青藤云安全:一文看懂ATT&CK框架以及使用場景實(shí)例

Google趨勢顯示,這個帶著奇怪的“&”符號的詞語——ATT&CK非常受歡迎。但是,MITRE ATT&CK?的內(nèi)涵是什么呢?為什么網(wǎng)絡(luò)安全專家應(yīng)該關(guān)注ATT&CK呢?

過去12個月中,對MITRE ATT&CK的搜索熱度顯著增長

    一、ATT&CK框架背景介紹

    MITRE是美國政府資助的一家研究機(jī)構(gòu),該公司于1958年從MIT分離出來,并參與了許多商業(yè)和最高機(jī)密項(xiàng)目。其中包括開發(fā)FAA空中交通管制系統(tǒng)和AWACS機(jī)載雷達(dá)系統(tǒng)。MITRE在美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)的資助下從事了大量的網(wǎng)絡(luò)安全實(shí)踐。

    MITRE在2013年推出了ATT&CK模型,它是根據(jù)真實(shí)的觀察數(shù)據(jù)來描述和分類對抗行為。ATT&CK將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表,將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù),并通過幾個矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式(STIX)、指標(biāo)信息的可信自動化交換(TAXII)來表示。由于此列表相當(dāng)全面地呈現(xiàn)了攻擊者在攻擊網(wǎng)絡(luò)時所采用的行為,因此對于各種進(jìn)攻性和防御性度量、表示和其他機(jī)制都非常有用。

    MITRE ATT&CK的目標(biāo)是創(chuàng)建網(wǎng)絡(luò)攻擊中使用的已知對抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。在過去的一年中,MITRE  ATT&CK框架在安全行業(yè)中廣受歡迎。簡單來說,ATT&CK是MITRE提供的“對抗戰(zhàn)術(shù)、技術(shù)和常識”框架,是由攻擊者在攻擊企業(yè)時會利用的12種戰(zhàn)術(shù)和244種企業(yè)技術(shù)組成的精選知識庫。

    ATT&CK會詳細(xì)介紹每一種技術(shù)的利用方式,以及為什么了解這項(xiàng)技術(shù)對于防御者來說很重要。這極大地幫助了安全人員更快速地了解不熟悉的技術(shù)。例如,對于甲方企業(yè)而言,平臺和數(shù)據(jù)源非常重要,企業(yè)安全人員需要了解應(yīng)該監(jiān)控哪些系統(tǒng)以及需要從中收集哪些內(nèi)容,才能減輕或檢測由于入侵技術(shù)濫用造成的影響。這時候,ATT&CK場景示例就派上用場了。針對每種技術(shù)都有具體場景示例,說明攻擊者是如何通過某一惡意軟件或行動方案來利用該技術(shù)的。ATT&CK每個示例都采用Wikipedia的風(fēng)格,引用了許多博客和安全研究團(tuán)隊(duì)發(fā)表的文章。因此如果ATT&CK中沒有直接提供內(nèi)容,通??梢栽谶@些鏈接的文章中找到。

    因此,現(xiàn)在很多企業(yè)都開始研究ATT&CK,在這一過程中通常會看到企業(yè)組織采用兩種方法。首先是盤點(diǎn)其安全工具,讓安全廠商提供一份對照ATT&CK覆蓋范圍的映射圖。盡管這是最簡單、最快速的方法,但供應(yīng)商提供的覆蓋范圍可能與企業(yè)實(shí)際部署工具的方式并不匹配。此外,也有些企業(yè)組織在按照戰(zhàn)術(shù)逐項(xiàng)進(jìn)行評估企業(yè)安全能力。以持久化戰(zhàn)術(shù)為例,這些技術(shù)可能非常復(fù)雜,而且,僅僅緩解其中一部分技術(shù),并不意味著攻擊者無法以其它方式濫用這項(xiàng)技術(shù)。

    二、MITRE ATT&CK與Kill Chain的對比

    總體來說,ATT&CK模型是在洛克希德-馬丁公司提出的KillChain模型的基礎(chǔ)上,構(gòu)建了一套更細(xì)粒度、更易共享的知識模型和框架。目前ATT&CK模型分為三部分,分別是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK覆蓋Kill Chain模型的前兩個階段,包含了與攻擊者在嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。ATT&CK for Enterprise覆蓋Kill Chain的后五個階段,ATT&CK for Enterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術(shù)和戰(zhàn)術(shù)部分。ATT&CK for Mobile包含適用于移動設(shè)備的戰(zhàn)術(shù)和技術(shù)。

