一、前言
2011年,洛马提出杀伤链(Kill Chain)将网络攻击过程模型化,定义了攻击者攻击要完成的七个阶段。但杀伤链的描述粒度仍然较粗、缺乏相应的细节也并未形成统一描述不便共享使用。
2013年,MITRE在Kill Chain 的基础上,意图构建一套从攻击者视角出发、比Kill Chain粒度更细、有实际技术细节支撑的知识模型,在内部整合研发了ATT&CK 框架的雏形,后公开对外发布。
MITRE ATT&CK 是一个基于实际观察到的攻击技战术构建的知识库,可用于政府、企业和网络安全产品中开 发特定的威胁模型和方法。
ATT&CK 的核心概念包括:矩阵(Matrices)、战术(Tactics)、技术(Techniques)、缓解措施(Mitiga tions)、攻击组织(Groups)、攻击工具(Software)
战术
表示ATT&CK 技术或程序的“什么”和“为什么”。它们是对手的技术目标、执行操作的原因。例如,攻击者可能希望获得凭证访问权限以访问目标网络。每种策略都包含一系列技术,网络防御者观察到这些技术被威胁行为者在实际攻击中的应用。注意:ATT&CK 框架并不是线性的——对手以直线(即从左到右)通过策略来实现他们的目标。此外,对手不需要使用所有 ATT&CK 策略来实现其攻击目标
技术
表示对手“如何”通过执行行动来实现战术目标。例如,对手可能会转储凭据以实现凭据访问。技术也可以代表对手通过执行行动获得的收益。技术是实现目标的特定行为,通常是旨在完成对手整体任务的一系列活动中的一个步骤。注意:ATT&CK 中的许多技术包括可用于恶意目的的合法系统功能
子技术
提供更细粒度的技术描述。例如,操作系统凭据转储 [T1003] 技术下的行为描述了执行该技术的特定方法,例如访问 LSASS 内存 [T1003.001]、安全帐户管理器 [T1003.002] 或 /etc/passwd 和/etc/shadow [TT1003.008]。程序通常(但不总是)特定于操作系统或平台。并非所有技术都有子技术
程序是如何使用技术或子技术的特定实例,它们可用于通过对手模拟重现事件以及有关如何检测正在使用的实例的细节
ATT&CK是由MITRE创建并维护的一个对抗战术和技术的知识库(全称 Adversarial Tactics,Techniques,and Common Knowledge, 简ATT&CK)
其目的在于了解攻击和划分攻击类别,以确定对手如何运作,以及如何对主动攻击做出响应和攻击后的恢复。框架把攻击者所采用的TTP (战术Tactics、技术Techniques、过程Procedures) 系统性地组织起来。在每个战术项内又包含实现该战术目的的各种已知的攻击技术,同时在每项技术中详细描述了运用该技术的具体步骤和流程,同时也提出了相应的阻断措施、解决方案。
在ATT&CK的基础上,MITRE于2020年下半年发布了同样引起业界广泛关注的主动防御知识库Shield。2021年8月,MITRE再次推出Shield的进阶版——Engage。Engage有“融入”的意思,其目的是希望从理论走向落地,为各组织、政府、厂商带来更大的价值。Engage和Shield包含很多相同的信息,但概念还是有所不同。
MITRE Shield被认为是各组织机构实施主动防御的指导框架和重要资源。但它更多是一个知识库的角色,由八列“战术”组成的矩阵,每列包含一个“技术”清单,而不是一个辅助工具,没有告诉防守团队何时采取何种战术或技术。
MITRE Engage比MITRE Shield更精简,不再使用“战术”和“技术”这些容易让读者与ATT&CK框架混淆的术语,而采用“方法”和“活动”这样的词汇,即方法对应原来的战术,活动对应原来的技术。但最重要的是,Engage比Shield更倾向于创建活动,可操作性更强——在特定战略目标的指导下,选择相应的活动,更有针对性地完成概念落地。
Engage框架的“方法”(原来称为“战术”)主要包括三个整体目标:
1. 检测(Expose):发现系统中的攻击者
2. 影响(Affect):影响或干扰攻击者与目标系统的交互
3. 引出(Elicit):获取攻击者情报
应对APT攻击的6个阶段:
① 被动阶段:通过日志、IoC入侵指标、样本等基础信息发现APT
② 逐渐转向主动:构造简单的蜜罐
③ 主动欺骗:引入专门的账号、应用、数据、凭证等诱饵,提高仿真度,MITRE Shield涵盖的技战术也基本停留在这个阶段。
④ 与攻击者交互:防守者能够观察和分析攻击者活动并获得更加丰富的APT攻击样本信息。
⑤ 主动防御:还原完整攻击链,并在一定程度上展开攻击反制,但反制操作仍有局限
⑥ 攻击反制:锁定攻击人员身份,完全控制攻击者设备
高层次模型无法表达具体攻击描述,低层次模型无法窥视全貌,但ATT&CK与“杀伤链”模型不同的是,ATT&CK使用的抽象层次能将攻击战术和防守措施相联系起来。
ATT&CK知识的总结来源之一有APT对抗,并且有大量涉及终端的操作,有较多的研究在针对恶意文件的检测与分析中使用了ATT&CK。
“杀伤链”模型较为粗粒度,自定义的威胁模型跟实际威胁的检测需求存在差异,二值化的检测结果应用价值不高,ATT&CK的体系性有助于多维度的威胁检测关联和实际需求映射
基于ATT&CK中的攻击技术,将各类分析报告中总结的实例攻击特征用于威胁检测
基于ATT&CK的框架 ,从含有攻击技术描述的文本中抽取实体和关系,构建对应于各攻击技术的APT攻击语义规则,在日
志数据中进行威胁检测与威胁狩猎
基于ATT&CK知识,构建针对网络打印机的攻击行为模型库,以之作为依据来检测针对网络打印机的攻击
数据归一化、本体化及关联性提升
ATT&CK矩阵为企业或组织内数据湖的数据融合提供了技战术抽象层次的对齐方案。基本的,类似告警或事件有了明确的归类层次。进阶的,数据中隐含的数据实体及其关联关系,能够在统一的框架下实现本体化建模,为知识图谱等基于网络和图的数据结构的构建提供基础
促进分析能力与业务的解耦
通用算法能力能够从传统的数据分析孤岛中抽象出来,并与上一层的安全业务需求解耦。例如,经典的序列分析模型可用于事件预测、异常检测等不同层次的场景。在统一的数据湖之上,分析算法能够充分模块化,形成可编排的调用接口以供灵活的调用与集成
促进分析算法的语义化
ATT&CK通过矩阵的战术阶段划分,在目标层、分析层以及数据层上自然的提供了有明确语义的关联关系。这一语义增强,给数据驱动威胁分析结果提供了讲故事的范本,为运营人员提供了可解释、可理解的线索入口
ATT&CK作为攻击知识库,天然地能提供攻击模拟的指导,通过战术阶段提供对攻击过程的宏观认识,也为风险评估研究提供了可参考的风险模型
