直击RSAC 2022：巧用ATT & CK框架应对具体威胁

在2022年的RSA大会上，专家们就MITRE ATT&CK框架进行了分享，重点讲述了如何将MITRE ATT & CK框架和安全控制框架结合，进而形成以应对具体威胁为导向的安全合规方法。

如何巧用ATT & CK框架

第一步，把MITRE ATT & CK 中的技术与NIST 800-53《信息系统和组织的安全和隐私控制》做映射。由于NIST 800-53是NIST（美国国家标准与技术研究院）信息安全的支撑性文件，存在很多其它的安全控制框架与其做映射，例如：NIST的《网络安全框架》和 CIS Controls 。

第二步，将具体的组织或恶意软件的行为与MITRE ATT & CK的技术做映射。企业在使用的时候，能够以具体威胁为导向，来找到最需要的安全控制手段。例如：金融企业优先关注以他们为目标的APT组织或者恶意软件家族，进而可以优先实现这些威胁对应的安全控制手段。

360 ATT & CK框架的应用实践

360知识云团队以MITRE ATT & CK框架与360多年攻防对抗的实战经验和数据为基础，基于知识图谱技术，持续将360各安全团队在实战攻防对抗中新增的攻击技战术、攻击活动杀伤链、攻击工具、攻击者组织信息、资产类型、数据源、检测规则、防御缓解方案、等保控制项等信息以及它们之间的关系都呈现在一个可视化图谱上，形成360独有的全景攻防知识图谱。

基于360全景攻防知识图谱，安全研究和运营人员可以看到实战攻防技战术全景，并建立攻击、防御和评估之间的“相互关联性”，实现攻防能力转化，为对抗已知威胁甚至未知威胁提供明确的行动指导，并通过统一攻防语言，帮助产品联动，厂商协同，形成对安全能力的衡量、评价和改进。

作为数字经济的守护者、数字安全的领导者，360政企安全集团基于17年攻防实战经验及300亿安全研发投入，打造了以云端安全大脑为核心的安全情报能力体系。将商业情报、开源情报、自研情报等多类型情报整合，可对十多个维度线索进行精细化提取、分离、关联、索引，并通过多源情报关联分析对安全攻击进行全面立体化溯源。该体系支持订阅360全景攻防知识图谱，并通过云地协同、能力下沉，为安全设备提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等百余种基础的安全数据及分析能力，可以满足各类安全设备的通用化威胁检测与分析需求。

未来，360全景攻防知识图谱将持续助力广大客户提升其抗攻击能力，实现自动化风险评估，进而实现实战定义数据，数据驱动安全，护航数字经济平稳健康发展。