科普:ATT&CK是什么
ATT&CK的提出是為了解決業(yè)界對黑客行為、事件的描述不一致、不直觀的問題,換句話說它解決了描述黑客行為 (TTP) 的語言和詞庫,將描述黑客攻擊的語言統(tǒng)一化。
這個模型是MITRE在2013年 主導的 Fort Meade Experiment (FMX) 研究項目中首次被提出,2015 年正式發(fā)布,匯聚來自全球安全社區(qū)貢獻的基于歷史實戰(zhàn)的高級威脅攻擊戰(zhàn)術、技術,形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架。ATT&CK 經過 5 年左右的發(fā)展,到 2018 年開始獲得爆發(fā)式關注。所有國際安全 頭部廠商都迅速的開始在產品中增加針對 ATT&CK 的支持,并且持續(xù)將自己看到的黑客手法和攻擊 行為貢獻 ATT&CK 知識庫。2019年Gartner SIEM 魔力象限考核中將其列為重要參考指標。
ATT&CK的安全能力
從視覺角度來看,MITRE ATT&CK矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術和技術進行排列。攻擊戰(zhàn)術展示在矩陣頂部,每列下面列出了單獨的技術。一個攻擊序列按照戰(zhàn)術,至少包含一個技術,并且通過從左側(初始訪問)向右側(影響)移動,就構建了一個完整的攻擊序列:
ATT&CK 知識庫主要被應用在模擬攻擊、評估和提高防御能 力、威脅情報提取和建模、威脅評估和分析四大方向上。
1、模擬攻擊:基于 ATT&CK 進行紅藍攻防演練,進行紅藍軍建設;
2、檢測分析:基于具體的’’ 技術 ‘‘,有效增強檢測能力,用于甲方安全建設; 3、威脅情報:使用 ATT&CK 框架來識別攻擊組織,用于安全情報建設; 4、評估改進:將解決方案映射到 ATT&CK 威脅模型,發(fā)現并彌補差距,用于評估安全能力。 ATT&CK 框架內整合的知識庫為安全行業(yè)提供了一個標準,對已知的 TTPs 進行收集,促進安全
產品的優(yōu)化改進。本文將從 TTPs 的檢測、分析提出關于 ATT&CK 框架在提升主機 EDR 檢測能力的 探索和思考。
ATT&CK與EDR
ATT&CK 的出現為終端安全產品的 檢測能力提供了一個明確的,可衡量,可落地的標準,改變防守方以往對于入侵檢測常常會陷入不可 知和不確定的狀態(tài)中,有效的彌補自己的短板,通過檢測攻擊的技術,映射到 ATT&CK 的戰(zhàn)術,清晰 的了解攻擊者所處攻擊階段。
另外如果能讓終端安全產品具有針對 TTP 的檢測能力,無疑能增強安全產品的核心檢測能力,提 高攻擊檢測的覆蓋度和自動處置的精確度,避免被攻擊者通過一些簡單的變形繞過檢測,因為針對 TTP 進行檢測,意味著我們是在根據攻擊者的行為進行檢測。如果攻擊者想要躲避檢測就需要改變他 們的行為,這需要研究一些新的技術和攻擊手段,這意味著更高的難度和付出更大的成本。
而所有的攻擊檢測都是基于數據源和策略的特征匹配。我們如果需要檢測某個攻擊技術,首先需 要獲取到這項技術所對應的數據,這些數據就是當攻擊者執(zhí)行某項技術攻擊主機或網絡后,在主機或 網絡設備上留下的蛛絲馬跡,他們所呈現的形式往往是各種日志,可能是系統(tǒng)或應用內置的日志,也 可能是因為安全需要而特意錄制的日志數據。在 MITRE ATT&CK 的每項技術描述中都有對應于該技 術的數據源信息,它告訴我們可以從哪些類型的數據中找到攻擊技術實施后所留下的痕跡。
