MITRE Engenuity近日發布了業界首個全面的內部威脅策略、技術和程序（TTPs）知識庫。

　　該知識庫基于今年2月中旬MITRE威脅情報防御中心與花旗集團、微軟、Crowdstrike、Verizon和JP Morgan Chase等多行業巨頭合作發布的內部威脅TTP知識庫的設計原則和方法論（論文鏈接在文末）。

　　MITRE聲稱內部威脅知識庫將有助于防御者更好地檢測、緩解和模擬IT系統上的內部威脅行為并阻止它們：

　　“我們的目標是幫助企業將內部威脅緩解措施從‘可能’轉變為可操作的檢測和響應。”

　　從SOC視角看內部威脅

　　在發布內部威脅TTP知識庫的同時，MITRE威脅情報防御中心研發主管Jon Baker的一篇博客文章強調了每個CISO都知道的事情，“惡意內部人員對組織構成了獨特的威脅。”Baker指出，重點是“在IT環境中SOC可以觀察到的”網絡威脅和活動。

　　企業會采用不同的方法來應對內部威脅，這導致誰可以訪問哪些數據（SOC、HR、物理安全等）以及如何處理內部威脅的方式存在顯著差異。鑒于SOC專注于網絡威脅，我們在參與者中發現了一個共同點和機會——SOC團隊可以訪問內部威脅案例數據的子集，在內部威脅計劃中往往能發揮作用。

　　14個重點內部威脅技術

　　內部威脅TTP知識庫包括54種惡意內部人員行為的已識別技術，并著重強調了其中14個關鍵技術：

　　偵察

　　資源開發

　　初始訪問

　　執行

　　駐留

　　權限提升

　　防御規避

　　憑證訪問

　　發現

　　橫向運動

　　信息收集

　　命令與控制

　　滲出

　　影響

　　人們經常假設，乖乖留在“泳道”內的受信任的內部人員可能永遠不會出現在內部威脅管理程序的雷達上。MITRE內部威脅TTP知識庫的目的就是覆蓋這個盲區，并證明即使是那些留在“泳道”上的人，當他們采取可疑行動時同樣會被檢測到。

　　常見的惡意內部威脅策略

　　MITRE內部威脅知識庫的設計原則包括了對每個TTP所需技能水平的評估，基于真實案例微TTP分配“已經”、“將”和“可能”三種參數，并重點強調了在那些已發生案例中經常被使用的TTP，研究結果得出以下這些常見的惡意內部威脅策略的推論：

　　“內部威脅通常使用簡單的TTP來訪問和泄露數據。”

　　“內部威脅通常會利用現有的特權訪問來促進數據盜竊或其他惡意行為。”

　　“內部人員通常會在泄露之前‘暫存’他們打算竊取的數據。”

　　“外部/可移動媒體仍然是一個常見的滲出渠道。”

　　“電子郵件仍然是一種常見的滲透渠道。”

　　“云存儲既是惡意內部人員的數據收集目標，也是一個滲透渠道。”

　　然后，MITRE采用這些推論并分配“使用頻率”權重，為每個威脅分配“頻繁”、“中度”或“不頻繁”標簽，以幫助安全人員對內部威脅技術的可能性進行分類，并確保那些發生頻率更高的事件被覆蓋。隨附的GitHub文檔（文末）旨在幫助安全團隊對其經驗進行分類。

　　資源有限的企業應將注意力集中在可能性較高的TTP上，并在條件允許時保留對可能性較低的TTP的檢測。貝克認為，對可能性較低的TTP的過分關注雖然會讓團隊看上去很有創意，但“會導致內部威脅計劃和SOC失去焦點。”因此，首席信息安全官應該優先采用那些效率更高的方法。

　　關注最可能的內部威脅場景

　　雖然國家黑客組織收買員工有著非常現實的可能性，但實施內部惡意行為的更多動機是個人獲利或“提升”職業生涯捷徑。這可能包括個人收集信息謀求個人利益，例如出售手頭的商品（其雇主的知識產權和商業秘密），或將信息/數據作為下一次工作機會的條件。

　　MITRE表示，創建內部威脅TTP知識庫和社區的目的是確保“內部人員將不能在合法使用的掩護下進行操作；我們將在內部威脅給企業造成代價高昂且令人尷尬的損失之前發現它。”這個目標可以通過行業共享、流程和應用、網絡研討會和會議來實現，“防御者可以相互學習”。

　　MITRE首次為內部威脅活動開發知識庫和框架是很有意義的，強烈建議CISO們對該知識庫和框架的適用性進行評估，然后確定是否或者如何采用該框架來制訂或優化內部威脅的檢測和響應策略。