    但是,ATT&CK的戰(zhàn)術(shù)跟洛克希德·馬丁的網(wǎng)絡(luò)殺傷鏈不一樣,并沒有遵循任何線性順序。相反,攻擊者可以隨意切換戰(zhàn)術(shù)來實(shí)現(xiàn)最終目標(biāo)。沒有一種戰(zhàn)術(shù)比其它戰(zhàn)術(shù)更重要。企業(yè)組織必須對當(dāng)前覆蓋范圍進(jìn)行分析,評估組織面臨的風(fēng)險,并采用有意義措施來彌合差距。

    除了在Kill Chain戰(zhàn)術(shù)上更加細(xì)化之外,ATT&CK還描述了可以在每個階段使用的技術(shù),而Kill Chain則沒有這些內(nèi)容。

    三、ATT&CK框架的使用

    從視覺角度來看,MITRE ATT&CK矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術(shù)和技術(shù)進(jìn)行排列。攻擊戰(zhàn)術(shù)展示在矩陣頂部,每列下面列出了單獨(dú)的技術(shù)。一個攻擊序列按照戰(zhàn)術(shù),至少包含一個技術(shù),并且通過從左側(cè)(初始訪問)向右側(cè)(影響)移動,就構(gòu)建了一個完整的攻擊序列。一種戰(zhàn)術(shù)可能使用多種技術(shù)。例如,攻擊者可能同時嘗試魚叉式網(wǎng)絡(luò)釣魚攻擊中的釣魚附件和釣魚鏈接。

ATT&CK矩陣頂部為攻擊戰(zhàn)術(shù),每列包含多項(xiàng)技術(shù)

    ATT&CK戰(zhàn)術(shù)按照邏輯分布在多個矩陣中,并以“初始訪問”戰(zhàn)術(shù)開始。例如:發(fā)送包含惡意附件的魚叉式網(wǎng)絡(luò)釣魚郵件就是該戰(zhàn)術(shù)下的一項(xiàng)技術(shù)。ATT&CK中的每種技術(shù)都有唯一的ID號碼,例如,此處所使用的技術(shù)T1193。矩陣中的下一個戰(zhàn)術(shù)是“執(zhí)行”。在該戰(zhàn)術(shù)下,有“用戶執(zhí)行/ T1204”技術(shù)。該技術(shù)描述了在用戶執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣中后面的階段中,您將遇到“提升特權(quán)”、“橫向移動”和“滲透”之類的戰(zhàn)術(shù)。

    攻擊者無需使用矩陣頂部所示的所有12項(xiàng)戰(zhàn)術(shù)。相反,攻擊者會使用最少數(shù)量的戰(zhàn)術(shù)來實(shí)現(xiàn)其目標(biāo),因?yàn)檫@可以提高效率并且降低被發(fā)現(xiàn)的幾率。例如,對手使用電子郵件中傳遞的魚叉式網(wǎng)絡(luò)釣魚鏈接對CEO行政助理的憑據(jù)進(jìn)行“初始訪問”。獲得管理員的憑據(jù)后,攻擊者將在“發(fā)現(xiàn)”階段尋找遠(yuǎn)程系統(tǒng)。接下來可能是在Dropbox文件夾中尋找敏感數(shù)據(jù),管理員對此也有訪問權(quán)限,因此無需提升權(quán)限。然后攻擊者通過將文件從Dropbox下載到攻擊者的計算機(jī)來完成收集。

攻擊示例(攻擊中使用了不同戰(zhàn)術(shù)中的技術(shù))

    ATT&CK 導(dǎo)航工具是一個很有用的工具,可用于映射針對ATT&CK技術(shù)的控制措施??梢蕴砑硬煌膶?,來顯示特定的檢測控制措施、預(yù)防控制措施甚至觀察到的行為。導(dǎo)航工具可以在線使用,快速搭建模型或場景,也可以下載下來,進(jìn)行內(nèi)部設(shè)置,作為一個持久化的解決方案。

    下文,筆者將針對ATT&CK框架中的12種戰(zhàn)術(shù)的中心思想以及如何緩解和檢測戰(zhàn)術(shù)中的某些技術(shù)進(jìn)行一些解讀。