ATT&CK與SOAR
就安全運營本身而言,存在諸多問題,威脅信息和事件數量多、安全技術整合度低,人力不足經驗難以固化,使得安全運營面臨嚴峻挑戰(zhàn),其中攻防不對稱是驅動安全運營不斷優(yōu)化的一大動力。在日常的運營工作中,威脅的快速發(fā)現和響應閉環(huán)是非常重要的兩點。
- 加速威脅發(fā)現
ATT&CK Framework 是在殺傷鏈的基礎上,構建了一套更為細化、更貼合實戰(zhàn)的知識模型和框架。它為威脅發(fā)生戰(zhàn)術和技術做出了劃分,為網絡安全提供了威脅分析基準模型。其中,12 種戰(zhàn)術包括:訪 問初始化、執(zhí)行、持久化、提權、防御規(guī)避、訪問憑證、發(fā)現、橫向移動、收集、命令和控制、數據獲 取、危害。每種戰(zhàn)術之下,包括多種實現的攻擊技術。
ATT&CK提供了豐富的主機數據。豐富的數據源是及時、準確發(fā)現威脅的基礎,僅僅依靠網絡側的流量很難發(fā)現主機內的威脅,并且隨著網絡流量加密的趨勢,基于流量的檢測會更加困難。ATT&CK框架可以彌補這方面數據的缺失。
ATT&CK提供了多種戰(zhàn)術,也為威脅分析提供了檢測標準。將安全產品檢測能力映射到ATT&CK檢測框架中,根據其覆蓋度度量的安全產品的檢測能力;同時發(fā)現哪些檢測點未覆蓋到,發(fā)現不足,然后進行主動完善。通過覆蓋更多的攻擊類型,降低漏報,減少人工取證的耗時。
ATT&CK框架能夠實現關聯分析。依靠單點檢測不足以發(fā)現準確識別威脅事件,告警中混雜的誤報等都有可能影響安全人員的判斷。攻擊者在發(fā)起攻擊過程中,結合安全事件的命中情況,從 ATT&CK 矩陣可勾勒出攻擊者所采用攻 擊技術之間的關系,清晰的展現攻擊者是如何一步一步入侵成功的。通過不斷地攻擊溯源分析,抓取 攻擊套路,形成給為精確地檢測規(guī)則。
- 威脅快速響應與閉環(huán)
ATT&CK 模型最直觀的呈現是一個戰(zhàn)術-技術矩陣,其模型的抽象層次被定位在比較中間的階段。一 些處于高層次的威脅分析模型,比如 Lockheed Martin Cyber Kill Chain 模型,有助于客戶理解高維度 攻擊過程和攻擊者目標,但是對于表達攻擊者攻擊過程中的詳情存在明顯不足,如攻擊者多個攻擊動 作間的關聯、攻擊動作序列如何與攻擊者戰(zhàn)術目標聯系起來、這些攻擊動作涉及哪些數據源、防御措 施、配置等。
處于中間層次的 ATT&CK 模型對一些高級別的概念(如戰(zhàn)術)進行更具有描述性的分類(技術)。 給出每種技術,涉及的數據源、進一步的細分以及具體實現方式等。這意味著如果攻擊者運用這項技 術實施攻擊,就會在數據源(如進程信息、進程命令行參數)中留下痕跡。如果對這些信息進行實時 監(jiān)控或者把這些信息記錄下來,再配以相應的分析匹配機制就可以實現對該技術的檢測或防護。這些 更具描述性的攻擊技術,建立了底層的數據源、漏洞等信息與上層戰(zhàn)術的橋梁,將攻擊者行為更有效 的映射到防御。顯示攻擊者正在進行怎樣的攻擊,使得防御者更具有針對性的制定處置策略。
結尾
從安全產品的角度思考,ATT&CK不僅僅是目前炙手可熱的新新概念,框架為我們提供了一個標準化的知識庫,在產品設計中也為提供了新思路。
