ATT&CK框架成为网络安全行业的“世界语言”

发布时间 2021-11-19

ATT&CK模型由MITRE公司于2013年创建。MITRE公司前身是麻省理工学院的林肯实验室,是一家向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,其最引为人知的是它目前维护了全球最大的漏洞信息库CVE。而ATT&CK框架正是MITRE公司基于其在CVE漏洞库管理基础上,总结入侵者入侵实战和漏洞利用手法,从而形成详细的入侵知识库框架。


ATT&CK模型作为最近几年最火的攻防框架,目前汇聚了来自全球的安全社区贡献的、基于历史实战的高级威胁入侵技术、战术(技战法),形成针对入侵者行为描述及相应防御构建的通用语言和知识图谱。


ATT&CK框架成为网络安全行业的“世界语言”


ATT&CK的提出具有两方面的重大意义,首先,ATT&CK框架提供了描述入侵者行为的统一语言,同时也是一门网络安全行业的“世界语言”,让攻防交流不再有障碍。在ATT&CK框架提出之前,攻防双方,各个厂商组织之间对于入侵行为的描述是各不相同,导致攻防双方交流以及入侵技战法的普及存在较大困难。


正如春秋战国期间的各国语言均不统一,同一类事物,齐人有齐人的说法,郑人有郑人的命名,语言的不通极大限制了文化知识的传播与传承,而ATT&CK框架的诞生则好比秦灭六国,车同轨、书同文,自此攻防交流不再有障碍。


其次,ATT&CK框架是入侵者的“全景图谱”,改变了长期以来“防”落后于“攻”的境地,从“未知攻焉知防”步入到“已知攻而专注于对抗”,简单来说就是早期防御者都不知道入侵者是怎么入侵的?无论是招数还是武器,防御更是无从谈起,ATT&CK框架的出现,好比武林秘籍“九阴真经”被公布于世,防御者可以专注于思考如何破解招数,长期落后的防守一方终于看到了对等对抗入侵的曙光。


ATT&CK框架的十四个战术


ATT&CK框架脱胎于洛克希德-马丁的KillChain杀伤链模型,在此基础上构建了一套更加细粒度、更易达成共识的知识模型和框架。ATT&CK模型覆盖了Kill Chain模型的所有阶段,同时扩展了后渗透阶段的相关技术。ATT&CK框架的核心理念与要素是TTP(Tactics, Techniques and Procedures;战术, 技术与过程),ATT&CK框架中所有对入侵行动的分析以及知识库的提炼积累,都是围绕TTP而展开的。当前ATT&CK的版本号是V10版本,具体战术如下:


1. 侦查:收集信息以计划未来对手的行动,即有关目标组织的信息


2. 资源准备:建立资源以支持作战,即建立指挥和控制基础设施


3. 初始访问:尝试突破边界进入网络,包含常规入侵和社会工程学入侵。


4. 执行:尝试运行恶意代码,运行远程访问工具


5. 持久化:通过修改系统配置和策略,试图建立长期据点。


6. 权限提升:通过利用漏洞提升访问权限,试图获得更高级别的权限


7. 防御规避:使用受信任的进程来隐藏恶意软件,试图规避检测


8. 凭据窃取:窃取用户名和密码等凭据,例如利用键盘记录


9. 内部探测:探索内部环境中所有系统,试图弄清楚所在环境


10.横向移动:内网横向移动,即使用合法凭证在多个系统中移动


11.数据收集:收集目标中有价值的数据,例如访问云存储中的数据


12.命令和控制:与受感染的系统通信以控制它们,即模仿正常的网络流量与受害网络通信以进行远程控制


13.数据渗漏:窃取数据,例如通过隐蔽隧道转移数据到云账户


14.影响:操纵、中断或破坏系统和数据,即使用勒索软件加密数据


以上是ATT&CK框架的十四个战术,跟洛克希德-马丁的Kill Chain不一样的是这些战术不用遵循任何线性顺序,入侵者可以随意切换战术来实现最终目标。


ATT&CK在安全运营中的应用


ATT&CK框架不仅仅是一套入侵方法论,同时也是一套防御方法论,使得安全运营单位不再局限于合规安全,而是面向实战,借助入侵方法论持续改进安全防御能力。


对于传统网络安全保障体系建设来说,有各式各样的基础安全建设框架模型,例如我国的等级保护2.0框架、关键信息基础设施网络安全框架,美国的NIST CSF框架等等,但这些传统的基础网络安全框架模型多数是面向风险管理的模型,从网络安全管理或者治理的角度出发的,偏重于静态评估。而且评估的手段主要包括查阅资料、访谈、调研、测评、差距分析等,主要依据专家经验打分,以评价能力有无为关键指标,而无法验证能力的有效性。


以等级保护测评为例,运营单位采购了防火墙、入侵检测设备、Web安全网关、堡垒机、安全管理中心等等,从合规角度满足等级保护的要求,形式上合理,符合等级保护要求,但真的满足安全了么?真的能抵御现实世界的APT攻击么?答案是未知的。显然,这并不能反应真实网络安全空间的安全问题,所以我们需要一种面向实战攻防的技术框架,所以我们要在基础网络安全框架模型之上引入ATT&CK模型。


ATT&CK适用的场景很多,很多安全企业都在投入研究,而MITRE官方推荐如下:


对手模拟:通过获取对手的入侵情报并模拟他们的入侵行为来评估自身的安全性。ATT&CK可用于创建入侵者模拟场景来测试和验证防御。


红队建设:红队的实战参考手册,ATT&CK 可用于创建红队攻击知识框架,并组织入侵行为。


行为分析开发:将可疑活动特征联系在一起以监控对手的活动。ATT&CK 可用于简化并提炼可疑恶意活动行为模式。


威胁情报:ATT&CK 允许防御者评估他们是否能够防御特定的高级持续威胁 (APT) 和构建威胁参与者的常见行为模型。


防御差距评估:确定企业的哪些部分缺乏防御或可见性。ATT&CK 可用于评估现有工具,或在购买之前测试新工具,以确定安全范围和优先投资。


安全运营成熟度评估:与防御差距评估类似,ATT&CK 可用于验证安全运营中心 (SOC) 在检测、分析和响应漏洞方面的能力成熟度。