对ATT&CK中各攻击技术的影响和复杂程度分配后果严重性权重,并依据攻击模拟的成功与否对企业网进行风险评估
基于 ATT&CK ICS 构建多种攻击向量,在各类工控场景下进行攻击模拟和防御评估
开发网络安全培训系统,利用 ATT&CK 攻击知识生成网络威胁,用于安全教育培训和防御演练
主要对漏洞利用的检测、利用方法和造成影响展开研究,现有基于CVE和CWE的方法较少体现攻击与防御的联动视角,通过与ATT&CK技战术关联,以丰富漏洞的利用路径、造成影响等上下文
通过机器学习,将CVE映射到ATT&CK 技术,以从相应的知识库中自动推断影响和缓解措施
基于 ATT&CK 创建和测试 POC,发现漏洞
攻击溯源与取证是还原攻击过程的重要基础,也有助于完成攻击者的刻画;基于低层级IOC的溯源取证容易被攻击者规避,而ATT&CK层次的攻击手法则反映了攻击者长期且较为本质的特征
对攻击者进行溯源时,将ATT&CK 攻击技术作为不同威胁数据聚类的特征,或者作为最终刻画攻击能力的描述维度
基于ATT&CK框架,计算不同攻击技术之间的关联概率,进而为攻击溯源提供更可靠的归因方向,从而提升处置效率
将攻击手法转化为ATT&CK攻击技术,与历史上积累的攻击者画像情报对照,对攻击者进行溯源研判
全知识图谱构建中通过自然语言处理的方法,获取网络安全知识,ATT&CK可为图谱构建提供大量的攻击技术文本描述实例
基于文本分类的方法对攻击描述文本的 ATT&CK 分类,在漏洞知识研究中将CVE映射到ATT&CK
采用信息检索的方法,利用预构建的攻击技术词袋进行信息检索,抽取攻击技术描述
利用短语嵌入的语义聚类方法代替词袋模型和正则表达式,依据建立的 ATT&CK 技术本体来完成攻击技术抽取
TTP 描述
利用 ATT&CK 网空威胁框架可以对攻击组织所使用的攻击技术手段进行更加全面的描述和深入的刻画,从 IOC 指标层级走向攻击技战术(TTP)层级。
通过将掌握的攻击组织常用技战术手段从低层的 IOC 类威胁指标扩展到高层的 TTP 类,这些更稳定、更不易 改变的攻击行为特征可以在 ATT&CK 框架的统一描述下帮助支撑威胁狩猎。
例如:海莲花(APT 32)经常使用“白加黑”的方式加载载荷,也就是利用 DLL 搜索顺序劫持(T1038)技 术项。根据对该技术项的检测覆盖,以及白利用组件非常见路径且加载海莲花常用黑 DLL 组件(如其常用的 Cobalt Stike Beacon 或 Denis RAT 木马)、样本文件来源于 SFX 自解压程序等海莲花组织其他攻击特征, 可以在端点遥测数据或沙盒动态数据中狩猎海莲花的攻击行动。
1.1 ATT&CK 威胁框架演进
2013 年,MITRE 在内部研究提出了 ATT&CK 框架
2014 年只包含 64 个技术项
2015 年 5 月正式对外发布。随后 MITRE 不断对其进行更新
2016 年已经包含 121 个技术项
2017 年,ATT&CK 扩展覆盖全平台(Windows、Mac 与 Linux)
2018 年开始按照正式版本控制管理框架开发 ,开启 ATT&CK 1.0 时代
2019 年,扩展覆盖云平台(ATT&CK for Cloud),同时 Enterprise ATT&CK 技术项 达到 266 个
2020 年将 PRE-ATT&CK 并入 Enterprise ATT&CK 中,并且拆分\合并形成了 348 个子技术项,技术项降到 177 个。同年,工控领域的威胁矩阵(ATT&CK for ICS)发布
2021 年,Enterprise ATT&CK 扩展覆盖容器(ATT&CK for Containers)。到目前为止,核心的 Enterprise ATT&CK 包含 185 个技术项和 367 个子技术项
最新版本的 Enterprise ATT&CK 框架共计包含 14 个战术阶段(前期侦察、资源开发、初始访问、执行、持久化、 权限提升、防御逃避、凭据访问、探测发现、横向移动、信息收集、命令控制、外带渗漏、影响)、185 个技术项和 367 个子技术项。涵盖PRE、Windows、macOS、Linux、Cloud、Network、Containers 共计七个不同视角下的子矩阵
1.1.1 初始访问
尽管ATT&CK并不是按照任何线性顺序排列的,但初始访问是攻击者在企业环境中的立足点。对于企业来说,该战术是从PRE-ATT&CK到ATT&CK的理想过渡点。攻击者会使用不同技术来实现初始访问技术。
例如,假设攻击者使用Spearphishing(鱼叉式)附件。附件本身将利用某种类型的漏洞来实现该级别的访问,例如PowerShell或其它脚本技术。如果执行成功,可以让攻击者采用其它策略和技术来实现其最终目标。幸运的是,由于这些技术众所周知,因此有许多技术和方法可用于减轻和检测每种技术的滥用情况。
初始访问是攻击者将在企业环境中的落脚点。想要尽早终止攻击,那么“初始访问”将是一个很合适的起点。此外,如果企业已经采用了CIS控制措施并且正在开始采用ATT&CK的方法,这将会很有用。
1.1.2 代码执行
在对手在进攻中所采取的所有战术中,应用最广泛的战术莫过于“执行”。攻击者在考虑现成的恶意软件、勒索软件或APT攻击时,他们都会选择“执行”。由于恶意软件必须运行,因此防御者就有机会阻止或检测到它。但是,并非所有恶意软件都是可以用杀毒软件轻松查找其恶意可执行文件。
此外,对于命令行界面或PowerShell对于攻击者而言非常有用。许多无文件恶意软件都专门利用了其中一种技术或综合使用这两种技术。这些类型的技术对攻击者的威力在于,终端上已经安装了上述技术,而且很少会删除。系统管理员和高级用户每天都依赖其中一些内置工具。ATT&CK中的缓解控制措施甚至声明了,这些控制措施也无法删除上述技术,只能对其进行审计。而攻击者所依赖的就是,终端上安装采用了这些技术,因此要获得对攻击者的优势,只能对这些技术进行审计,然后将它们相关数据收集到中央位置进行审核。
最后,应用白名单是缓解恶意软件攻击时最有用的控制措施。但和任何技术一样,这不是解决所有问题的灵丹妙药。但是,应用白名单会降低攻击者的速度,并且还可能迫使他们逃离舒适区,尝试其它策略和技术。当攻击者被迫离开自己的舒适区之外时,他们就有可能犯错。
如果企业当前正在应用CIS关键安全控制措施,该战术与控制措施2——已授权和未授权软件清单非常匹配。从缓解的角度来看,企业无法防护自己未知的东西,因此,第一步是要了解自己的财产。要正确利用ATT&CK,企业不仅需要深入了解已安装的应用程序。还要清楚内置工具或附加组件会给企业组织带来的额外风险。在这个环节中,可以采用一些安全厂商的资产清点工具,例如青藤等主机安全厂商都能提供详细的软件资产清单。
1.1.3 持久化