    01、初始訪問

    盡管ATT&CK并不是按照任何線性順序排列的,但初始訪問是攻擊者在企業(yè)環(huán)境中的立足點(diǎn)。對于企業(yè)來說,該戰(zhàn)術(shù)是從PRE-ATT&CK到ATT&CK的理想過渡點(diǎn)。攻擊者會使用不同技術(shù)來實(shí)現(xiàn)初始訪問技術(shù)。

    例如,假設(shè)攻擊者使用Spearphishing(魚叉式)附件。附件本身將利用某種類型的漏洞來實(shí)現(xiàn)該級別的訪問,例如PowerShell或其它腳本技術(shù)。如果執(zhí)行成功,可以讓攻擊者采用其它策略和技術(shù)來實(shí)現(xiàn)其最終目標(biāo)。幸運(yùn)的是,由于這些技術(shù)眾所周知,因此有許多技術(shù)和方法可用于減輕和檢測每種技術(shù)的濫用情況。

    此外,安全人員也可以將ATT&CK和CIS控制措施相結(jié)合,這將發(fā)揮更大作用。對于初始訪問這種戰(zhàn)術(shù),我認(rèn)為其中三項(xiàng)CIS控制措施能發(fā)揮極大作用。

    (1)控制措施4:控制管理員權(quán)限的使用。如果攻擊者可以成功使用有效帳戶或讓管理員打開spearphishing附件,后續(xù)攻擊將變得更加輕松。

    (2)控制措施7:電子郵件和Web瀏覽器保護(hù)。由于這些技術(shù)中的許多技術(shù)都涉及電子郵件和、Web瀏覽器的使用,因此,控制措施7中的子控制措施將非常有用。

    (3)控制措施16:帳戶監(jiān)視和控制。充分了解帳戶應(yīng)執(zhí)行的操作并鎖定權(quán)限,不僅有助于限制數(shù)據(jù)泄露造成的損害,還可以發(fā)揮檢測網(wǎng)絡(luò)中有效帳戶濫用的功能。

    初始訪問是攻擊者將在企業(yè)環(huán)境中的落腳點(diǎn)。想要盡早終止攻擊,那么“初始訪問”將是一個很合適的起點(diǎn)。此外,如果企業(yè)已經(jīng)采用了CIS控制措施并且正在開始采用ATT&CK的方法,這將會很有用。

    02、執(zhí)行

    在對手在進(jìn)攻中所采取的所有戰(zhàn)術(shù)中,應(yīng)用最廣泛的戰(zhàn)術(shù)莫過于“執(zhí)行”。攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時,他們都會選擇“執(zhí)行”。由于惡意軟件必須運(yùn)行,因此防御者就有機(jī)會阻止或檢測到它。但是,并非所有惡意軟件都是可以用殺毒軟件輕松查找其惡意可執(zhí)行文件。

    此外,對于命令行界面或PowerShell對于攻擊者而言非常有用。許多無文件惡意軟件都專門利用了其中一種技術(shù)或綜合使用這兩種技術(shù)。這些類型的技術(shù)對攻擊者的威力在于,終端上已經(jīng)安裝了上述技術(shù),而且很少會刪除。系統(tǒng)管理員和高級用戶每天都依賴其中一些內(nèi)置工具。ATT&CK中的緩解控制措施甚至聲明了,這些控制措施也無法刪除上述技術(shù),只能對其進(jìn)行審計。而攻擊者所依賴的就是,終端上安裝采用了這些技術(shù),因此要獲得對攻擊者的優(yōu)勢,只能對這些技術(shù)進(jìn)行審計,然后將它們相關(guān)數(shù)據(jù)收集到中央位置進(jìn)行審核。

    最后,應(yīng)用白名單是緩解惡意軟件攻擊時最有用的控制措施。但和任何技術(shù)一樣,這不是解決所有問題的靈丹妙藥。但是,應(yīng)用白名單會降低攻擊者的速度,并且還可能迫使他們逃離舒適區(qū),嘗試其它策略和技術(shù)。當(dāng)攻擊者被迫離開自己的舒適區(qū)之外時,他們就有可能犯錯。

    如果企業(yè)當(dāng)前正在應(yīng)用CIS關(guān)鍵安全控制措施,該戰(zhàn)術(shù)與控制措施2——已授權(quán)和未授權(quán)軟件清單非常匹配。從緩解的角度來看,企業(yè)無法防護(hù)自己未知的東西,因此,第一步是要了解自己的財產(chǎn)。要正確利用ATT&CK,企業(yè)不僅需要深入了解已安裝的應(yīng)用程序。還要清楚內(nèi)置工具或附加組件會給企業(yè)組織帶來的額外風(fēng)險。在這個環(huán)節(jié)中,可以采用一些安全廠商的資產(chǎn)清點(diǎn)工具,例如青藤等主機(jī)安全廠商都能提供詳細(xì)的軟件資產(chǎn)清單。

