干货满满 | 聊一聊ATT&CK在沙箱类产品的应用

发布时间 2019-11-08

ATT&CK可以说是2019年网络安全行业的热门议题之一。


ATT&CK,全称是Adversarial Tactics, Techniques, and Common Knowledges。A是Adversarial,表示攻击者、对手;两个T分別是Tactics和Technical,即战术和技术;CK是Common knowledge,通用常识库。


ATT&CK提供了一种使用威胁建模常识库的方式,为真实世界中攻击者的战术及技术、已知组织及恶意工具使用到的攻击手段找到对应的方法。它有双层含义:一方面它是基于现实世界观测的对手战术与技术通用常识库,另一方面其本身也是“攻击”的含义,表明这个模型是以攻击者视角创建的。


在ATT&CK出现之前,就已经出现了钻石模型、Kill Chain模型等著名的攻击模型,但这些模型太抽象化,无法和实际攻击相对应。因此,2013年,MITRE企业在其内部FMX项目基础上孵化出了ATT&CK项目,并于2015年公开发布了第一版ATT&CK框架。ATT&CK可以说是在Kill Chain模型基础上演变出来的更细粒度、更易共享、加强版常识框架。


目前,ATT&CK模型总共分为三个部分,分别为PRE-ATT&CK、ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK主要是攻击者进行攻击准备时的技术或战术,覆盖Kill Chain模型的前两个阶段;ATT&CK for Enterprise主要是Windows、Linux、MacOS,AWS,GCP,Azure,Azure AD,Office 365,SaaS等平台的266项攻击技术,覆盖Kill Chain模型的后五个阶段。


一、ATT&CK的应用场景


ATT&CK中用途最广泛的模型是ATT&CK for Enterprise,主要包含12种战术,即初始访问、实行、持久化、特权提升、防御绕过、凭证访问、发现、横向移动、收集、命令与控制、泄露、影响。如果把这12种战术比喻成为一场真实的战争,初始访问就相当于抢滩登录的过程;实行、持久化、特权提升、防御绕过就是夺取和巩固阵地的过程;凭证访问、发现、横向移动相当于在当前阵地上继续扩大战果,夺取新的高地的过程;收集、命令与控制、泄露、影响则是战争的最终目标达成。



在现实战斗中,既有正面推进也战术迂回,因此,在一次实际攻击中,各个战术之间没有严格的顺序,所有的战术也不会同时出现。


那么ATT&CK到底如何应用?官方给出了如下应用场景:



通俗来说,ATT&CK主要落地点主要包括产品层面、威胁情报领域、安全研究。


二、ATT&CK在产品中的应用


如果想产品落地,那么必须先要拿到数据。但ATT&CK中的技术并不是每种产品都能覆盖,这就要看某种技术来源是什么。



从上图ATT&CK诸多技术来源方式中分析得知,通过进程监控、文件监控、API监控、进程命令行监控是最多的来源,而网络抓包、流检测是相对较少的来源。这也说明了ATT&CK对于沙箱类产品或终端App的“亲密度”大于流量监控产品。



那么如何在产品中实现真正落地呢?大家认为主要有以下这么几个步骤。


? 评估现状

(1)根据ATT&CK技术来源划定产品的最大覆盖范围;

(2)将已有规则/数据映射到ATT&CK;

(3)评估当前已映射的质量,区分出来哪些需要改善。


? 查漏补缺

(1)找出覆盖中的盲点;

(2)研究产品实现可行性,区分实现难度;

(3)难度由低到高逐步补齐能力。


三、谈谈如何将ATT&CK真正落地——以沙箱类产品为例


1、根据ATT&CK的每项技术描述,划定沙箱类产品能覆盖的理论最大范围。



2、将已有规则/数据映射到ATT&CK,并评估当前已映射技术的质量、可信度,区分出哪些需要继续完善。



3、找出覆盖中的盲点。对这些盲点技术研究产品实现可行性,区分实现难度,并根据难度逐步由低到高逐步补齐能力。



通过以上几个步骤,就能完成ATT&CK到一个产品的落地实现。


澳门浦京娱乐场天阗高级持续性威胁检测与管理系统


澳门浦京娱乐场天阗高级持续性威胁检测与管理系统已经实现了ATT&CK模型的产品化落地,目前可提供的能力如下:



在恶意文件的检测报告中,也可以看到相应规则会带有ATT&CK技术化标签。



作为信息安全行业领军企业,澳门浦京娱乐场一直重视对新技术及新方向研究与探索,积极发挥自身优势,不断创新,改进产品,提高产品对ATT&CK的覆盖广度和深度,提升产品的有效性。