除了勒索软件以外,持久化是最受攻击者追捧的技术之一。攻击者希望尽可能减少工作量,包括减少访问攻击对象的时间。即便运维人员采取重启、更改凭据等措施后,持久化仍然可以让计算机再次感染病毒或维护其现有连接。例如注册表Run键、启动文件夹是最常用的技术,这些注册表键或文件系统位置在每次启动计算机时都会执行。因此攻击者在启动诸如Web浏览器或Microsoft Office等常用应用时开始获得持久化。
此外,还有使用“镜像劫持(IFEO)注入”等技术来修改文件的打开方式,在注册表中创建一个辅助功能的注册表项,并根据镜像劫持的原理添加键值,实现系统在未登录状态下,通过快捷键运行自己的程序。
在所有ATT&CK战术中,持久化是最应该关注的战术之一。如果企业在终端上发现恶意软件并将其删除,很有可能它还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此或网络上的其它地方建立了持久化。与使用其它一些战术和技术相比,使用持久化攻击应该相对容易一些。
1.1.4 权限提升
所有攻击者都会对提权爱不释手,利用系统漏洞达到root级访问权是攻击者核心目标之一。其中一些技术需要系统级的调用才能正确使用,Hooking和进程注入就是两个示例。该战术中的许多技术都是针对被攻击的底层操作系统而设计,要缓解可能很困难。
ATT&CK提出“应重点防止对抗工具在活动链中的早期阶段运行,并重点识别随后的恶意行为。”这意味着需要利用纵深防御来防止感染病毒,例如终端的外围防御或应用白名单。对于超出ATT&CK建议范围之外的权限升级,一种良好的防止方式是在终端上使用加固基线。例如CIS基线提供了详细的分步指南,指导企业如何加固系统,抵御攻击。
应对此类攻击战术另一个办法是审计日志记录。当攻击者采用其中某些技术时,它们将留下蛛丝马迹,暴露他们的目的。尤其是针对主机侧的日志,如果能够记录服务器的所有运维命令,进行存证以及实时审计。例如,实时审计运维人员在服务器上操作步骤,一旦发现不合规行为可以进行实时告警,也可以作为事后审计存证。也可以将数据信息对接给SOC、态势感知等产品,也可以对接给编排系统。
1.1.5 防御绕过
到目前为止,该战术所拥有的技术是MITRE ATT&CK框架所述战术中最多的。该战术的一个有趣之处是某些恶意软件,例如勒索软件,对防御绕过毫不在乎。他们的唯一目标是在设备上执行一次,然后尽快被发现。
一些技术可以骗过防病毒(AV)产品,让这些防病毒产品根本无法对其进行检查,或者绕过应用白名单技术。例如,禁用安全工具、文件删除和修改注册表都是可以利用的技术。当然防御者可以通过监视终端上的更改并收集关键系统的日志将会让入侵无处遁形。
1.1.6 凭据获取
毫无疑问,攻击者最想要的凭据,尤其是管理凭据。如果攻击者可以登录,为什么要用0Day或冒险采用漏洞入侵呢?这就犹如小偷进入房子,如果能够找到钥匙开门,没人会愿意砸破窗户方式进入。
任何攻击者进入企业都希望保持一定程度的隐身。他们将希望窃取尽可能多的凭据。他们当然可以暴力破解,但这种攻击方式噪声太大了。还有许多窃取哈希密码及哈希传递或离线破解哈希密码的示例。最后,攻击者最喜欢方式是窃取明文密码。明文密码可能存储在明文文件、数据库甚至注册表中。攻击者入侵一个系统、窃取本地哈希密码并破解本地管理员密码并不鲜见。
应对凭据访问最简单办法就是采用复杂密码。建议使用大小写、数字和特殊字符组合,目标是让攻击者难以破解密码。最后一步就是监视有效帐户的使用情况。在很多情况下,是通过有效账户发生的数据泄露。
当然最稳妥办法办法就是启用多因素验证。即使存在针对双重验证的攻击,有双重验证(2FA)总比没有好。通过启用多因素验证,可以确保破解密码的攻击者在访问环境中的关键数据时,仍会遇到另一个障碍。
1.1.7 内部探测
“内部探测”战术是一种难以防御的策略。它与洛克希德·马丁网络Kill Chain的侦察阶段有很多相似之处。组织机构要正常运营业务,肯定会暴露某些特定方面的内容。
最常用的是应用白名单,可以解决大多数恶意软件。此外,欺骗防御也是一个很好方法。放置一些虚假信息让攻击者发现,进而检测到对手的活动。通过监视,可以跟踪用户是否正在访问不应访问的文档。
由于用户通常在日常工作中执行各种技术中所述的许多操作,因此,从各种干扰中筛选出恶意活动可能非常困难。理解哪些操作属于正常现象,并为预期行为设定基准时,会在尝试使用这一战术时有所帮助。
1.1.8 横向移动
攻击者在利用单个系统漏洞后,通常会尝试在网络内进行横向移动。甚至通常一次只针对单个系统的勒索软件也试图在网络中移动以寻找其它攻击目标。攻击者通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找更高的访问权限,以期达成最终目标。
在缓解和检测对该特定技术的滥用方面,适当的网络分段可以在很大程度上缓解风险。将关键系统放置在一个子网中,将通用用户放置在另一个子网中,将系统管理员放置在第三个子网中,有助于快速隔离较小网络中的横向移动。在终端和交换机级别都设置防火墙也将有助于限制横向移动。
遵循CIS 控制措施 14——基于需要了解受控访问是一个很好的切入点。除此之外,还应遵循控制措施4——控制管理员权限的使用。攻击者寻求的是管理员凭据,因此,严格控制管理员凭据的使用方式和位置,将会提高攻击者窃取管理员凭据的难度。此控制措施的另一部分是记录管理凭据的使用情况。即使管理员每天都在使用其凭据,但他们应该遵循其常规模式。发现异常行为可能表明攻击者正在滥用有效凭据。
除了监视身份验证日志外,审计日志也很重要。域控制器上的事件ID 4769表示,Kerberos黄金票证密码已重置两次,这可能表明存在票据传递攻击。或者,如果攻击者滥用远程桌面协议,审计日志将提供有关攻击者计算机的信息。
1.1.9 信息收集
ATT&CK “信息收集”战术概述了攻击者为了发现和收集实现目标所需的数据而采取的技术。该战术中列出的许多技术都没有关于如何减轻这些技术的实际指导。实际上,大多数都是含糊其辞,称使用应用白名单,或者建议在生命周期的早期阶段阻止攻击者。
但是,企业可以使用该战术中的各种技术,了解更多有关恶意软件是如何处理组织机构中数据的信息。攻击者会尝试窃取有关当前用户的信息,包括屏幕上有什么内容、用户在输入什么内容、用户讨论的内容以及用户的外貌特征。除此之外,他们还会寻求本地系统上的敏感数据以及网络上其它地方的数据。
了解企业存储敏感数据的位置,并采用适当的控制措施加以保护。这个过程遵循CIS控制措施14——基于需要了解受控访问,可以帮助防止数据落入敌手。对于极其敏感的数据,可查看更多的日志记录,了解哪些人正在访问该数据以及他们正在使用该数据做什么。
1.1.10 命令控制
