首頁 > 關于我們 > 新聞動態 > 深度解讀

前沿安全論丨ATT&CK框架在安全運營中的應用

發布時間 2021-11-30

威脅情報是關于IT或信息資產所面臨的現有或潛在威脅的循證知識,包括情境、機制、指標、推論與可行建議,這些知識可為威脅響應提供決策依據?!狦artner在2014年發表的《安全威脅情報服務市場指南》(Market Guide for Security Threat Intelligence Service)中提出的定義。


根據David J. Bianco在《The Pyramid of Pain》一文中提出的威脅情報相關指標的金字塔模型,可以根據數據本身將威脅情報分為HASH值、IP地址、域名、網絡或主機特征、TTPs(Tactics、Techniques & Procedures)。左側是能夠利用的情報,右側是這些情報的價值和掌握后給入侵者造成的痛苦程度。


ATT&CK框架用于威脅情報的實踐.png


威脅情報中價值最低的是Hash值、IP地址和域名(也就是常說的特征庫),其次是網絡/主機特征、入侵工具特征,對入侵者影響最大的是TTPs(戰術、技術和行為模式)類型的威脅情報。而目前安全運營中大量使用的仍然是基于HASH(特征庫)、IP(護網行動中藍隊的常規的“封IP”行為)、域名、URL為基礎依據的威脅情報,這些情報在應對自動海量無自主意識的病毒較為有效,而在應對高級可持續威脅入侵方面的比較乏力,輕易被入侵者繞過。而ATT&CK框架的核心正是TTP,用標準語言描述對手入侵行為,天然的為威脅情報提供了高階標簽,在安全運營中,防御者可以根據已知入侵者技術和戰術來跟蹤入侵主體,預警甚至預判可能的入侵行為和模式。


實例:某經典的魚叉式釣魚場景的威脅情報構建


入侵團隊利用微軟Office宏文件的VBSript構建攻擊代碼,然后通過電子郵件進行魚叉釣魚攻擊,受害者執行代碼后,主機被入侵控制,并用作跳板機進一步入侵內網。高階威脅情報的核心是識別并標識攻擊者的技戰法(TTP),因此采用ATT&CK框架來識別和構建入侵的TTP行為鏈條。如下,分列出入侵者使用的戰術、技術以及對應的標簽、緩解措施和檢測手段。


1、信息收集:入侵者收集目標相關信息


2、初始訪問:入侵者發送魚叉式郵件誘導執行


3、代碼執行:受害主機啟用Office宏執行惡意代碼


4、持久化:創建服務進程、添加計劃任務


5、防御規避(偽裝):RTLO字符從右往左覆蓋偽裝正常文件名


6、命令與控制:建立隱蔽隧道、搭建內網代理


7、數據滲漏:建立C2隧道控制與數據竊取


8、影響:存儲數據操作,篡改內容


最終形成入侵鏈條如下,注意ATT&CK框架中的戰術是非線性的。由上例可見,按照ATT&CK框架模型進行威脅建模,極大的方便了構建安全運營中高階威脅情報知識庫,完整的梳理出威脅行為的TTP、檢測數據源以及防御措施,簡化了溯源的流程和威脅情報的創建過程,為安全運營中構建主動防御系統提供了有力的支撐。


ATT&CK用于安全運營能力成熟評估實踐


在實際安全運營中,很多安全主管都存在難以回答的量化困境,例如:當前的安全防御體系有效性如何?安全投資和建設的優先級如何?實戰演習是否推動了能力的提升?


同樣對于安全運維人員,也存在難以回答的問題:


是否能夠對抗當前流行的APT攻擊行為?海量的告警數據應該如何分析確定規律?如何驗證運維團隊的技術工作能力的有效性?


