問答解析
MITRE ATT&CK是什麼?▼
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是全球最完整的網路攻擊行為知識庫,由美國 MITRE 公司於2013年發布。它將攻擊者的行為分為「戰術(Tactics)」與「技術(Techniques)」,每個技術均附帶實際攻擊案例與偵測方法。與傳統資安框架不同,ATT&CK以攻擊者視角設計,而非僅列出防禦控制項。在ISO 22301業務持續管理與NIST CSF「識別(Identify)」與「偵測(Detect)」功能之間,ATT&CK提供了可操作的技術細節。臺灣企業應將其視為資安攻防演練的基礎藍圖,而非單純的技術文件。臺灣《資通安全管理法》第10條要求關鍵基礎設施應建立資通安全防護機制,MITRE ATT&CK正是實現此法規要求的具體技術工具。其與CVE漏洞庫不同,CVE描述的是軟體弱點,而ATT&CK描述的是攻擊者如何利用這些弱點進行實際攻擊。企業需整合兩者才能建立完整的防禦體系。
MITRE ATT&CK在企業風險管理中如何實際應用?▼
企業導入MITRE ATT&CK可遵循以下三個步驟:第一步,使用ATT&CK Matrix進行現狀評估,比對企業現有資安工具(如EDR、SIEM)可偵測的技術覆蓋率。第二步,依據企業所屬行業(如製造業、金融業)篩選相關威脅情境,設計對應的紅隊攻防演練(Red Teaming)。第三步,將偵測缺口納入ISO 27701的控制措施設計與NIST CSF的「保護(Protect)」與「偵測(Detect)」功能。以臺灣某大型製造業為例,導入ATT&CK框架後,其SOC團隊將偵測有效率提升了40%,資安事件平均應變時間(MTTR)縮短了25%。量化指標方面,企業可追蹤「技術覆蓋率(%)」與「誤報率(%)」作為KPI。這不僅符合臺灣金管會對金融機構資通安全管理的監管要求,更能有效降低因未知攻擊造成的營運中斷風險。
臺灣企業導入MITRE ATT&CK面臨哪些挑戰?如何克服?▼
臺灣企業導入MITRE ATT&CK主要面臨三個挑戰。首先是人才缺口,臺灣資通安全人才市場緊縮,企業難以找到同時理解業務邏輯與ATT&CK技術細節的複合型人才。建議透過外部顧問與內部培訓雙軌並行。其次是工具整合複雜度,企業多使用異質資安工具,缺乏統一的偵測平臺。解決方案是採用可整合多來源日誌的SIEM或XDR平臺,並以MITRE ATT&CK作為統一的語言。第三是成本效益的量化困難,企業主管難以理解ATT&CK投資的直接回報。企業應將ATT&CK與ISO 27701合規成本掛鉤,強調其在降低資安事件損失中的量化貢獻。建議分階段導入,首年聚焦於高風險技術類別,如勒索軟體相關技術,再逐步擴展至全框架。
為什麼找積穗科研協助MITRE ATT&CK相關議題?▼
積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)專注臺灣企業MITRE ATT&CK相關議題,擁有豐富實戰輔導經驗,協助企業在90天內建立符合國際標準的管理機制,已服務超過100家臺灣企業。申請免費機制診斷:https://winners.com.tw/contact
需要法遵輔導協助嗎?
申請免費機制診斷