對應MITRE ATT&CK框架的思科資安

瞭解所有網路攻擊手法並以智取勝。

從敵人的角度思考。這是個好建議，但誰有時間這麼做？您的角色是守護網路安全，每天僅能以有限的時間與資源保護您的組織，同時努力填補已知的各種破口。此外，您還得處理員工會議、執行報告與專案要求，幾乎沒有時間研究可能被攻擊的各種方式，並想出因應之道。若能假手他人提供助力，才是上上策。

 

MITRE的聚焦解析。MITRE持續研究及分析攻擊者的手段，並記錄於ATT&CK 矩陣。ATT&CK是對抗戰術、技術和共用知識庫的簡稱（Adversarial Tactics, Techniques, and Common Knowledge），其中的「戰術、技術（Tactics, Techniques）」則是說明攻擊者的行為方式。MITRE針對各種方式提供緩解建議，讓您瞭解如何有效因應。而且MITRE將這個共用知識庫免費開放給所有人使用。

 

思科的跟進行動。ATT&CK提供必要的基礎知識，但您可能需要助力，以將知識轉化為行動。思科為您的組織提供防護，免於ATT&CK記錄的各種威脅。我們擁有全方位的資安組合方案，讓您能立即採取因應對策。首先，您可能想要瞭解我們解決方案的定位，以及我們如何將這些解決方案對應到 ATT&CK 企業版矩陣中。 思科最瞭解MITRE ATT&CK，並準備好隨時助您一臂之力。

 

思科解決方案的涵蓋範圍很廣，但也因而發揮最大效益。

沒有單一廠商能阻止所有可能的威脅，但思科憑著廣泛的產品與服務組合，就能處理ATT&CK列出的多數威脅。思科所提供的企業緩解措施發揮了最大效益，包括：

• 防毒／防惡意程式碼軟體。進階惡意程式防護（AMP）使用各種防惡意程式碼軟體技術與思科防毒引擎，快速偵測並阻止惡意軟體的攻擊。思科將AMP技術整合於許多解決方案，如電子郵件資安與Duo安全存取，以發揮更好的成效。此外，透過加密流量分析，可在無需解密的狀態下，精準偵測出藏在加密網路流量中的惡意軟體。

 

• 防範端點行為。攻擊者經常針對端點進行攻擊，因為有太多方式可以輕易攻破端點。為了即時阻止端點出現的可疑活動，思科推出新一代的端點資安組合，包括AMP、Duo、資安防護傘與其他進階威脅偵測功能，連線或離線使用皆可支援。

 

• 憑證存取保護。憑證資訊也是攻擊者最常鎖定的目標，以便長驅直入展開攻擊。對此，思科新一代入侵預防系統（NGIPS）使用Snort規則，快速識別及阻止憑證傾倒工具（如 Mimikatz）入侵您的網路。此外，思科的身分識別服務引擎（ISE）能管理並實行強式密碼政策，Duo多重因素驗證則可限縮憑證遭竊導致的損害。

 

•網路流量篩選。思科新一代防火牆與NGIPS遵循MITRE的建議，專為過濾流入或流出的傳輸及執行協定過濾所設計。此外，AMP端點版採用端點隔離技術，以過濾傳輸並阻止威脅擴散。

•多重因素驗證。思科Duo提供最新且高效的多重因素驗證，先驗證使用者身分，再決定是否授予存取權。另一方面，ISE以驗證結合職務授權來確保安全的網路存取，並整合Duo及其他多重因素驗證產品如 RADIUS RFC2865 的相容標記伺服器，以降低密碼式攻擊的風險。

 

•網路分區。思科ISE可直接在網路內建易於管理與擴增的網路分區功能，免除繁瑣的設定程序。如此一來，您就能在網路實行以職務為基礎的最低權限存取政策，並能輕鬆簡便地擴及整體組織。

 

• 限制網頁內容。思科的雲端資安、網站安全與電子郵件資安的解決方案能限制網頁內容，以阻止由網頁瀏覽、電子郵件連結及重要SaaS應用程式如Office 365所引發的威脅。思科安全連接器是Apple iOS裝置專屬的應用程式，無論使用者身在何處，都能提供對網路傳輸的可見性並封鎖惡意網站連結。此外，無論使用者是否連結您的企業網路，AnyConnect Secure Mobility用戶端版本內建的資安防護傘，皆能保護漫遊使用者免於網頁式威脅。  

 

思科資安支援 MITRE ATT&CK

思科為何採用 ATT&CK？

為了協助您做出明智的資安投資決策。

我們如何與 ATT&CK 對應？

我們以企業緩解措施對應，明確展示我們的解決方案如何協助您採取行動。

對應的詳細度？

我們的白皮書詳細解說了對應的方法及原因。光靠條列式檢核清單並不足夠。

涵蓋的範圍多大？

非常全面且完善。我們廣泛的資安組合涵蓋最多數的緩解措施。進一步瞭解我們如何助您一臂之力。

 

與緩解措施對應的緣由

 

以下是思科為何不與個別的戰術、技術或程序（TTPs）對應的原因

• 行動力。緩解措施是MITRE針對如何抵禦特定威脅所提出的TTPs建議。瞭解威脅的細節固然重要，但你真正需要的是採取行動。

• 簡易性。TTPs的清單很長且時常異動。但MITRE將所有TTPs與緩解措施對應，做成較為簡短、較少變動的清單。如此一來，光靠單一緩解措施就能處理許多不同的威脅。

• 穩定性。MITRE根據新的SubTechnique進行分類，將TTPs重新命名與整理，因而必須重新進行許多以TTP為準的對應。  

思科能做得更多、做得更好。

思科資安解決方案能支援MTIRE ATT&CK矩陣中絶大多數的緩解措施。

表格彙總我們如何對應企業版緩解措施的完整清單。對照表格頂端橫列的各項產品及功能，以及表格左側直列的緩解措施，標示為綠色的方塊代表我們有能力支援並協助處理的位置。

在您瞭解攻擊者的所有手法後，便能以智取勝。讓思科助您一臂之力。

使用MITRE ATT&CK企業版，充分掌握威脅者的操作手法，您也能完全仰賴思科資安，協助您做好萬全準備及付諸行動。為您的資安投資做出明智決定，讓每一筆投資創造出更高的價值。