    03、持久化

    除了勒索軟件以外,持久化是最受攻擊者追捧的技術(shù)之一。攻擊者希望盡可能減少工作量,包括減少訪問攻擊對象的時間。即便運(yùn)維人員采取重啟、更改憑據(jù)等措施后,持久化仍然可以讓計算機(jī)再次感染病毒或維護(hù)其現(xiàn)有連接。例如注冊表Run鍵、啟動文件夾是最常用的技術(shù),這些注冊表鍵或文件系統(tǒng)位置在每次啟動計算機(jī)時都會執(zhí)行。因此攻擊者在啟動諸如Web瀏覽器或Microsoft Office等常用應(yīng)用時開始獲得持久化。

    此外,還有使用“鏡像劫持(IFEO)注入”等技術(shù)來修改文件的打開方式,在注冊表中創(chuàng)建一個輔助功能的注冊表項(xiàng),并根據(jù)鏡像劫持的原理添加鍵值,實(shí)現(xiàn)系統(tǒng)在未登錄狀態(tài)下,通過快捷鍵運(yùn)行自己的程序。

    在所有ATT&CK戰(zhàn)術(shù)中,筆者認(rèn)為持久化是最應(yīng)該關(guān)注的戰(zhàn)術(shù)之一。如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除,很有可能它還會重新出現(xiàn)。這可能是因?yàn)橛新┒催€未修補(bǔ),但也可能是因?yàn)楣粽咭呀?jīng)在此或網(wǎng)絡(luò)上的其它地方建立了持久化。與使用其它一些戰(zhàn)術(shù)和技術(shù)相比,使用持久化攻擊應(yīng)該相對容易一些。

    04、提升權(quán)限

    所有攻擊者都會對提權(quán)愛不釋手,利用系統(tǒng)漏洞達(dá)到root級訪問權(quán)是攻擊者核心目標(biāo)之一。其中一些技術(shù)需要系統(tǒng)級的調(diào)用才能正確使用,Hooking和進(jìn)程注入就是兩個示例。該戰(zhàn)術(shù)中的許多技術(shù)都是針對被攻擊的底層操作系統(tǒng)而設(shè)計,要緩解可能很困難。

    ATT&CK提出“應(yīng)重點(diǎn)防止對抗工具在活動鏈中的早期階段運(yùn)行,并重點(diǎn)識別隨后的惡意行為?!边@意味著需要利用縱深防御來防止感染病毒,例如終端的外圍防御或應(yīng)用白名單。對于超出ATT&CK建議范圍之外的權(quán)限升級,一種良好的防止方式是在終端上使用加固基線。例如CIS基線提供了詳細(xì)的分步指南,指導(dǎo)企業(yè)如何加固系統(tǒng),抵御攻擊。

    應(yīng)對此類攻擊戰(zhàn)術(shù)另一個辦法是審計日志記錄。當(dāng)攻擊者采用其中某些技術(shù)時,它們將留下蛛絲馬跡,暴露他們的目的。尤其是針對主機(jī)側(cè)的日志,如果能夠記錄服務(wù)器的所有運(yùn)維命令,進(jìn)行存證以及實(shí)時審計。例如,實(shí)時審計運(yùn)維人員在服務(wù)器上操作步驟,一旦發(fā)現(xiàn)不合規(guī)行為可以進(jìn)行實(shí)時告警,也可以作為事后審計存證。也可以將數(shù)據(jù)信息對接給SOC、態(tài)勢感知等產(chǎn)品,也可以對接給編排系統(tǒng)。

    05、防御繞過

    到目前為止,該戰(zhàn)術(shù)所擁有的技術(shù)是MITRE ATT&CK框架所述戰(zhàn)術(shù)中最多的。該戰(zhàn)術(shù)的一個有趣之處是某些惡意軟件,例如勒索軟件,對防御繞過毫不在乎。他們的唯一目標(biāo)是在設(shè)備上執(zhí)行一次,然后盡快被發(fā)現(xiàn)。