现在大多数恶意软件都有一定程度的命令和控制权。黑客可以通过命令和控制权来渗透数据、告诉恶意软件下一步执行什么指令。对于每种命令和控制,攻击者都是从远程位置访问网络。因此了解网络上发生的事情对于解决这些技术至关重要。
在许多情况下,正确配置防火墙可以起到一定作用。一些恶意软件家族会试图在不常见的网络端口上隐藏流量,也有一些恶意软件会使用80和443等端口来尝试混入网络噪音中。在这种情况下,企业需要使用边界防火墙来提供威胁情报数据,识别恶意URL和IP地址。虽然这不会阻止所有攻击,但有助于过滤一些常见的恶意软件。
如果边界防火墙无法提供威胁情报,则应将防火墙或边界日志发送到日志服务处理中心,安全引擎服务器可以对该级别数据进行深入分析。例如Splunk等工具为识别恶意命令和控制流量提供了良好的方案。
1.1.11 数据窃取
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手数据渗透。但并不是所有恶意软件都能到达这个阶段。例如,勒索软件通常对数据逐渐渗出没有兴趣。与“收集”战术一样,该战术对于如何缓解攻击者获取公司数据,几乎没有提供指导意见。
在数据通过网络渗漏的情况下,建立网络入侵检测或预防系统有助于识别何时传输数据,尤其是在攻击者窃取大量数据(如客户数据库)的情况下。此外,尽管DLP成本高昂,程序复杂,但可以确定敏感数据何时会泄露出去。IDS、IPS和DLP都不是100%准确的,所以部署一个纵深防御体系结构以确保机密数据保持机密。
如果企业组织机构要处理高度敏感的数据,那么应重点关注限制外部驱动器的访问权限,例如USB接口,限制其对这些文件的访问权限,即可禁用他们装载外部驱动器的功能。
要正确地解决这个战术,首先需要知道组织机构的关键数据所在的位置。如果这些数据还在,可以按照CIS 控制措施14——基于需要了解受控访问,来确保数据安全。之后,按照CIS控制措施13——数据保护中的说明了解如何监视试图访问数据的用户。
1.1.12 影响
攻击者试图操纵、中断或破坏企业的系统和数据。用于影响的技术包括破坏或篡改数据。在某些情况下,业务流程可能看起来很好,但可能已经更改为有利于对手的目标。这些技术可能被对手用来完成他们的最终目标,或者为机密泄露提供掩护。
例如攻击者可能破坏特定系统数据和文件,从而中断系统服务和网络资源的可用性。数据销毁可能会通过覆盖本地或远程驱动器上的文件或数据使存储的数据无法恢复。针对这类破坏可以考虑实施IT灾难恢复计划,其中包含用于进行可用于还原组织数据的常规数据备份的过程
每个技术项主要包含技术项 ID、子技术项 ID、归属战术阶段、覆盖平台、数据来源、缓解措施、检测建议等信息
威胁模型
针对ATT&CK工具集中的相应工具进行测试并提升安全产品的检测能力。ATT&CK框架提供了针 对特定威胁场景的测试方法、技术,为我们收集特定测试用例的基本数据提供理论指导。通过更加细粒度的威胁模型构建,提升潜在风险应对能力
二、网空杀伤链
网空杀伤链(Cyber Kill Chain)是由全球最大的国防工业承包商洛克希德·马丁公司(Lockheed Martin)于2011年提出,时至今日,该模型已有近十年的历史。网空杀伤链与钻石模型和ATT&CK模型被业界誉为“三大”入侵分析框架,是对网络入侵进行分析的“黄金标准”之一
杀伤链(Kill chain)的概念
杀伤链(Kill chain)是一个最初由军方使用的术语,用于定义敌人用来攻击目标的步骤。杀伤链共有“发现(Find)、定位(Fix)、跟踪(Track)、瞄准(Target)、交战(Engage)和评估(Assess)”六个环节 - F2T2EA
F2T2EA 包括以下六个阶段:
查找:确定目标。在监视或侦察数据中或通过情报手段找到目标
定位:确定目标的位置。从现有数据或通过收集额外数据获得目标的具体坐标
跟踪:监视目标的移动。跟踪目标直到决定不与目标交战或目标成功交战
瞄准:选择合适的武器或资产用于目标以产生预期的效果。运用指挥和控制能力来评估目标的价值以及是否有适当的武器来对付它
交战:对目标使用武器
评估:评估攻击的影响,包括在该位置收集的任何情报
2.1 网空杀伤链(Cyber Kill Chain)
网空杀伤链(Cyber Kill Chain)是用于识别和预防网络入侵活动的威胁情报驱动防御模型(Intelligence Driven Defense model)的一部分,由全球最大的国防工业承包商洛克希德·马丁公司(Lockheed Martin)于2011年提出,借用军事领域的“杀伤链(Kill chain)”概念,它定义了网络攻击者在今天基于网络的攻击中所使用的步骤。其理论是,通过了解这些阶段中的每一个,防御者可以更好地识别和阻止攻击者在各个阶段的攻击
网空杀伤链包括以下七个阶段:
侦察跟踪(RECONNAISSANCE):攻击者处在攻击行动的计划阶段,了解被攻击目标,搜寻目标的弱点
武器构建(WEAPONIZATION):攻击者处在攻击行动的准备和过渡阶段,攻击者使用自动化工具将漏洞利用工具和后门制作成一个可发送的武器载荷
载荷投递(DELIVERY):将武器载荷向被攻击系统投递,攻击者发起了攻击行动
漏洞利用(EXPLOITATION):攻击者利用系统上的漏洞,以便进一步在目标系统上执行代码
安装植入(INSTALLATION):攻击者一般会在目标系统上安装恶意程序、后门或其他植入代码,以便获取对目标系统的长期访问途径
命令与控制(COMMAND & CONTROL):恶意程序开启一个可供攻击者远程操作的命令通道
目标达成(ACTIONS ON OBJECTIVES):在攻陷系统后,攻击者具有直接操作目标主机的高级权限,进一步执行和达成攻击者最终的目标,如收集用户凭证、权限提升、内部网络侦查、横向移动、收集和批量拖取数据、破坏系统、查看、破坏或篡改数据等
2.1.1 网空杀伤链特点
网空杀伤链特点
对攻击者的行为进行建模
以整体的视角理解攻击者的行为
杀伤链模型有以下两个重要价值,在动态攻防对抗中,使防守方具备优势:
“链”的概念,意味着攻击方需要完成上述7个阶段的步骤才能达成目标,而防御方在某个阶段采取相应措施后就可能破坏整个链条、挫败对手
APT攻击的特点,对手会反复多次进行入侵,并根据需要在每次入侵中进行技战术调整。考虑经济性,在多次入侵中技战术必然有重复性和连续性。只要防守方能识别并快于攻击方利用好这一特点,必然迫使对手进行调整,从而增加其攻击成本
三、知识库ATT&CK Workbench项目
RedTeam(攻击队)在进行红蓝演习或者渗透测试过程中,会研究这些安全策略,并使用一些对策来Bypass目前的这些策略。