實踐是檢驗真理的唯一標準,所有安全問題的有效性應該用實踐的方式來檢驗。因此ATT&CK框架正是檢驗防御能力的有效手段。


(一)入侵者模擬計劃


基于ATT&CK的入侵者模擬計劃,可以采用兩種方式:


1、實戰入侵,按照ATT&CK的框架標準,組織紅隊計劃開展一系列基于威脅的安全測試,模擬真實入侵者的戰術技術和過程,用實戰檢驗防御體系的真實防御能力。


2、沙盤推演,讓企業的紅藍團隊選擇不同的角色,討論紅隊如何使用不同步驟來執行攻擊行為的,討論威脅情報分析人員是如何溯源分析,安全運營人員是如何對抗處置的,將ATT&CK作為通用語言進行溝通和推演。


這和一般的滲透測試有什么不同呢?


滲透測試主要是單一團隊的入侵測試,而基于ATT&CK的入侵者模擬計劃主要在于可以模擬多個APT組織的入侵行為,而非單一組織的手段和形式,更加全面和有效。


而且,MITRE也創建有入侵者模擬計劃,目的是讓紅隊能夠更加準確高效地模擬入侵行為,從而使得防守方能夠更加有效地測試自己的網絡防御能力。例如基于APT3創建的入侵者模擬方案,方案中完整的復現了APT3入侵的所有流程。從而使得安全運營方能夠更加有效地測試自己的保障體系應對各種APT組織入侵時的防御能力。


(二)安全運營能力成熟度評估


ATT&CK框架同樣可應用于安全運營中心的防御能力成熟度評估,評估組織現有的防御體系,是否能夠覆蓋到所有已知入侵手段,輔助發現防御能力短板,促進完善防御體系框架。具體來說可以實現如下:


1、評估網絡安全防御框架能力,典型場景是安全能力覆蓋度評估,采用色塊標價法,可以一目了然安全的差距在哪里,還需要改進哪些?


2、當安全能力已經完成了全覆蓋,接下來是需要評估安全能力的成熟度,將成熟度按照不同的程度打分。例如多款產品均覆蓋到了該能力,表明防御成熟度較高,可進行深色賦值,相反則進行淺色賦值,最終形成可視化程度較高的安全能力成熟度模型。


3、主流入侵技術熱度評估。對于組織來說,了解入侵者經常使用入侵技術也非常重要。因此可以根據ATT&CK知識庫中存在的122個APT組織的TTP(戰術、技術、過程)創建入侵技術熱力圖。


此時我們可以想象每一個APT組織使用的TTP都是在一塊玻璃上涂色,當所有APT組織完成涂色后,把這些玻璃疊加起來就形成了我們的威脅組織數據的熱力圖,熱力圖中的顏色越深,則表示入侵組織使用該技術的頻率就越高。綜上,將ATT&CK框架應用于安全運營中心,能夠真實反映安全運營中心在面對APT組織威脅時的安全防御能力,同時可以驗證安全運營中心在檢測、分析和響應方面的能力成熟度,并借助于威脅情報、溯源反制構建安全運營中心的主動防御體系。


2017年,啟明星辰集團便在行業率先開創性地提出“獨立第三方安全運營”概念,為城市政府機構、企業及智慧城市建設,提供托管式、外包式的7x24小時專業安全運營服務,為城市打造專職的網絡空間安全應急響應中心,提高針對政府機構、企業及網絡空間危害事件的發現與響應能力、加強對潛在入侵的監測和調查能力,由區域性第三方安全運營中心為城市提供專業的托管式安全服務,是有效提升城市網絡安全能力的方式,是解決安全能力交付“最后一公里”的最佳選擇,近年來逐漸成為國內外網絡安全產業發展的重要方向。


啟明星辰集團安全運營中心在實踐中引入ATT&CK模型,不斷匯總和輸出不同的安全能力,并在落地的過程中深度結合人工智能技術和安全分析技術,不斷提升安全運營的管理水平,通過行業標準來規范化輸出安全運營中心運營腳本、ATT&CK入侵模型和高階威脅情報,精準定位安全事件,提升安全事件響應和處置速度。

上一篇 下一篇