共计 2357 个字符,预计需要花费 6 分钟才能阅读完成。
ATT&CK 模型由 MITRE 公司于 2013 年创建,MITRE 公司前身是麻省理工学院的林肯实验室,是一家向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,其最引为人知的是它目前维护了全球最大的漏洞信息库 CVE。而 ATT&CK 框架正是 MITRE 公司基于其在 CVE 漏洞库管理基础上,总结不法分子攻击实战和漏洞利用手法,从而形成的详细的攻击知识库框架。ATT&CK 模型作为最近几年最火的攻防框架,目前汇聚了来自全球的安全社区贡献的、基于历史实战的、高级威胁攻击技术、战术(技战法),形成了针对不法分子行为描述及相应防御构建的通用语言和知识图谱。
ATT&CK 框架成为网络安全行业的“世界语言”
ATT&CK 的提出具有两方面的重大意义,首先,ATT&CK 框架提供了描述不法分子行为的统一语言,同时是一门网络安全行业的“世界语言”,让攻防交流不再有障碍。在 ATT&CK 框架提出之前,攻防双方,各个厂商组织之间对于攻击行为的描述是各不相同,导致攻防双方交流以及攻击技战法的普及存在较大困难。正如春秋战国期间的各国语言均不统一,同一类事物,齐人有齐人的说法,郑人有郑人的命名,语言的不通极大限制了文化知识的传播与传承,而 ATT&CK 框架的诞生则好比秦灭六国,车同轨、书同文,自此攻防交流不再有障碍。
其次,ATT&CK 框架是攻击者的“全景图谱”,改变了长期以来“防”落后于“攻”的境地,从“未知攻焉知防”步入到“已知攻而专注于对抗”,简单来说就是早期防御者都不知道不法分子是怎么攻击的?无论是招数还是武器,防御更是无从谈起,ATT&CK 框架的出现,好比武林秘籍“九阴真经”被公布于世,防御者可以专注于思考如何破解招数,长期落后的防守一方终于看到了对等对抗攻击的曙光。
ATT&CK 框架的十四个战术
ATT&CK 框架脱胎于洛克希德 - 马丁的 KillChain 杀伤链模型,在此基础上构建了一套更加细粒度、更易达成共识的知识模型和框架。ATT&CK 模型覆盖了 Kill Chain 模型的所有阶段,同时扩展了后渗透阶段的相关技术。ATT&CK 框架的核心理念与要素是 TTP(Tactics, Techniques and Procedures;战术, 技术与过程),ATT&CK 框架中所有对攻击行动的分析以及知识库的提炼积累,都是围绕 TTP 而展开的。当前 ATT&CK 的版本号是 V10 版本,具体战术如下:
■ 侦查:收集信息以计划未来的对手行动,即有关目标组织的信息。
■ 资源准备:建立资源以支持作战,即建立指挥和控制基础设施。
■ 初始访问:尝试突破边界进入网络,包含常规攻击和社会工程学攻击。
■ 执行:尝试运行恶意代码,运行远程访问工具。
■ 持久化:通过修改系统配置和策略,试图建立长期据点。
■ 权限提升:通过利用漏洞提升访问权限,试图获得更高级别的权限。
■ 防御规避:使用受信任的进程来隐藏恶意软件,试图规避检测。
■ 凭据窃取:窃取用户名和密码等凭据,例如利用键盘记录。
■ 内部探测:探索内部环境中所有系统,试图弄清楚所在环境。
■ 横向移动:内网横向移动,即使用合法凭证在多个系统中移动。
■ 数据收集:收集目标中有价值的数据,例如访问云存储中的数据。
■ 命令和控制:与受感染的系统通信以控制它们,即模仿正常的网络流量与受害网络通信以进行远程控制。
■ 数据渗漏:窃取数据,例如通过隐蔽隧道转移数据到云账户。
■ 影响:操纵、中断或破坏系统和数据,即使用勒索软件加密数据。
以上是 ATT&CK 框架的十四个战术,跟洛克希德 - 马丁的 Kill Chain 不一样的是这些战术不用遵循任何线性顺序,攻击者可以随意切换战术来实现最终目标。
ATT&CK 在安全运营中的应用
ATT&CK 框架不仅仅是一套不法分子攻击方法论,同时也是一套防御方法论,使得安全运营单位不再局限于合规安全,而是面向实战,借助攻击方法论持续改进安全防御能力。
对于传统网络安全保障体系建设来说,有各式各样的基础安全建设框架模型,例如我国的等级保护 2.0 框架、关键信息基础设施网络安全框架,美国的 NIST CSF 框架等等,但这些传统的基础网络安全框架模型多数是面向风险管理的模型,从网络安全管理或者治理的角度出发的,偏重于静态评估。而且评估的手段主要包括查阅资料、访谈、调研、测评、差距分析等,主要依据专家经验打分,以评价能力有无为关键指标,而无法验证能力的有效性。以等级保护测评为例,运营单位采购了防火墙、入侵检测设备、Web 安全网关、堡垒机、安全管理中心等等,从合规角度满足等级保护的要求,形式上合理,符合等级保护要求,但真的满足安全了么,真的能抵御现实世界的 APT 攻击么?答案是未知的,显然,这并不能反应真实网络空间的安全问题,所以我们需要一种面向实战攻防的技术框架,所以我们要在基础网络安全框架模型之上引入 ATT&CK 模型。
ATT&CK 适用的场景很多,很多安全企业都在投入研究,而 MITRE 官方推荐如下:
对手模拟:通过获取对手的攻击情报并模拟他们的攻击行为来评估自身的安全性。ATT&CK 可用于创建入侵者模拟场景来测试和验证防御。
红队建设:红队的实战参考手册,ATT&CK 可用于创建红队攻击知识框架,并组织攻击行为。
行为分析开发:将可疑活动特征联系在一起以监控对手的活动。ATT&CK 可用于简化并提炼可疑恶意活动行为模式。
威胁情报:ATT&CK 允许防御者评估他们是否能够防御特定的高级持续威胁 (APT) 和构建威胁参与者的常见行为模型。
防御差距评估:确定企业的哪些部分缺乏防御或可见性。ATT&CK 可用于评估现有工具,或在购买之前测试新工具,以确定安全范围和优先投资。
安全运营成熟度评估:与防御差距评估类似,ATT&CK 可用于验证安全运营中心 (SOC) 在检测、分析和响应漏洞方面的能力成熟度。