因此,需要一个模型或者知识库,可以持续的更新来结构化的解释这些策略以满足上述的需求。于是,D3FEND就诞生了。D3FEND的出现,也是对ATT&CK模型的极大的补充。
3.1 D3FEND知识库
D3FEND知识库矩阵,主要分为三个结构:防御战术(Defensive Tactic)、基础技术(Base Technique )、防御技术(defensive technique)
防御战术:为矩阵的第一行,防是对敌方行动的一种反应。这些都是面向行动的,精心挑选的术语来概括多种技术。D3FEND确定的防御战术有加固(Harden)、检测(Detect)、隔离(Isolate)、欺骗(Deceive)、排除(Evict)
基础技术:为矩阵的第二行,D3FEND提取了基础技术,而所有其他的技术都可以从基础技术派生而来。如进程自修改检测(Process Self-Modification Detection)就派生于基础技术进程分析(Process Analysis)
防御技术:具体实现这些防御战术的技术。
根据白皮书,构建D3FEND的数据来源主要包括:
从2001年到2019年1月的所有美国专利局文件中有关网络安全防御技术和方法的专利
现有的ATT&CK知识库,并开发了一种使得ATT&CK和D3FEND相关联的方法
其他数据来源,包括学术论文、技术规范和公开的产品技术文档
在D3FEND知识模型中,当网络参与者(无论是防御性的还是进攻性的)以任何方式与数字对象交互时,数字对象就变成了数字工件本体(该本体指定了对网络安全分析中感兴趣的数字对象进行分类和表示所需的概念)。为了确保合理的建模范围,D3FEND知识模型只关心捕获与已知网络参与者和已知技术相关的数字工件的知识——而不是所有可能的数字对象或它们的表示。
D3FEND可指导安全从业者在以下几个方面展开工作:
D3FEND对一些防御术语和概念进行了很好的定义和明确,避免出现混淆
面对一个技术点时候,对具体的技术点,会有了一个全面的检测和防御方案
全盘梳理产品矩阵中出现的功能性或者架构性的遗漏
创建红队技术,以便像现有的 ATT&CK 技术一样
记录针对企业或组织以及软件
更新 ATT&CK 数据以内部、专有或其他报告
使用 ATT&CK 知识库范围之外的新技术和策略开发企业矩阵
四、威胁情报
说一说威胁知识情报是指对网络威胁相关的数据进行分析、提炼、概括、总结形成的信息,一般具有信息密度高、较长时间保持不变等特点,处于威胁情报中较高的层次
威胁情报提取方向:
攻击工具提取
攻击手法提取
基于安全厂商威胁情报产品的,有该类产品的厂商主要有很多,公开发布的厂商如下:
国内:微步在线、奇安信、360、安恒、启明、绿盟、深信服、天际友盟等
国外:virustotal、alienvault、IBM X-Force Exchange等
不过,虽然在产品形态上类似,各自厂商该有的基础能力基本上大家都有,但是真正考验产品能力的是:数据能力。包括情报标签、数据的遥感数据、数据的聚合、数据的时效性、周期性管理等等。这也是考察一个厂商真正威胁情报能力的一些硬指标。
不同的使用人群,对威胁情报查询平台的使用需求是不一样的,如:
针对甲方的安全运营人员:主要是查询IOCs的标签和一些基础的信息,用来定位是否发生攻击事件、事件的性质等等
针对乙方的安全运营人员:除了标签查询和定性外,更多的用来做线索拓线、溯源等。此外还需要具备一定的事件发现(挖掘)能力
针对大甲方:除了乙方安全运营人员所使用的功能外,更关注的事件的态势、落地设备、设备分布等
综合来说,从目前的公开的几个威胁情报平台来看,C端数据最多最全的必然是360,C端上的威胁情报也必然是最丰富的,但是云、B端的数据相对会少一些;B端的数据奇安信有一定的优势,但是C端数据和云数据几乎没有;微步是社区化运营做的做好的,但是数据上相比360,还是存在劣势。VT是功能最多的,包括各种模糊搜索、挖掘等,数据类型也非常的丰富,数据源也来自于世界各地,同时也有一定的社区化,包括评论、协同等。但是VT的数据主要来源于用户上传,数据量相对较小,而且对中国的本地化数据其实并不多。
4.1 情报交换
ATT&CK 规范化的威胁情报可以在组织间更好地进行情报的交换与沟通,帮助分析人员更好地理解攻击者的 行为。ATT&CK 也可以与网络威胁情报领域中的其他框架/标准,如结构化威胁信息表达式(STIX)、通用攻击模式枚举与分类(CAPEC)等结合使用
4.2 情报生产
主要的安全数据的来源包括:终端数据采集、网络设备采集、PDNS、用户主动提交、开源数据源采集、社交媒体爬取、暗网等,从外部搜集的、内部积累的,如分析报告、安全资讯、社交短文本中,包含了网络威胁知识情报——攻击主体、攻击工具、攻击手法以及攻击事件等的描述信息
如输入hash,未发现标签,然后查询关联数据:
父子关系,根据查找到的父或者子文件进一步拓线
文件关联的ip、domain,根据对应的ip和域名进行进一步拓线
文件的在野下载地址,根据下载url来进行进一步拓线
pdb,根据pdb的信息,查询更多样本,再针对样本进行拓线
搜索文件的相似文件,根据搜索到的相似文件,再进行拓线
提取文件相应的字符串或者二进制特征,查询样本,根据查询到的样本再进行拓线。
如输入ip,未发现标签,然后查询关联数据:
访问过该ip的样本,根据样本进行拓线
ip对应的域名,根据域名再进一步拓线
如输入domain,未发现标签,然后查询关联数据:
访问过该domain的样本,根据样本进行拓线
该domain解析到的ip,根据ip进行拓线
domain的whois,根据whois进行拓线
MITRE 开发了开源威胁情报提取工具TRAM,用于自动从英文的分析报告中解析文件内容中存在的攻击行为,映射到对应的ATT&CK技术项
同学们可以基于一线实战掌握的攻击工具特点,积累形成攻击工具知识库,结合机器学习的特征规则,维度包括文本特征、词汇组成、词汇结构及推荐信息等特点,以ATT&CK作为主要的参考,通过自然语言处理,从海量威胁信息文本中发现新的攻击工具
基于CAPEC(CAPEC,英文全称为:Common Attack Pattern Enumeration and Classification,攻击类型枚举和分类数据集,CAPEC是常用攻击类型的分类数据集)与ATT&CK,采用实体识别(技术实体、技术属性、技术行为)的方法构建攻击手法知识库,对每个攻击技术形成结构化的知识。通过自然语言处理的技术构建文本特征。通过文本特征与攻击手法知识库特征相结合的方式,从文本中抽取得到攻击手法
攻击者人物画像,可以监测采集全球互联网、暗网等威胁信息来源站点的文本数据,抽取其中对于组织的攻击事件、攻击目标、攻击行业、攻击工具、攻击手法以及IOC等内容的描述,并结合内部情报数据,构建全球黑客组织监测雷达,从社会属性、攻击资源、攻击工具以及攻击手法(以ATT&CK技战术矩阵为主)等维度进行黑客组织画像