    一些技術(shù)可以騙過防病毒(AV)產(chǎn)品,讓這些防病毒產(chǎn)品根本無法對其進(jìn)行檢查,或者繞過應(yīng)用白名單技術(shù)。例如,禁用安全工具、文件刪除和修改注冊表都是可以利用的技術(shù)。當(dāng)然防御者可以通過監(jiān)視終端上的更改并收集關(guān)鍵系統(tǒng)的日志將會讓入侵無處遁形。

    06、憑據(jù)訪問

    毫無疑問,攻擊者最想要的憑據(jù),尤其是管理憑據(jù)。如果攻擊者可以登錄,為什么要用0Day或冒險采用漏洞入侵呢?這就猶如小偷進(jìn)入房子,如果能夠找到鑰匙開門,沒人會愿意砸破窗戶方式進(jìn)入。

    任何攻擊者進(jìn)入企業(yè)都希望保持一定程度的隱身。他們將希望竊取盡可能多的憑據(jù)。他們當(dāng)然可以暴力破解,但這種攻擊方式噪聲太大了。還有許多竊取哈希密碼及哈希傳遞或離線破解哈希密碼的示例。最后,攻擊者最喜歡方式是竊取明文密碼。明文密碼可能存儲在明文文件、數(shù)據(jù)庫甚至注冊表中。攻擊者入侵一個系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見。

    應(yīng)對憑據(jù)訪問最簡單辦法就是采用復(fù)雜密碼。建議使用大小寫、數(shù)字和特殊字符組合,目標(biāo)是讓攻擊者難以破解密碼。最后一步就是監(jiān)視有效帳戶的使用情況。在很多情況下,是通過有效賬戶發(fā)生的數(shù)據(jù)泄露。

    當(dāng)然最穩(wěn)妥辦法辦法就是啟用多因素驗(yàn)證。即使存在針對雙重驗(yàn)證的攻擊,有雙重驗(yàn)證(2FA)總比沒有好。通過啟用多因素驗(yàn)證,可以確保破解密碼的攻擊者在訪問環(huán)境中的關(guān)鍵數(shù)據(jù)時,仍會遇到另一個障礙。

    07、發(fā)現(xiàn)

    “發(fā)現(xiàn)”戰(zhàn)術(shù)是一種難以防御的策略。它與洛克希德·馬丁網(wǎng)絡(luò)Kill Chain的偵察階段有很多相似之處。組織機(jī)構(gòu)要正常運(yùn)營業(yè)務(wù),肯定會暴露某些特定方面的內(nèi)容。

    最常用的是應(yīng)用白名單,可以解決大多數(shù)惡意軟件。此外,欺騙防御也是一個很好方法。放置一些虛假信息讓攻擊者發(fā)現(xiàn),進(jìn)而檢測到對手的活動。通過監(jiān)視,可以跟蹤用戶是否正在訪問不應(yīng)訪問的文檔。

    由于用戶通常在日常工作中執(zhí)行各種技術(shù)中所述的許多操作,因此,從各種干擾中篩選出惡意活動可能非常困難。理解哪些操作屬于正?,F(xiàn)象,并為預(yù)期行為設(shè)定基準(zhǔn)時,會在嘗試使用這一戰(zhàn)術(shù)時有所幫助。

    08、橫向移動

    攻擊者在利用單個系統(tǒng)漏洞后,通常會嘗試在網(wǎng)絡(luò)內(nèi)進(jìn)行橫向移動。甚至通常一次只針對單個系統(tǒng)的勒索軟件也試圖在網(wǎng)絡(luò)中移動以尋找其它攻擊目標(biāo)。攻擊者通常會先尋找一個落腳點(diǎn),然后開始在各個系統(tǒng)中移動,尋找更高的訪問權(quán)限,以期達(dá)成最終目標(biāo)。

    在緩解和檢測對該特定技術(shù)的濫用方面,適當(dāng)?shù)木W(wǎng)絡(luò)分段可以在很大程度上緩解風(fēng)險。將關(guān)鍵系統(tǒng)放置在一個子網(wǎng)中,將通用用戶放置在另一個子網(wǎng)中,將系統(tǒng)管理員放置在第三個子網(wǎng)中,有助于快速隔離較小網(wǎng)絡(luò)中的橫向移動。在終端和交換機(jī)級別都設(shè)置防火墻也將有助于限制橫向移動。

