首頁 > 關于我們 > 新聞動態 > 深度解讀

ATT&CK框架成為網絡安全行業的“世界語言”

發布時間 2021-11-19

ATT&CK模型由MITRE公司于2013年創建。MITRE公司前身是麻省理工學院的林肯實驗室,是一家向美國政府提供系統工程、研究開發和信息技術支持的非營利性組織,其最引為人知的是它目前維護了全球最大的漏洞信息庫CVE。而ATT&CK框架正是MITRE公司基于其在CVE漏洞庫管理基礎上,總結入侵者入侵實戰和漏洞利用手法,從而形成詳細的入侵知識庫框架。


ATT&CK模型作為最近幾年最火的攻防框架,目前匯聚了來自全球的安全社區貢獻的、基于歷史實戰的高級威脅入侵技術、戰術(技戰法),形成針對入侵者行為描述及相應防御構建的通用語言和知識圖譜。


ATT&CK框架成為網絡安全行業的“世界語言”


ATT&CK的提出具有兩方面的重大意義,首先,ATT&CK框架提供了描述入侵者行為的統一語言,同時也是一門網絡安全行業的“世界語言”,讓攻防交流不再有障礙。在ATT&CK框架提出之前,攻防雙方,各個廠商組織之間對于入侵行為的描述是各不相同,導致攻防雙方交流以及入侵技戰法的普及存在較大困難。


正如春秋戰國期間的各國語言均不統一,同一類事物,齊人有齊人的說法,鄭人有鄭人的命名,語言的不通極大限制了文化知識的傳播與傳承,而ATT&CK框架的誕生則好比秦滅六國,車同軌、書同文,自此攻防交流不再有障礙。


其次,ATT&CK框架是入侵者的“全景圖譜”,改變了長期以來“防”落后于“攻”的境地,從“未知攻焉知防”步入到“已知攻而專注于對抗”,簡單來說就是早期防御者都不知道入侵者是怎么入侵的?無論是招數還是武器,防御更是無從談起,ATT&CK框架的出現,好比武林秘籍“九陰真經”被公布于世,防御者可以專注于思考如何破解招數,長期落后的防守一方終于看到了對等對抗入侵的曙光。


ATT&CK框架的十四個戰術


ATT&CK框架脫胎于洛克希德-馬丁的KillChain殺傷鏈模型,在此基礎上構建了一套更加細粒度、更易達成共識的知識模型和框架。ATT&CK模型覆蓋了Kill Chain模型的所有階段,同時擴展了后滲透階段的相關技術。ATT&CK框架的核心理念與要素是TTP(Tactics, Techniques and Procedures;戰術, 技術與過程),ATT&CK框架中所有對入侵行動的分析以及知識庫的提煉積累,都是圍繞TTP而展開的。當前ATT&CK的版本號是V10版本,具體戰術如下:


1. 偵查:收集信息以計劃未來對手的行動,即有關目標組織的信息


2. 資源準備:建立資源以支持作戰,即建立指揮和控制基礎設施


3. 初始訪問:嘗試突破邊界進入網絡,包含常規入侵和社會工程學入侵。


4. 執行:嘗試運行惡意代碼,運行遠程訪問工具


5. 持久化:通過修改系統配置和策略,試圖建立長期據點。


6. 權限提升:通過利用漏洞提升訪問權限,試圖獲得更高級別的權限


7. 防御規避:使用受信任的進程來隱藏惡意軟件,試圖規避檢測


8. 憑據竊?。焊`取用戶名和密碼等憑據,例如利用鍵盤記錄


9. 內部探測:探索內部環境中所有系統,試圖弄清楚所在環境


10.橫向移動:內網橫向移動,即使用合法憑證在多個系統中移動


11.數據收集:收集目標中有價值的數據,例如訪問云存儲中的數據


12.命令和控制:與受感染的系統通信以控制它們,即模仿正常的網絡流量與受害網絡通信以進行遠程控制


13.數據滲漏:竊取數據,例如通過隱蔽隧道轉移數據到云賬戶


14.影響:操縱、中斷或破壞系統和數據,即使用勒索軟件加密數據


以上是ATT&CK框架的十四個戰術,跟洛克希德-馬丁的Kill Chain不一樣的是這些戰術不用遵循任何線性順序,入侵者可以隨意切換戰術來實現最終目標。


ATT&CK在安全運營中的應用


ATT&CK框架不僅僅是一套入侵方法論,同時也是一套防御方法論,使得安全運營單位不再局限于合規安全,而是面向實戰,借助入侵方法論持續改進安全防御能力。


對于傳統網絡安全保障體系建設來說,有各式各樣的基礎安全建設框架模型,例如我國的等級保護2.0框架、關鍵信息基礎設施網絡安全框架,美國的NIST CSF框架等等,但這些傳統的基礎網絡安全框架模型多數是面向風險管理的模型,從網絡安全管理或者治理的角度出發的,偏重于靜態評估。而且評估的手段主要包括查閱資料、訪談、調研、測評、差距分析等,主要依據專家經驗打分,以評價能力有無為關鍵指標,而無法驗證能力的有效性。


以等級保護測評為例,運營單位采購了防火墻、入侵檢測設備、Web安全網關、堡壘機、安全管理中心等等,從合規角度滿足等級保護的要求,形式上合理,符合等級保護要求,但真的滿足安全了么?真的能抵御現實世界的APT攻擊么?答案是未知的。顯然,這并不能反應真實網絡安全空間的安全問題,所以我們需要一種面向實戰攻防的技術框架,所以我們要在基礎網絡安全框架模型之上引入ATT&CK模型。


ATT&CK適用的場景很多,很多安全企業都在投入研究,而MITRE官方推薦如下:


對手模擬:通過獲取對手的入侵情報并模擬他們的入侵行為來評估自身的安全性。ATT&CK可用于創建入侵者模擬場景來測試和驗證防御。


紅隊建設:紅隊的實戰參考手冊,ATT&CK 可用于創建紅隊攻擊知識框架,并組織入侵行為。


行為分析開發:將可疑活動特征聯系在一起以監控對手的活動。ATT&CK 可用于簡化并提煉可疑惡意活動行為模式。


威脅情報:ATT&CK 允許防御者評估他們是否能夠防御特定的高級持續威脅 (APT) 和構建威脅參與者的常見行為模型。


防御差距評估:確定企業的哪些部分缺乏防御或可見性。ATT&CK 可用于評估現有工具,或在購買之前測試新工具,以確定安全范圍和優先投資。


安全運營成熟度評估:與防御差距評估類似,ATT&CK 可用于驗證安全運營中心 (SOC) 在檢測、分析和響應漏洞方面的能力成熟度。

上一篇 下一篇