干貨滿滿 | 聊一聊ATT&CK在沙箱類產品的應用
發布時間 2019-11-08ATT&CK可以說是2019年網絡安全行業的熱門議題之一。
ATT&CK,全稱是Adversarial Tactics, Techniques, and Common Knowledges。A是Adversarial,表示攻擊者、對手;兩個T分別是Tactics和Technical,即戰術和技術;CK是Common knowledge,通用知識庫。
ATT&CK提供了一種使用威脅建模知識庫的方式,為真實世界中攻擊者的戰術及技術、已知組織及惡意工具使用到的攻擊手段找到對應的方法。它有雙層含義:一方面它是基于現實世界觀測的對手戰術與技術通用知識庫,另一方面其本身也是“攻擊”的含義,表明這個模型是以攻擊者視角創建的。
在ATT&CK出現之前,就已經出現了鉆石模型、Kill Chain模型等著名的攻擊模型,但這些模型太抽象化,無法和實際攻擊相對應。因此,2013年,MITRE公司在其內部FMX項目基礎上孵化出了ATT&CK項目,并于2015年公開發布了第一版ATT&CK框架。ATT&CK可以說是在Kill Chain模型基礎上演變出來的更細粒度、更易共享、加強版知識框架。
目前,ATT&CK模型總共分為三個部分,分別為PRE-ATT&CK、ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK主要是攻擊者進行攻擊準備時的技術或戰術,覆蓋Kill Chain模型的前兩個階段;ATT&CK for Enterprise主要是Windows、Linux、MacOS,AWS,GCP,Azure,Azure AD,Office 365,SaaS等平臺的266項攻擊技術,覆蓋Kill Chain模型的后五個階段。
一、ATT&CK的應用場景
ATT&CK中用途最廣泛的模型是ATT&CK for Enterprise,主要包含12種戰術,即初始訪問、執行、持久化、特權提升、防御繞過、憑證訪問、發現、橫向移動、收集、命令與控制、泄露、影響。如果把這12種戰術比喻成為一場真實的戰爭,初始訪問就相當于搶灘登錄的過程;執行、持久化、特權提升、防御繞過就是奪取和鞏固陣地的過程;憑證訪問、發現、橫向移動相當于在當前陣地上繼續擴大戰果,奪取新的高地的過程;收集、命令與控制、泄露、影響則是戰爭的最終目標達成。
在現實戰斗中,既有正面推進也戰術迂回,因此,在一次實際攻擊中,各個戰術之間沒有嚴格的順序,所有的戰術也不會同時出現。
那么ATT&CK到底如何應用?官方給出了如下應用場景:
通俗來說,ATT&CK主要落地點主要包括產品層面、威脅情報領域、安全研究。
二、ATT&CK在產品中的應用
如果想產品落地,那么必須先要拿到數據。但ATT&CK中的技術并不是每種產品都能覆蓋,這就要看某種技術來源是什么。
從上圖ATT&CK諸多技術來源方式中分析得知,通過進程監控、文件監控、API監控、進程命令行監控是最多的來源,而網絡抓包、流檢測是相對較少的來源。這也說明了ATT&CK對于沙箱類產品或終端軟件的“親密度”大于流量監控產品。
那么如何在產品中實現真正落地呢?我們認為主要有以下這么幾個步驟。
? 評估現狀
(1)根據ATT&CK技術來源劃定產品的最大覆蓋范圍;
(2)將已有規則/數據映射到ATT&CK;
(3)評估當前已映射的質量,區分出來哪些需要改善。
? 查漏補缺
(1)找出覆蓋中的盲點;
(2)研究產品實現可行性,區分實現難度;
(3)難度由低到高逐步補齊能力。
三、談談如何將ATT&CK真正落地——以沙箱類產品為例
1、根據ATT&CK的每項技術描述,劃定沙箱類產品能覆蓋的理論最大范圍。
2、將已有規則/數據映射到ATT&CK,并評估當前已映射技術的質量、可信度,區分出哪些需要繼續完善。
3、找出覆蓋中的盲點。對這些盲點技術研究產品實現可行性,區分實現難度,并根據難度逐步由低到高逐步補齊能力。
通過以上幾個步驟,就能完成ATT&CK到一個產品的落地實現。
啟明星辰天闐高級持續性威脅檢測與管理系統
啟明星辰天闐高級持續性威脅檢測與管理系統已經實現了ATT&CK模型的產品化落地,目前可提供的能力如下:
在惡意文件的檢測報告中,也可以看到相應規則會帶有ATT&CK技術化標簽。
作為信息安全行業領軍企業,啟明星辰一直重視對新技術及新方向研究與探索,積極發揮自身優勢,不斷創新,改進產品,提高產品對ATT&CK的覆蓋廣度和深度,提升產品的有效性。