科普:ATT&CK是什么
ATT&CK的提出是為了解決業界對黑客行為、事件的描述不一致、不直觀的問題,換句話說它解決了描述黑客行為 (TTP) 的語言和詞庫,將描述黑客攻擊的語言統一化,
這個模型是MITRE在2013年 主導的 Fort Meade Experiment (FMX) 研究專案中首次被提出,2015 年正式發布,匯聚來自全球安全社區貢獻的基于歷史實戰的高級威脅攻擊戰術、技術,形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架,ATT&CK 經過 5 年左右的發展,到 2018 年開始獲得爆發式關注,所有國際安全 頭部廠商都迅速的開始在產品中增加針對 ATT&CK 的支持,并且持續將自己看到的黑客手法和攻擊 行為貢獻 ATT&CK 知識庫,2019年Gartner SIEM 魔力象限考核中將其列為重要參考指標,
ATT&CK的安全能力
從視覺角度來看,MITRE ATT&CK矩陣按照一種易于理解的格式將所有已知的戰術和技術進行排列,攻擊戰術展示在矩陣頂部,每列下面列出了單獨的技術,一個攻擊序列按照戰術,至少包含一個技術,并且通過從左側(初始訪問)向右側(影響)移動,就構建了一個完整的攻擊序列:
ATT&CK 知識庫主要被應用在模擬攻擊、評估和提高防御能 力、威脅情報提取和建模、威脅評估和分析四大方向上,
1、模擬攻擊:基于 ATT&CK 進行紅藍攻防演練,進行紅藍軍建設;
2、檢測分析:基于具體的’’ 技術 ‘‘,有效增強檢測能力,用于甲方安全建設; 3、威脅情報:使用 ATT&CK 框架來識別攻擊組織,用于安全情報建設; 4、評估改進:將解決方案映射到 ATT&CK 威脅模型,發現并彌補差距,用于評估安全能力, ATT&CK 框架內整合的知識庫為安全行業提供了一個標準,對已知的 TTPs 進行收集,促進安全
產品的優化改進,本文將從 TTPs 的檢測、分析提出關于 ATT&CK 框架在提升主機 EDR 檢測能力的 探索和思考,
ATT&CK與EDR
ATT&CK 的出現為終端安全產品的 檢測能力提供了一個明確的,可衡量,可落地的標準,改變防守方以往對于入侵檢測常常會陷入不可 知和不確定的狀態中,有效的彌補自己的短板,通過檢測攻擊的技術,映射到 ATT&CK 的戰術,清晰 的了解攻擊者所處攻擊階段,
另外如果能讓終端安全產品具有針對 TTP 的檢測能力,無疑能增強安全產品的核心檢測能力,提 高攻擊檢測的覆寫度和自動處置的精確度,避免被攻擊者通過一些簡單的變形繞過檢測,因為針對 TTP 進行檢測,意味著我們是在根據攻擊者的行為進行檢測,如果攻擊者想要躲避檢測就需要改變他 們的行為,這需要研究一些新的技術和攻擊手段,這意味著更高的難度和付出更大的成本,
而所有的攻擊檢測都是基于資料源和策略的特征匹配,我們如果需要檢測某個攻擊技術,首先需 要獲取到這項技術所對應的資料,這些資料就是當攻擊者執行某項技術攻擊主機或網路后,在主機或 網路設備上留下的蛛絲馬跡,他們所呈現的形式往往是各種日志,可能是系統或應用內置的日志,也 可能是因為安全需要而特意錄制的日志資料,在 MITRE ATT&CK 的每項技術描述中都有對應于該技 術的資料源資訊,它告訴我們可以從哪些型別的資料中找到攻擊技術實施后所留下的痕跡,
ATT&CK與SOAR
就安全運營本身而言,存在諸多問題,威脅資訊和事件數量多、安全技術整合度低,人力不足經驗難以固化,使得安全運營面臨嚴峻挑戰,其中攻防不對稱是驅動安全運營不斷優化的一大動力,在日常的運營作業中,威脅的快速發現和回應倍訓是非常重要的兩點,
- 加速威脅發現
ATT&CK Framework 是在殺傷鏈的基礎上,構建了一套更為細化、更貼合實戰的知識模型和框架,它為威脅發生戰術和技術做出了劃分,為網路安全提供了威脅分析基準模型,其中,12 種戰術包括:訪 問初始化、執行、持久化、提權、防御規避、訪問憑證、發現、橫向移動、收集、命令和控制、資料獲 取、危害,每種戰術之下,包括多種實作的攻擊技術,
ATT&CK提供了豐富的主機資料,豐富的資料源是及時、準確發現威脅的基礎,僅僅依靠網路側的流量很難發現主機內的威脅,并且隨著網路流量加密的趨勢,基于流量的檢測會更加困難,ATT&CK框架可以彌補這方面資料的缺失,
ATT&CK提供了多種戰術,也為威脅分析提供了檢測標準,將安全產品檢測能力映射到ATT&CK檢測框架中,根據其覆寫度度量的安全產品的檢測能力;同時發現哪些檢測點未覆寫到,發現不足,然后進行主動完善,通過覆寫更多的攻擊型別,降低漏報,減少人工取證的耗時,
ATT&CK框架能夠實作關聯分析,依靠單點檢測不足以發現準確識別威脅事件,告警中混雜的誤報等都有可能影響安全人員的判斷,攻擊者在發起攻擊程序中,結合安全事件的命中情況,從 ATT&CK 矩陣可勾勒出攻擊者所采用攻 擊技術之間的關系,清晰的展現攻擊者是如何一步一步入侵成功的,通過不斷地攻擊溯源分析,抓取 攻擊套路,形成給為精確地檢測規則,
- 威脅快速回應與倍訓
ATT&CK 模型最直觀的呈現是一個戰術-技術矩陣,其模型的抽象層次被定位在比較中間的階段,一 些處于高層次的威脅分析模型,比如 Lockheed Martin Cyber Kill Chain 模型,有助于客戶理解高維度 攻擊程序和攻擊者目標,但是對于表達攻擊者攻擊程序中的詳情存在明顯不足,如攻擊者多個攻擊動 作間的關聯、攻擊動作序列如何與攻擊者戰術目標聯系起來、這些攻擊動作涉及哪些資料源、防御措 施、配置等,
處于中間層次的 ATT&CK 模型對一些高級別的概念(如戰術)進行更具有描述性的分類(技術), 給出每種技術,涉及的資料源、進一步的細分以及具體實作方式等,這意味著如果攻擊者運用這項技 術實施攻擊,就會在資料源(如行程資訊、行程命令列引數)中留下痕跡,如果對這些資訊進行實時 監控或者把這些資訊記錄下來,再配以相應的分析匹配機制就可以實作對該技術的檢測或防護,這些 更具描述性的攻擊技術,建立了底層的資料源、漏洞等資訊與上層戰術的橋梁,將攻擊者行為更有效 的映射到防御,顯示攻擊者正在進行怎樣的攻擊,使得防御者更具有針對性的制定處置策略,
結尾
從安全產品的角度思考,ATT&CK不僅僅是目前炙手可熱的新新概念,框架為我們提供了一個標準化的知識庫,在產品設計中也為提供了新思路,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/33722.html
標籤:其他
上一篇:淺談攻擊欺騙技術在蜜罐產品的應用