将威胁情报可视化的意义在于:
可以直观的展示各原素之间的关联,样本、ip、域名、whois、ip反查等等;但是只是一层关联关系起始意义不大,不如直接看关联数据。但是,多层数据的关联,就能体现出可视化视图得价值了。这才能真正体验到几个团伙或者家族之间的关联,以及串起关联的要素
图可以自定义扩展,并且运营人员可以一起协同合作。毕竟系统的拓线能力在某些成都会成为一定的瓶颈,人工介入,并且多人协同合作,才能发挥其最大的价值
五、检测分析
ATT&CK 框架为检测能力的覆盖提供了衡量标准,可以利用ATT&CK针对性地弥合威胁检测能力和面临风险之间的差距。提升安全检测分析能力由低层的IOC类威胁指标向高层的TTP类覆盖。安全厂商也可以利用 ATT&CK 指导检测类产品的研发,跟踪改善检测能力
新版本的ATT&CK框架中更加强调数据来源(Data Source)的重要性并予以重构,更加详细地指出为了检测技术项/子技术应该通过什么技术、收集什么数据
根据ATT&CK矩阵,总结恶意文件行为的分类映射规则,iMAS(恶意样本智能分析系统)针对样本的动静态分析结果,基于恶意文件行为的分类映射规则实现了对应到ATT&CK矩阵的恶意文件攻击行为识别能力
六、红蓝对抗
APT攻击模拟:基于APT组织使用的攻击手法和攻击目标/行业知识,以ATT&CK为框架,在演习活动中对同一类型目标分多个阶段模拟该攻击过程,以测试目标单位的多阶段防御能力
在车联网安全中,不单单只有硬件,也有云,所以传统安全中的渗透测试手法,在针对物理机、云主机等许多攻击手法对于云原生环境依然有效,以及受到架构特点的影响,云工作负载面临更多新的潜在风险。
通过体系化的、专项攻防演练模式,增强对体系化攻击的应对能力
在内部攻防演练中基于ATT&CK 框架和典型攻击阶段,选取适用度较高的攻击技术开展专项演练
基于ATT&CK框架中对APT组织的TTP描述,选取典型的、特别是攻击过汽车行业的APT组织攻击路径,模拟攻击自身信息系统
ATT&CK 可以应用在攻击模拟(Adversary Emulation)场景中,通过模拟真实攻击者的攻击行为进行安全测试。由于攻击者会持续改进攻击技战术(TTP),已有的安全检测或安全控制措施可能面临失效的风险,或者攻击者可能已经潜伏了很长时间却未被发现。攻击模拟可以有目的性的测试安全检测或者应急响应的有效性, 以ATT&CK框架的视角来衡量网络安全成熟度
攻击视角梳理攻击技术:
系统化整理:TTP的战术、技术框架
统计全面:从攻击视角充分覆盖已知威胁
行业标准:威胁技术和入侵检测的行业标准
事前,依托redcanaryco(atomic-red-team)实施攻击模拟,对ATT&CK中近200个技术提供了如何实施攻击测试的指导,依据过往攻击知识情报,完成特定组织的攻击过程模拟,基于D3FEND防御技术知识库,展开信息系统设计、部署和防御的优化更新,通过攻击技术的提升,在实践工作中对TTP进行深刻了解,并且审视已有防守策略
事中,通过主机活动监测软件,包括OSQuery、Sysmon、Autoruns 和 Audit,对系统活动进行监测,下图中的CAR网络分析库定义了“对象-行为-作用域”的数据模型,从基于主机和网络两个视角描述攻击者在系统中的活动,依据ATT&CK形成的攻击知识情报库,对正在进行的攻击进行检测识别
基于ATT&CK知识库的Detection 方法和CAR 网络分析库对攻击技术完成“对 象-行为-作用域”的建模。对非结构化情报中涉及网络
实体的攻击行为进行提取,将其转化为查询子图。将上述知识在目标系统中部署为日志检测规则,利用起源图查询形式检测攻击。
事后攻击归因,攻击工具、攻击手法、攻击资源、社会属性等威胁知识情报的组合对攻击组织具有很强的标识性,可用于攻击活动归因,并有较长时间的可用性。当给定待归因事件的若干线索时,除了威胁元数据,通过包含ATT&CK在内的威胁知识情报的比对,可增加归因效率及可信度。
6.1 基于 MITRE 的 ATT&CK 的小型且高度便携的检测测试
atomic-red-team:https://github.com/redcanaryco/atomic-red-team
七、ATT&CK框架构建实战化的威胁检测体系缺点
7.1 攻击视角vs防守视角
攻击视角vs防守视角相交,但不重合
7.2 单个行为告警不准
7.3 单个行为告警溯源困难
7.4 组合行为检测
7.5 攻击链路检测与事件聚合
一次完整的APT攻击过程往往使用多种 攻击战术与技术,并呈现一定的攻击流 程。在ATT&CK框架的基础上,将攻击 行为关联,并形成攻击链路用于告警研 判,将极大地提升检测的准确率,并提供丰富的溯源依据
八、攻击事件关联分析
下面来说说事件关联分析
8.1 网络空间威胁映射
依据攻击技术特征构建 ATT&CK 技术项映射规则,从恶意样本与网络行为两方面进行威胁标记。目前,已经为超过 4000 万个样本文件与上亿条网络行为数据提供了所属对应 ATT&CK 技术项的标注。将恶意样本特征和网络事件准确映射到 ATT&CK 网络空间威胁框架攻击矩阵
ATT&CK 技术项标签体系支持可视化展示,具备统一性和可扩展性
8.2 多源数据运营
在ATT&CK的每项技术描述中都有对应于该技术的数据源信息,它告诉我们可以从哪些类型的数据中找到攻击技术实施后所留下的痕迹。任何类型的检测的最大前提条件是要有数据进行分析。大多数安全产品可收集进程数据、文件数据、网络连接和服务、注册表或持久性数据的实时监测数据,这些数据涵盖了许多攻击者的行为
基数据源来确定威胁检测算法
1、基于多种类、多来源数据构建面向实体、关系、属性的关联分析知识数据
2、依托提取生成的实体关系数据支撑多个类型的业务场景使用,进行快速关联拓线
在企业全局启用检测和响应的一种新模式,扩展检测和响应(XDR)已经引起了企业安全团队的极大兴趣。XDR的扩展检测目标是将来自内部和外部的不同来源数据结合起来,并将来自各个系统的原子事件连接到单个事件中。
XDR包含至少两种及以上类型的威胁检测。因为企业所面临的威胁可能来自台式机、Web、SaaS应用程序、云提供商等,所以需要多个检测功能来保护企业的系统
XDR有个缺点,就是企业组织安全检测能力的巨大转变。就其本身而言,来自企业组织所有内部数据源的事件,包括企业SIEM系统、日志管理存储库、案例管理系统和安全基础设施、内部和云端系统等表面看似乎都是独立的。但是,如果企业安全团队可以汇总这些数据,并使用多个来源(商业、开源、政府、行业和现有安全供应商)的威胁数据自动对其进行扩充和丰富,就会看到完全不同的图景