    遵循CIS 控制措施 14——基于需要了解受控訪問是一個很好的切入點(diǎn)。除此之外,還應(yīng)遵循控制措施4——控制管理員權(quán)限的使用。攻擊者尋求的是管理員憑據(jù),因此,嚴(yán)格控制管理員憑據(jù)的使用方式和位置,將會提高攻擊者竊取管理員憑據(jù)的難度。此控制措施的另一部分是記錄管理憑據(jù)的使用情況。即使管理員每天都在使用其憑據(jù),但他們應(yīng)該遵循其常規(guī)模式。發(fā)現(xiàn)異常行為可能表明攻擊者正在濫用有效憑據(jù)。

    除了監(jiān)視身份驗(yàn)證日志外,審計日志也很重要。域控制器上的事件ID 4769表示,Kerberos黃金票證密碼已重置兩次,這可能表明存在票據(jù)傳遞攻擊?;蛘?,如果攻擊者濫用遠(yuǎn)程桌面協(xié)議,審計日志將提供有關(guān)攻擊者計算機(jī)的信息。

    09、收集

    ATT&CK “收集”戰(zhàn)術(shù)概述了攻擊者為了發(fā)現(xiàn)和收集實(shí)現(xiàn)目標(biāo)所需的數(shù)據(jù)而采取的技術(shù)。該戰(zhàn)術(shù)中列出的許多技術(shù)都沒有關(guān)于如何減輕這些技術(shù)的實(shí)際指導(dǎo)。實(shí)際上,大多數(shù)都是含糊其辭,稱使用應(yīng)用白名單,或者建議在生命周期的早期階段阻止攻擊者。

    但是,企業(yè)可以使用該戰(zhàn)術(shù)中的各種技術(shù),了解更多有關(guān)惡意軟件是如何處理組織機(jī)構(gòu)中數(shù)據(jù)的信息。攻擊者會嘗試竊取有關(guān)當(dāng)前用戶的信息,包括屏幕上有什么內(nèi)容、用戶在輸入什么內(nèi)容、用戶討論的內(nèi)容以及用戶的外貌特征。除此之外,他們還會尋求本地系統(tǒng)上的敏感數(shù)據(jù)以及網(wǎng)絡(luò)上其它地方的數(shù)據(jù)。

    了解企業(yè)存儲敏感數(shù)據(jù)的位置,并采用適當(dāng)?shù)目刂拼胧┘右员Wo(hù)。這個過程遵循CIS控制措施14——基于需要了解受控訪問,可以幫助防止數(shù)據(jù)落入敵手。對于極其敏感的數(shù)據(jù),可查看更多的日志記錄,了解哪些人正在訪問該數(shù)據(jù)以及他們正在使用該數(shù)據(jù)做什么。

    10、命令和控制

    現(xiàn)在大多數(shù)惡意軟件都有一定程度的命令和控制權(quán)。黑客可以通過命令和控制權(quán)來滲透數(shù)據(jù)、告訴惡意軟件下一步執(zhí)行什么指令。對于每種命令和控制,攻擊者都是從遠(yuǎn)程位置訪問網(wǎng)絡(luò)。因此了解網(wǎng)絡(luò)上發(fā)生的事情對于解決這些技術(shù)至關(guān)重要。

    在許多情況下,正確配置防火墻可以起到一定作用。一些惡意軟件家族會試圖在不常見的網(wǎng)絡(luò)端口上隱藏流量,也有一些惡意軟件會使用80和443等端口來嘗試混入網(wǎng)絡(luò)噪音中。在這種情況下,企業(yè)需要使用邊界防火墻來提供威脅情報數(shù)據(jù),識別惡意URL和IP地址。雖然這不會阻止所有攻擊,但有助于過濾一些常見的惡意軟件。

    如果邊界防火墻無法提供威脅情報,則應(yīng)將防火墻或邊界日志發(fā)送到日志服務(wù)處理中心,安全引擎服務(wù)器可以對該級別數(shù)據(jù)進(jìn)行深入分析。例如Splunk等工具為識別惡意命令和控制流量提供了良好的方案。

    11、數(shù)據(jù)滲漏

    攻擊者獲得訪問權(quán)限后,會四處搜尋相關(guān)數(shù)據(jù),然后開始著手?jǐn)?shù)據(jù)滲透。但并不是所有惡意軟件都能到達(dá)這個階段。例如,勒索軟件通常對數(shù)據(jù)逐漸滲出沒有興趣。與“收集”戰(zhàn)術(shù)一樣,該戰(zhàn)術(shù)對于如何緩解攻擊者獲取公司數(shù)據(jù),幾乎沒有提供指導(dǎo)意見。

