quán)和商業(yè)秘密），或?qū)⑿畔?數(shù)據(jù)作為下一次工作機(jī)會(huì)的條件。

　　MITRE表示，創(chuàng)建內(nèi)部威脅TTP知識(shí)庫(kù)和社區(qū)的目的是確保“內(nèi)部人員將不能在合法使用的掩護(hù)下進(jìn)行操作；我們將在內(nèi)部威脅給企業(yè)造成代價(jià)高昂且令人尷尬的損失之前發(fā)現(xiàn)它。”這個(gè)目標(biāo)可以通過(guò)行業(yè)共享、流程和應(yīng)用、網(wǎng)絡(luò)研討會(huì)和會(huì)議來(lái)實(shí)現(xiàn)，“防御者可以相互學(xué)習(xí)”。

　　MITRE首次為內(nèi)部威脅活動(dòng)開(kāi)發(fā)知識(shí)庫(kù)和框架是很有意義的，強(qiáng)烈建議CISO們對(duì)該知識(shí)庫(kù)和框架的適用性進(jìn)行評(píng)估，然后確定是否或者如何采用該框架來(lái)制訂或優(yōu)化內(nèi)部威脅的檢測(cè)和響應(yīng)策略。