日本IBM展示MITRE ATT&CK实战案例与进阶路径

本文基于日本IBM系统工程师近藤夏海与伊藤哲也的实战分享，深入解析了MITRE ATT&CK框架在SIEM（安全信息与事件管理）产品选型及优化中的具体应用。在日本企业普遍面临安全预算收紧与威胁日益复杂的背景下，该框架已成为连接业务风险与技术防御的关键桥梁。

在ISE实施的SIEM更替支援项目中，核心挑战在于如何从多个候选产品中做出客观决策。鉴于SIEM成本高度依赖日志采集量与种类，ISE并未仅停留在理论对比，而是提出了基于“业务损失”的评估模型。他们首先定义了必须检测的攻击场景，并据此推导所需的日志源，Zui终计算出各产品在实际用户环境中的具体成本，为决策提供了坚实的数据支撑。这一过程被定位为组织安全成熟度“Level 1”的典型应用模式。

在具体执行层面，ISE采取了三步走的策略：首先，梳理MITRE ATT&CK“企业技术”库，提取各技术对应的数据源；其次，将现有环境已采集的日志映射至ATT&CK矩阵，可视化当前已覆盖的攻击手法；Zui后，识别出当前无法检测但存在业务风险的攻击手段，通过评估新增日志源的采集难度，制定Zui终的采集计划。这种从“现状掌握”到“差距分析”再到“规划落地”的闭环，有效避免了盲目采集导致的资源浪费。

为提升运营效率，文章特别推荐了两种官方工具。一是“ATT&CK in Excel”，通过结构化表格实现快速筛选与数据源核对；二是“ATT&CK Navigator”，利用热力图直观展示检测覆盖范围，帮助向管理层清晰传达安全现状与改进需求。这些工具将复杂的矩阵数据转化为可视化的管理语言，显著降低了沟通成本。

随着安全运营向纵深发展，从Level 1向更高阶迈进的关键在于自动化与新技术的融合。一方面，利用SIEM原生功能实时计算MITRE覆盖率的动态热力图，可即时发现因基础设施变更产生的检测盲区；另一方面，引入MITRE CALDERA框架进行自动化红队演练，通过模拟真实攻击路径，客观验证现有检测规则的有效性，形成“攻击-检测-优化”的良性循环。

面对AI技术的爆发，MITRE ATLAS框架的发布填补了行业空白。该框架采用与ATT&CK相同的结构，将针对AI系统的对抗性攻击（如对抗样本、模型窃取）纳入统一的知识体系，使企业能够以标准化的视角应对传统网络攻击与AI特有威胁的双重挑战。这标志着安全防御正从单一的技术对抗向涵盖AI生态的综合性防御演进。

值得注意的是，MITRE ATT&CK并非药。防御者需认识到覆盖的不现实性，应聚焦自身业务优先级；同时需警惕攻击者组合使用多种技术的复杂战术，避免陷入单点防御的误区；此外，对于矩阵之外的未知威胁，仍需依靠安全团队的研判能力。对于中国安全从业者而言，日本企业在SIEM选型中“以业务风险驱动技术落地”的思路极具参考价值，在构建防御体系时，不应盲目追求技术堆叠，而应像ISE一样，先厘清“防什么”和“为什么防”，再精准配置资源，从而在有限的预算下构建出真正具备韧性的动态安全防线。