    在數(shù)據(jù)通過網(wǎng)絡(luò)滲漏的情況下,建立網(wǎng)絡(luò)入侵檢測或預(yù)防系統(tǒng)有助于識別何時傳輸數(shù)據(jù),尤其是在攻擊者竊取大量數(shù)據(jù)(如客戶數(shù)據(jù)庫)的情況下。此外,盡管DLP成本高昂,程序復(fù)雜,但可以確定敏感數(shù)據(jù)何時會泄露出去。IDS、IPS和DLP都不是100%準(zhǔn)確的,所以部署一個縱深防御體系結(jié)構(gòu)以確保機(jī)密數(shù)據(jù)保持機(jī)密。

    如果企業(yè)組織機(jī)構(gòu)要處理高度敏感的數(shù)據(jù),那么應(yīng)重點(diǎn)關(guān)注限制外部驅(qū)動器的訪問權(quán)限,例如USB接口,限制其對這些文件的訪問權(quán)限,即可禁用他們裝載外部驅(qū)動器的功能。

    要正確地解決這個戰(zhàn)術(shù),首先需要知道組織機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)所在的位置。如果這些數(shù)據(jù)還在,可以按照CIS 控制措施14——基于需要了解受控訪問,來確保數(shù)據(jù)安全。之后,按照CIS控制措施13——數(shù)據(jù)保護(hù)中的說明了解如何監(jiān)視試圖訪問數(shù)據(jù)的用戶。

    12、影響

    攻擊者試圖操縱、中斷或破壞企業(yè)的系統(tǒng)和數(shù)據(jù)。用于影響的技術(shù)包括破壞或篡改數(shù)據(jù)。在某些情況下,業(yè)務(wù)流程可能看起來很好,但可能已經(jīng)更改為有利于對手的目標(biāo)。這些技術(shù)可能被對手用來完成他們的最終目標(biāo),或者為機(jī)密泄露提供掩護(hù)。

    例如攻擊者可能破壞特定系統(tǒng)數(shù)據(jù)和文件,從而中斷系統(tǒng)服務(wù)和網(wǎng)絡(luò)資源的可用性。數(shù)據(jù)銷毀可能會通過覆蓋本地或遠(yuǎn)程驅(qū)動器上的文件或數(shù)據(jù)使存儲的數(shù)據(jù)無法恢復(fù)。針對這類破壞可以考慮實(shí)施IT災(zāi)難恢復(fù)計劃,其中包含用于進(jìn)行可用于還原組織數(shù)據(jù)的常規(guī)數(shù)據(jù)備份的過程。

    四、ATT&CK使用場景

    ATT&CK在各種日常環(huán)境中都很有價值。開展任何防御活動時,可以應(yīng)用ATT&CK分類法,參考攻擊者及其行為。ATT&CK不僅為網(wǎng)絡(luò)防御者提供通用技術(shù)庫,還為滲透測試和紅隊(duì)提供了基礎(chǔ)。提到對抗行為時,這為防御者和紅隊(duì)成員提供了通用語言。企業(yè)組織可以使用多種方式來使用MITRE ATT&CK。下文是一些常見的主要場景:

    (1)對抗模擬

    ATT&CK可用于創(chuàng)建對抗性模擬場景,測試和驗(yàn)證針對常見對抗技術(shù)的防御方案。

    (2)紅隊(duì)/滲透測試活動

    紅隊(duì)、紫隊(duì)和滲透測試活動的規(guī)劃、執(zhí)行和報告可以使用ATT&CK,以便防御者和報告接收者以及其內(nèi)部之間有一個通用語言。

    (3)制定行為分析方案

    ATT&CK可用于構(gòu)建和測試行為分析方案,以檢測環(huán)境中的對抗行為。

    (4)防御差距評估

    ATT&CK可以用作以行為為核心的常見對抗模型,以評估組織企業(yè)內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。在研究MITRE ATT&CK時,大多數(shù)安全團(tuán)隊(duì)都傾向于為Enterprise矩陣中的每種技術(shù)嘗試開發(fā)某種檢測或預(yù)防控制措施。雖然這并不是一個壞主意,但是ATT&CK矩陣中的技術(shù)通??梢酝ㄟ^多種方式執(zhí)行。因此,阻止或檢測執(zhí)行這些技術(shù)的一種方法并不一定意味著涵蓋了執(zhí)行該技術(shù)的所有可能方法。由于某種工具阻止了用另一種形式來采用這種技術(shù),而組織機(jī)構(gòu)已經(jīng)適當(dāng)?shù)夭捎昧诉@種技術(shù),這可能導(dǎo)致產(chǎn)生一種虛假的安全感。但是,攻擊者仍然可以成功地采用其他方式來采用該技術(shù),但防御者卻沒有任何檢測或預(yù)防措施。

