技術專欄

對應MITRE ATT&CK框架的思科資安

Cisco 思科 網路解決方案供應商
2021/12/27

瞭解所有網路攻擊手法並以智取勝。

從敵人的角度思考。這是個好建議,但誰有時間這麼做?您的角色是守護網路安全,每天僅能以有限的時間與資源保護您的組織,同時努力填補已知的各種破口。此外,您還得處理員工會議、執行報告與專案要求,幾乎沒有時間研究可能被攻擊的各種方式,並想出因應之道。若能假手他人提供助力,才是上上策。

 

MITRE的聚焦解析。MITRE持續研究及分析攻擊者的手段,並記錄於ATT&CK 矩陣。ATT&CK是對抗戰術、技術和共用知識庫的簡稱(Adversarial Tactics, Techniques, and Common Knowledge),其中的「戰術、技術(Tactics, Techniques)」則是說明攻擊者的行為方式。MITRE針對各種方式提供緩解建議,讓您瞭解如何有效因應。而且MITRE將這個共用知識庫免費開放給所有人使用。

 

思科的跟進行動。ATT&CK提供必要的基礎知識,但您可能需要助力,以將知識轉化為行動。思科為您的組織提供防護,免於ATT&CK記錄的各種威脅。我們擁有全方位的資安組合方案,讓您能立即採取因應對策。首先,您可能想要瞭解我們解決方案的定位,以及我們如何將這些解決方案對應到 ATT&CK 企業版矩陣中。 思科最瞭解MITRE ATT&CK,並準備好隨時助您一臂之力。

 

思科解決方案的涵蓋範圍很廣,但也因而發揮最大效益。

沒有單一廠商能阻止所有可能的威脅,但思科憑著廣泛的產品與服務組合,就能處理ATT&CK列出的多數威脅。思科所提供的企業緩解措施發揮了最大效益,包括:

• 防毒/防惡意程式碼軟體。進階惡意程式防護(AMP)使用各種防惡意程式碼軟體技術與思科防毒引擎,快速偵測並阻止惡意軟體的攻擊。思科將AMP技術整合於許多解決方案,如電子郵件資安與Duo安全存取,以發揮更好的成效。此外,透過加密流量分析,可在無需解密的狀態下,精準偵測出藏在加密網路流量中的惡意軟體。

 

• 防範端點行為。攻擊者經常針對端點進行攻擊,因為有太多方式可以輕易攻破端點。為了即時阻止端點出現的可疑活動,思科推出新一代的端點資安組合,包括AMP、Duo、資安防護傘與其他進階威脅偵測功能,連線或離線使用皆可支援。

 

• 憑證存取保護。憑證資訊也是攻擊者最常鎖定的目標,以便長驅直入展開攻擊。對此,思科新一代入侵預防系統(NGIPS)使用Snort規則,快速識別及阻止憑證傾倒工具(如 Mimikatz)入侵您的網路。此外,思科的身分識別服務引擎(ISE)能管理並實行強式密碼政策,Duo多重因素驗證則可限縮憑證遭竊導致的損害。

 

•網路流量篩選。思科新一代防火牆與NGIPS遵循MITRE的建議,專為過濾流入或流出的傳輸及執行協定過濾所設計。此外,AMP端點版採用端點隔離技術,以過濾傳輸並阻止威脅擴散。

•多重因素驗證。思科Duo提供最新且高效的多重因素驗證,先驗證使用者身分,再決定是否授予存取權。另一方面,ISE以驗證結合職務授權來確保安全的網路存取,並整合Duo及其他多重因素驗證產品如 RADIUS RFC2865 的相容標記伺服器,以降低密碼式攻擊的風險。

 

•網路分區。思科ISE可直接在網路內建易於管理與擴增的網路分區功能,免除繁瑣的設定程序。如此一來,您就能在網路實行以職務為基礎的最低權限存取政策,並能輕鬆簡便地擴及整體組織。

 

• 限制網頁內容。思科的雲端資安、網站安全與電子郵件資安的解決方案能限制網頁內容,以阻止由網頁瀏覽、電子郵件連結及重要SaaS應用程式如Office 365所引發的威脅。思科安全連接器是Apple iOS裝置專屬的應用程式,無論使用者身在何處,都能提供對網路傳輸的可見性並封鎖惡意網站連結。此外,無論使用者是否連結您的企業網路,AnyConnect Secure Mobility用戶端版本內建的資安防護傘,皆能保護漫遊使用者免於網頁式威脅。  

 

思科資安支援 MITRE ATT&CK

思科為何採用 ATT&CK?

為了協助您做出明智的資安投資決策。

我們如何與 ATT&CK 對應?

我們以企業緩解措施對應,明確展示我們的解決方案如何協助您採取行動。

對應的詳細度?

我們的白皮書詳細解說了對應的方法及原因。光靠條列式檢核清單並不足夠。

涵蓋的範圍多大?

非常全面且完善。我們廣泛的資安組合涵蓋最多數的緩解措施。進一步瞭解我們如何助您一臂之力。

 

與緩解措施對應的緣由

 

以下是思科為何不與個別的戰術、技術或程序(TTPs)對應的原因

• 行動力。緩解措施是MITRE針對如何抵禦特定威脅所提出的TTPs建議。瞭解威脅的細節固然重要,但你真正需要的是採取行動。

• 簡易性。TTPs的清單很長且時常異動。但MITRE將所有TTPs與緩解措施對應,做成較為簡短、較少變動的清單。如此一來,光靠單一緩解措施就能處理許多不同的威脅。

• 穩定性。MITRE根據新的SubTechnique進行分類,將TTPs重新命名與整理,因而必須重新進行許多以TTP為準的對應。  

思科能做得更多、做得更好。

思科資安解決方案能支援MTIRE ATT&CK矩陣中絶大多數的緩解措施。

表格彙總我們如何對應企業版緩解措施的完整清單。對照表格頂端橫列的各項產品及功能,以及表格左側直列的緩解措施,標示為綠色的方塊代表我們有能力支援並協助處理的位置。

在您瞭解攻擊者的所有手法後,便能以智取勝。讓思科助您一臂之力。

使用MITRE ATT&CK企業版,充分掌握威脅者的操作手法,您也能完全仰賴思科資安,協助您做好萬全準備及付諸行動。為您的資安投資做出明智決定,讓每一筆投資創造出更高的價值。

 

聯絡 我們