前沿清静论丨ATT&CK框架在清静运营中的应用

宣布时间 2021-11-30

威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决议依据 。——Gartner在2014年揭晓的《清静威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的界说 。


凭证David J. Bianco在《The Pyramid of Pain》一文中提出的威胁情报相关指标的金字塔模子,可以凭证数据自己将威胁情报分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures) 。左侧是能够使用的情报,右侧是这些情报的价值和掌握后给入侵者造成的痛苦水平 。


ATT&CK框架用于威胁情报的实践.png


威胁情报中价值最低的是Hash值、IP地址和域名(也就是常说的特征库),其次是网络/主机特征、入侵工具特征,对入侵者影响最大的是TTPs(战术、手艺和行为模式)类型的威胁情报 。而现在清静运营中大宗使用的仍然是基于HASH(特征库)、IP(护网行动中蓝队的通例的“封IP”行为)、域名、URL为基础依据的威胁情报,这些情报在应对自动海量无自主意识的病毒较为有用,而在应对高级可一连威胁入侵方面的较量乏力,容易被入侵者绕过 。而ATT&CK框架的焦点正是TTP,用标准语言形貌敌手入侵行为,自然的为威胁情报提供了高阶标签,在清静运营中,防御者可以凭证已知入侵者手艺和战术来跟踪入侵主体,预警甚至预判可能的入侵行为和模式 。


实例:某经典的鱼叉式垂纶场景的威胁情报构建


入侵团队使用微软Office宏文件的VBSript构建攻击代码,然后通过电子邮件举行鱼叉垂纶攻击,受害者执行代码后,主机被入侵控制,并用作跳板机进一步入侵内网 。高阶威胁情报的焦点是识别并标识攻击者的技战法(TTP),因此接纳ATT&CK框架来识别和构建入侵的TTP行为链条 。如下,排列收支侵者使用的战术、手艺以及对应的标签、缓解步伐和检测手段 。


1、信息网络:入侵者网络目的相关信息


2、初始会见:入侵者发送鱼叉式邮件诱导执行


3、代码执行:受害主机启用Office宏执行恶意代码


4、长期化:建设服务历程、添加妄想使命


5、防御规避(伪装):RTLO字符从右往左笼罩伪装正常文件名


6、下令与控制:建设隐藏隧道、搭建内网代理


7、数据渗漏:建设C2隧道控制与数据窃取


8、影响:存储数据操作,改动内容


最终形成入侵链条如下,注重ATT&CK框架中的战术是非线性的 。由上例可见,凭证ATT&CK框架模子举行威胁建模,极大的利便了构建清静运营中高阶威胁情报知识库,完整的梳理出威胁行为的TTP、检测数据源以及防御步伐,简化了溯源的流程和威胁情报的建设历程,为清静运营中构建自动防御系统提供了有力的支持 。


ATT&CK用于清静运营能力成熟评估实践


在现实清静运营中,许多清静主管都保存难以回覆的量化逆境,例如:目今的清静防御系统有用性怎样?清静投资和建设的优先级怎样?实战演习是否推动了能力的提升?


同样关于清静运维职员,也保存难以回覆的问题:


是否能够对抗目今盛行的APT攻击行为?海量的告警数据应该怎样剖析确定纪律?怎样验证运维团队的手艺事情能力的有用性?


实践是磨练真理的唯一标准,所有清静问题的有用性应该用实践的方法来磨练 。因此ATT&CK框架正是磨练防御能力的有用手段 。


(一)入侵者模拟妄想


基于ATT&CK的入侵者模拟妄想,可以接纳两种方法:


1、实战入侵,凭证ATT&CK的框架标准,组织红队妄想开展一系列基于威胁的清静测试,模拟真实入侵者的战术手艺和历程,用实战磨练防御系统的真实防御能力 。


2、沙盘推演,让企业的红蓝团队选择差别的角色,讨论红队怎样使用差别办法来执行攻击行为的,讨论威胁情报剖析职员是怎样溯源剖析,清静运营职员是怎样对抗处置惩罚的,将ATT&CK作为通用语言举行相同和推演 。


这和一样平常的渗透测试有什么差别呢?


渗透测试主要是简单团队的入侵测试,而基于ATT&CK的入侵者模拟妄想主要在于可以模拟多个APT组织的入侵行为,而非简单组织的手段和形式,越发周全和有用 。


并且,MITRE也建设有入侵者模拟妄想,目的是让红队能够越发准确高效地模拟入侵行为,从而使得防守方能够越发有用地测试自己的网络防御能力 。例如基于APT3建设的入侵者模拟计划,计划中完整的复现了APT3入侵的所有流程 。从而使得清静运营方能够越发有用地测试自己的包管系统应对种种APT组织入侵时的防御能力 。


(二)清静运营能力成熟度评估


ATT&CK框架同样可应用于清静运营中心的防御能力成熟度评估,评估组织现有的防御系统,是否能够笼罩到所有已知入侵手段,辅助发明防御能力短板,增进完善防御系统框架 。详细来说可以实现如下:


1、评估网络清静防御框架能力,典范场景是清静能力笼罩度评估,接纳色块标价法,可以一目了然清静的差别在那里,还需要刷新哪些?


2、当清静能力已经完成了全笼罩,接下来是需要评估清静能力的成熟度,将成熟度凭证差别的水平打分 。例如多款产品均笼罩到了该能力,批注防御成熟度较高,可举行深色赋值,相反则举行浅色赋值,最终形成可视化水平较高的清静能力成熟度模子 。


3、主流入侵手艺热度评估 。关于组织来说,相识入侵者经常使用入侵手艺也很是主要 。因此可以凭证ATT&CK知识库中保存的122个APT组织的TTP(战术、手艺、历程)建设入侵手艺热力争 。


此时我们可以想象每一个APT组织使用的TTP都是在一块玻璃上涂色,当所有APT组织完成涂色后,把这些玻璃叠加起来就形成了我们的威胁组织数据的热力争,热力争中的颜色越深,则体现入侵组织使用该手艺的频率就越高 。综上,将ATT&CK框架应用于清静运营中心,能够真实反应清静运营中心在面临APT组织威胁时的清静防御能力,同时可以验证清静运营中心在检测、剖析和响应方面的能力成熟度,并借助于威胁情报、溯源反制构建清静运营中心的自动防御系统 。


2017年,尊龙凯官网入口集团便在行业率先开创性地提出“自力第三方清静运营”看法,为都会政府机构、企业及智慧都会建设,提供托管式、外包式的7x24小时专业清静运营服务,为都会打造专职的网络空间清静应急响应中心,提高针对政府机构、企业及网络空间危害事务的发明与响应能力、增强对潜在入侵的监测和视察能力,由区域性第三方清静运营中心为都会提供专业的托管式清静服务,是有用提升都会网络清静能力的方法,是解决清静能力交付“最后一公里”的最佳选择,近年来逐渐成为海内外网络清静工业生长的主要偏向 。


尊龙凯官网入口集团清静运营中心在实践中引入ATT&CK模子,一直汇总和输出差别的清静能力,并在落地的历程中深度团结人工智能手艺和清静剖析手艺,一直提升清静运营的管理水平,通过行业标准来规范化输出清静运营中心运营剧本、ATT&CK入侵模子和高阶威胁情报,精准定位清静事务,提升清静事务响应和处置惩罚速率 。