当所有这些数据相互关联并显示在一个屏幕上,并将不同系统看似孤立的事件聚集在一起,共同完成攻击事件拼图时,安全团队就可以识别整个企业的关系并检测恶意活动。这种企业全局范围内的检测活动,自然会推动企业安全团队深入了解并触发进一步调查。因此,我们对检测的现代定义,还必须包括在该共享视图中将相关数据与内部资源(例如受影响用户身份)关联起来的能力。例如,如果网络犯罪分子的攻击目标包括财务部门、人力资源或最高管理层,这可能表明企业组织存在更严重的威胁
8.3 网络空间实体与关系
利用多种类、多来源的网络安全数据进行综合关联,构建形成网空实体关系数据。
利用威胁数据(报文告警、文件深度分析)与情报数据(威胁情报)作为起点 ,筛选重点关注的威胁或重点关 注的目标相关的数据,与各种网络痕迹数据相关联,汇总得到网空实体与实体在网络空间中的关联关系
8.4 数据处理流转
利用 ATT&CK 框架串联攻击事件中碎片化的攻击痕迹,还原攻击场景
为了解决安全监测日志碎片化程度高,安全事件关联分析效率低下问题,提取重点单位和威胁情报相关的网 络实体属性及关联关系,支持基于实体关系图数据快速发现威胁事件,及时获取事件脉络,为攻击场景还原 和受害者判定提供决策依据
九、攻击场景还原
1、利用多源数据,快速、 全面、准确的在全网定位失陷影响范围
2、对攻击事件的攻击过程进行还原挖掘
十、威胁狩猎
欺骗防御(Deception)是防守者得以观察攻击者行为的新兴网络防御战术,通过诱骗攻击者和恶意应用暴露自身,以便研究人员能够设计出有效防护措施。欺骗防御技术可以增强甚至有可能替代威胁检测和响应类产品(TDR),能够提供低误报、高质量的监测数据。因此,企业安全人员在构建自身威胁检测能力时候,应该认真考虑将欺骗防御技术加入其安全防御体系中。
D3FEND/ENGAGE(NSA(没搞过国家安全局)&MITRE):提供了对抗常见攻击技术的方法和知识,列举可以影响攻击者能力的防御技术
在传统安全防御认知中,防守者需要确保所有资产100%安全,而攻击者却只需要抓住一次机会就可以收获成果。但是欺骗防御技术,却跟传统安全模型完全相反。攻击者除非100%正确,否则就会被“地雷”绊倒,而防守者却幸运的多,只需要绊倒一次攻击者就能清楚了解攻击者信息。
从技战术角度深入刻画黑客攻击组织的攻击手段与攻击能力,通过黑客攻击组织常用的技战术手段可以形成针对性的威胁狩猎能力,借助蜜罐等欺骗防御技术会更有效果。
十一、模拟安全分析师训练
以ATT&CK框架作为培训基础,提高员工安全能力
在实际模拟演练中进行ATT&CK学习,进行系统的ATT&CK的培训,搭建靶场和积累的场景进行持续性训练,可以分角色培训:威胁情报专家和安全、运营中心专家
十二、安全有效性评估
设备可用性评估
设备License有效时间
设备规则更新时间
设备配置正确性评估
设备报警正常性评估
设备数据正常生成评估
设备数据正常上报评估
十三、业务赋能
对于安全供应商:可以通过使用ATT&CK的用例进行产品测试,可以方便的跟客户进行PoC演示
对于企业内部安全人员:可以参照ATT&CK框架来进行业务上线的安全性评估
对于企业内部审计人员:可以利用ATT&CK评估结果,来 指导新业务收购的安全性问题
十四、ATT&CK存在的问题汇总
威胁检测的不足
从上图,我们可以看到ATT&CK用于威胁检测中的一些不足的地方,但还有一些其它的问题:
14.1 一词多义现象
例如,在恶意样本分析任务中的框架难以对齐:ATT&CK的技术描述粒度相对较粗,表述维度与恶意样本的分析维度不一致,现在没有也较难构建同时兼具ATT&CK标注和恶意软件家族标注的数据集
在威胁检测/攻击技术挖掘任务中的“鸿沟”:MITRE官方没有提供结构化的攻击技术表述,通过NLP技术将ATT&CK用于技术知识获取、威胁检测时,存在“技术知识”与“检测对象”或“技术描述实例”之间的语义鸿沟。例如:攻击技术名称 “Input Capture:GUI Input Capture” 与攻击技术实例描述中的关键“Password” 和 “Credentials” 没有直接的关系
ATT&CK通过阶段划分,给具体技术的归类赋予了一定的语义关联,提供了模板化攻击分析策略。但一个技术可能横跨多个战术实现,并以不同的粒度出现在一定的威胁上下文中
14.2 以点状的攻击技术描述为主,缺乏攻击技术之间的组合与关联
当下的ATT&CK更像是攻击技术的枚举与条目丰富,尚未能指出如何进行攻击技术之间的组合与关联,不利于实现TTPs(Tactics(技术),Techniques(战术),Proceedings(程序)——战技过程)链条的构建
入侵分析中的链式钻石模型
图片
14.3 数据的覆盖性不充分
主机侧的攻击技术占了大部分( 74% ) ,流量侧的较少(17%) ,云和虚拟化相关的也不多(19%)(部分技术在主机或云上都可使用,被重复统计),对工控、物联网、车联网覆盖面较少,基本对于以骨干网、网络出口为主的安全监管和车联网安全中复杂场景适用性低。
14.4 信息流依赖爆炸现象
理想化中结合ATT&CK技战术对应原始日志,快速还原攻击路径,进行检测、溯源、取证,但现实却是在细粒度的溯源数据层面(Provenance),现阶段的数据采集在一定的资源限制下,难以精细刻画信息传递流,且ATT&CK的战术模型不是因果模型,也不具有统计意义
14.5 召回模型与高误报率
理想化中根据ATT&CK的技战术覆盖,逐步提升检测能力的覆盖率、准确性。但ATT&CK的目标是行为覆盖,然而安全运营需要高精度、低误报的事件
14.6 安全合规风险
涉及用户数据时,会有四大为什么?
有什么数据?数据哪里来的?数据在哪里?谁在使用数据?
理想化中主机全覆盖,用户全覆盖,行为全覆盖,数据全覆盖的ATT&CK数据资源池,但关键数据资产与个人隐私保护需求上升与数据分析可用性之间的矛盾
解决办法:
安全控制量化,根据需要和合规
减少重复安全控制策略
优化合并减少不必要的安全控制
通过威胁的角度进行整个安全控制的最佳效率和效果分析
14.7 采集与分析系统瓶颈
理想化中全面收集丰富的指标数据,支撑威胁研判与溯源,但高级威胁低频且具有隐匿性与企业和组织需要持续进行风险管控的矛盾,导致大规模数据采集开销、传输开销、存储开销、分析开销大幅提升
十五、甲方视角看待ATT&CK
在网络安全领域,攻击者始终拥有取之不竭、用之不尽的网络弹药,可对组织机构随意发起攻击;而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击。基于攻防不对称的情况,防守方始终会被以下问题所困扰:
防御方案有效吗?
能检测到APT攻击吗?
新产品能发挥作用吗?
安全工具覆盖范围是否有重叠呢?
如何确定安全防御优先级?