    (5)SOC成熟度評估

    ATT&CK可用作一種度量,確定SOC在檢測、分析和響應(yīng)入侵方面的有效性。SOC團(tuán)隊(duì)可以參考ATT&CK已檢測到或未涵蓋的技術(shù)和戰(zhàn)術(shù)。這有助于了解防御優(yōu)勢和劣勢在哪里,并驗(yàn)證緩解和檢測控制措施,并可以發(fā)現(xiàn)配置錯誤和其他操作問題。

    (6)網(wǎng)絡(luò)威脅情報收集

    ATT&CK對于網(wǎng)絡(luò)威脅情報很有用,因?yàn)锳TT&CK是在用一種標(biāo)準(zhǔn)方式描述對抗行為??梢愿鶕?jù)攻擊者已知利用的ATT&CK中的技術(shù)和戰(zhàn)術(shù)來跟蹤攻擊主體。這為防御者提供了一個路線圖,讓他們可以對照他們的操作控制措施,查看對某些攻擊主體而言,他們在哪些方面有弱點(diǎn),在哪些方面有優(yōu)勢。針對特定的攻擊主體,創(chuàng)建MITRE ATT&CK 導(dǎo)航工具內(nèi)容,是一種觀察環(huán)境中對這些攻擊主體或團(tuán)體的優(yōu)勢和劣勢的好方法。ATT&CK還可以為STIX 和 TAXII 2.0提供內(nèi)容,從而可以很容易地將支持這些技術(shù)的現(xiàn)有工具納入中。

    ATT&CK提供了將近70個攻擊主體和團(tuán)體的詳細(xì)信息,包括根據(jù)開放源代碼報告顯示,已知他們所使用的技術(shù)和工具。

    使用ATT&CK的通用語言,為情報創(chuàng)建過程提供了便利。如前所述,這適用于攻擊主體和團(tuán)體,但也適用于從SOC或事件響應(yīng)活動中觀察到的行為。也可以通過ATT&CK介紹惡意軟件的行為。任何支持ATT&CK的威脅情報工具都可以簡化情報創(chuàng)建過程。將ATT&CK應(yīng)用于任何提及的行為的商業(yè)和開源情報也有助于保持情報的一致性。當(dāng)各方圍繞對抗行為使用相同的語言時,將情報傳播到運(yùn)維人員或管理人員變得容易得多了。如果運(yùn)營人員確切地知道什么是強(qiáng)制驗(yàn)證,并且在情報報告中看到了這一信息,則他們可能確切地知道應(yīng)該對該情報采取什么措施或已經(jīng)采取了哪些控制措施。以這種方式,實(shí)現(xiàn)ATT&CK對情報產(chǎn)品介紹的標(biāo)準(zhǔn)化可以大大提高效率并確保達(dá)成共識。

    寫在最后

    青藤云安全表示,MITRE為大家提供了ATT&CK及其相關(guān)工具和資源,為安全界做出了重大貢獻(xiàn)。它的出現(xiàn)恰合時宜。由于攻擊者正在尋找更隱蔽的方法并避免傳統(tǒng)安全工具的檢測,因此防御者不得不改變檢測和防御方式。ATT&CK改變了我們對IP地址和域名等低級指標(biāo)的認(rèn)知,并讓我們從行為的視角來看待攻擊者和防御措施。與過去“一勞永逸”的工具相比,檢測和預(yù)防行為之路要困難得多。此外,隨著防御者帶來新的功能,攻擊者肯定會作出相應(yīng)調(diào)整。ATT&CK提供了一種方法來描述他們開發(fā)的新技術(shù),并希望防御者能夠緊隨技術(shù)發(fā)展的新步伐。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-10-09
青藤云安全:一文看懂ATT&CK框架以及使用場景實(shí)例
Google趨勢顯示,這個帶著奇怪的“&”符號的詞語——ATT&CK非常受歡迎。但是,MITRE ATT&CK?的內(nèi)涵是什么呢?為什么網(wǎng)絡(luò)安全專家應(yīng)該關(guān)注ATT&CK呢?

長按掃碼 閱讀全文