MITRE ATT&CK相較於NIST CSF

T兩個關鍵框架可以作為任何網路安全計畫的關鍵組成部分，無論是企業(IT)、營運(OT)還是兩者的整合版本(IT/OT)，即美國國家標準暨技術研究院(NIST)網路安全框架(CSF)和MITRE ATT&CK®。

• NIST 網路安全框架 是一套最佳實務、標準和建議，可協助組織改善其網路安全措施。最初其針對IT，但後來擴展到加入ICS元件。
• MITRE ATT&CK® 是一個公開可用的知識庫，分類對手在多個平台上使用的策略、技術和程式。最初是根據Windows企業環境中的真實世界入侵所構建，後來擴展到包括macOS、Linux、雲端、移動和工業控制系統(ICS)。

這篇文章將強調價值，並討論如何一起使用這兩個不同的框架，來制定更全面、更有效的安全策略。

如此一來，策略代表攻擊者可使用這些技術的「原因」，而技術代表他們使用這些技術的「方法」，這在本質上與治理的核心概念非常不同。

治理由結構、系統和實務組成，包括決策、策略方向指南、政策實施以及改進和改善措施的績效報告。同時，ATT&CK將各種技術分組，供網路安全專業人員和工具傳達防禦覆蓋、網路威脅情報、偵測能力和事件/紅隊結果。

為什麼應該同時使用NIST CSF 以及 MITRE ATT&CK

大多數組織都有治理結構和流程，其中包括組織如何保護自己免受網路威脅或使用技術。

NIST CSF由五個治理領域組成，這些領域全面描述：保護、識別、偵測、回應和復原。這五個領域為您的安全計畫提供總體結構或藍圖，並概述您需要解決的基本領域。

這就是MITRE ATT&CK框架(企業和ICS)發揮作用的地方。ATT&CK框架提出應收集的必要資訊或用例。兩者缺一不可，但當一起使用時，可為IT和OT環境推動有效的網路安全治理。

使用NIST CSF和MITRE ATT&CK的假設範例

想像以下場景：

製造組織從防毒程式和受影響的系統日誌中偵測到異常網路活動。來源源自連接到OT網路進行資料收集的IT工作站。

使用上述場景，將指派一名分析師來調查警報或異常情況，但他們將如何以及以何種方式進行調查？

保護您的OT環境需要正確的框架和技術。在此情況下，正確方法為：

1. 設置與五個NIST CSF領域一致的充足技術和指導/治理，以便安全團隊擁有清晰的流程和工具。
2. 確保資源和員工接受核心安全工具方面的充分培訓，以識別和偵測威脅、保護系統、隔離和阻擋攻擊者，以及復原受影響的系統。
3. 使用預定義的手冊，這些手冊使用ATT&CK策略、技術和程式進行微調和支援。
4. 使用ATT&CK框架來概述、識別和分類發生的網路事件，同時也將其作為事後分析流程的一部分。
5. 從開始到結束遵循組織的指導，包括將影響傳達給管理層。

這是一個高階概覽，需要根據您的組織進行定制，但需要注意的是，您可以在ICS和OT中一起使用這些框架。

使用NIST CSF、MITRE ATT&CK和Verve by Rockwell Automation實現全面的OT安全性

雖然NIST CSF和MITRE ATT&CK提供框架與知識，但在複雜的IT/OT環境中，若要有效實施通常需要正確的技術和資源。

當作為專注於結構化行動之組織的一部分實施時，Verve® by Rockwell Automation將成為寶貴的OT網路安全解決方案，有助於保護關鍵基礎設施。

有關 Verve by Rockwell Automation Security Center

Verve by Rockwell Automation Security Center超越資產庫存管理和漏洞管理，應用強大的OT系統管理(OTSM)方法。

ATT&CK 在使用SIEM時效果最佳，這非常重要，因為用於日誌記錄和警報(信號)的SIEM功能，是Verve by Rockwell Automation Security Platform的一項新功能。更重要的是，我們支援各種ATT&CK偵測用例，並提供額外的資源，以便使用這兩個框架來增強您組織的安全態勢。此包括：

• 識別風險，以及組織的NIST CSF輪覆蓋率中存在差距的區域。
• 列舉漏洞並追蹤補救措施。
• 創建自訂政策有助於保護端點免受特定技術的攻擊。
• 對補償控件進行分層，以降低攻擊者最初妥協方案的可能性。
• 微調日誌、警報和SIEM功能。
• 創建分組或使用特定ATT&CK TTP的自訂偵測「信號」。
• 將時間線剖析為導致意外發生的一系列事件。

鑒於Verve by Rockwell Automation具有獨特的功能，可安裝在商品系統上，以便與各種裝置、修補程式進行當地通訊，並從適用的OT系統提取日誌，因此您可以獲得強大的網路安全工具來輔助安全團隊。