在刚开始推出Enterprise ATT&CK时,ATT&CK专注于攻击者入侵系统后的行为,大致对应Kill Chain中从漏洞利用到维持的阶段。这符合防守方所处的情况,即防守方仅具有对自己网络的可见性,无法揭露攻击者入侵成功前的行为。
在ATT&CK初次发布后,MITRE的一个独立团队希望按照Enterprise ATT&CK的格式向左移动,列出导致攻击者成功入侵的攻击行为,于是在2017年发布了PRE ATT&CK。
PRE ATT&CK框架发布后,ATT&CK社区中的一些人开始利用它来描述攻击者入侵成功前的攻击行为,但该框架的使用率并不高。
同时,许多企业反映,Enterprise ATT&CK仅涵盖攻击者入侵成功后的行为,这在一定程度上限制了Enterprise ATT&CK的能力。
对此,MITRE在2018年将PRE ATT&CK集成到Enterprise ATT&CK版本中,将PRE ATT&CK的“启动”和“威胁应对”战术纳入Enterprise ATT&CK的“初始访问”战术中。
之前,MITRE称PRE ATT&CK+Enterprise ATT&CK涵盖了完整的Kill Chain。但实际上PRE ATT&CK还包括侦察前情报规划在内的多种战术。后来,MITRE的Ingrid Parker与ATT&CK团队合作制定了一个标准,以确定PRE ATT&CK中的哪些技术可以融入Enterprise ATT&CK中
通过上述长期困扰甲方的问题,尤其是第一个问题防御方案有效的问题,直到MITRE ATT&CK的出现才得到缓解。
自2015年发布以来,MITRE ATT&CK风靡信息安全行业,迅速被世界各地的许多安全厂商和信息安全团队采用,在他们看来,MITRE ATT&CK是近年来信息安全领域最有用和最急需的一个框架。
对于甲方企业来说,安全团队依然是作为一个职能部门,而非赚钱的业务的部门。只要能通过等保,让业务顺利展开不被监管卡,就已经足够了。于是甲方安全人员经常自我调侃:"被黑客攻击了,要背锅;防御住黑客攻击是应该的"。而每年国家组织的攻防演练,对于很多企业的老板来说,也仅为政治任务。
依靠SOC(安全运营中心),来构建预防、检测、防御、响应等的智能化、可视化的安全运营体系。并辅以红蓝对抗等主动的攻击性防御的措施,来持续的提升企业的安全能力。
看到许多甲方买了态势感知、SOC、EDR、SIEM、NG-SOC、ELK等设备,以为买了安全设备就绝对的安全了,沉溺于酷炫的地图炮不可自拔,却往往忽略了最基本的运营,安全运营平台有三大关键点,如下:
数据归集
安全检测策略
指标体系
安全运营中心的发展,经历了几个阶段:
第一阶段:日志的聚合,就是依托SIEM来进行分析、管理
第二阶段:开始出现可视化,常说态势感知
第三阶段:智能化,出现UEBA、SOAR等智能的管理、检测和响应手段,开始完成威胁的闭环建设
从关注的视角上,也从资产,转变为业务,及整个威胁的全景感知和检测响应
安全运营面向的是业务,是为了保障业务的顺利开展;安全运营不仅要承担安全事件的应急响应外,还需要去建设安全体系,主动的去发现或者挖掘可能存在的威胁事情,是主动的;安全运营会持续性的来建设和监测安全事件,是持续性的;安全运营人员还需要具有安全分析能力,包含但不限于逆向分析;溯源分析能力;各种日志分析能力,包括终端日志,流量等。
安全运营则是以“业务系统风险控制”为核心,将安全建设与业务相适配,并结合AI、大数据等核心技术,建立基于业务的自适应安全架构,建设监测、分析、响应等集中安全监测体系,将技术、流程、人员有机集合,对业务安全风险进行持续控制的一种安全建设模式。此外,安全运营除了能解决已知威胁,还能对可疑、未知的威胁进行检测,响应和分析。
安全运营团队结构如下:
领导层:对整个安全运营中心进行统筹管理
基础运营小组:常规的安全监测、风险处置、威胁研究、审计等
分析响应小组:对出现的安全事件进行分析、响应、溯源、处置等
高级攻防小组:进行攻防演练,促进能力建设 安全专家:指导安全运营团队展开安全加固、威胁狩猎、应急响应,渗透测试、红蓝演习、体系建设、培训等。
运营和管理平台:安全运营中心;
安全可视化:资产可视、风险态势、业务安全态势、风险处置态势、平台运行管理等;
数据采集:采集范围包括每个子公司、每个部门、每个人员、每个资产;采集内容包括资产信息、终端日志、流量、外部威胁情报等;
安全预防和加固:漏洞扫描和管理、基线扫描和管理、体系设计、DevSecOps等
安全监测:威胁狩猎、资产管理、威胁情报、攻防技术研究、UEBA等;
威胁分析:告警处理、威胁分级、事件分析、溯源分析等;
应急处置:应急流程管理平台、威胁处置、隔离、SOAR等
红蓝对抗:红蓝对抗、渗透测试
15.1 什么是MDR、MSS、SOCaaS ?
自建安全运营中心需求企业花费很大的成本,也受企业内部安全人员的能力限制,因此很多企业也开始选择把安全服务进行托管。市场上来出现了诸如MSS、MDR、SOCaaS的服务
MDR(Managed Detectionand Response,托管检测和响应)、SOC-as-a-Service、MSS(Managed Security Services),都是托管网络安全服务,帮助快速检测和消除网络中的入侵、病毒和其他恶意软件以及恶意活动等威胁。
当然之间也存在一些差异,MDR即SOCaaS,和MSS的最大区别在于,MSS厂商发现告警和威胁,会推送给企业自身去进行处置。而MDR最大的特点是检测和响应,MDR厂商会采用自身的各种技术去进行威胁的检测,并且帮助企业完成响应和处置的工作。
当然随着托管服务的发展,MDR和MSS的边界也在不断的模糊,很多MSSP厂商也开始进行MDR服务。
需求描述
可行性分析
完成前置工作后,后面的问题主要是如何获取
获取所需信息
MITRE在github开源了一个cti项目,里面恰好有我们所需的数据。
十六、ATT&CK 工具
ATT&CK在日常网络环境中很有价值。在开展任何防御活动时,可以用ATT&CK的分类来参考攻击者的行为。ATT&CK模型在对抗行为时,为对抗双方提供了通用语言。企业或组织能够使用多种方式来使用ATT&CK。其中,一些主要的场景如对抗模拟、红队/渗透测试活动、制定行为分析方案、防御差距评估、SOC成熟度评估、网络威胁情报收集等
为了更好地检测自身的防御能力,通常需要进行攻击的模拟。常用的集成了ATT&CK的开源模拟工具如Red Team Automation (RTA)、Atomic Red Team、Caldera、Uber--- Metta等。而利用ATT&CK进行攻击发现或攻击分类的常用工具如rcATT、Unfetter Insight、SysmonHunter、TTPDrill、hybrid analysis、AnyRun、SANS等
MITRE机构推出的ATT&CK及其相关工具和资源,为安全界做出了重大贡献。攻击者不断的寻找更隐蔽的方法绕过传统工具的检测,防御手段变得捉襟见肘,不断的改变检测和防御方式。而ATT&CK的出现改变了我们对IP地址和域名等低级指标的认知,并让能够让我们从行为的视角来看待攻击者和防御措施
16.2 ATT&CK View 模型工具
ATT&CK View 是一种规划工具,可帮助防御者以结构化方法基于MITRE ATT&CK?框架设计对手的攻击计划。作为演示,ATT&CK View捆绑了由MITRE 开发的针对的xxx完整对手攻击计划
模型数据:ATT&CK 框架有许多用例,其中许多情况取决于现有工具是否启用了ATT&CK,为了使此过程更容易,此存储库中的数据库可帮助加快与ATT&CK集成现有工具的速度,您自己的工具或将ATT&CK?与其他现有框架融合在一起
Copyright © 2005-2021 网信安全世界版权所有