前沿安全论丨ATT&CK框架在安全运营中的应用

发布时间 2021-11-30

威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证常识,包括情境、机制、指标、推论与可行建议,这些常识可为威胁响应提供决策依据。——Gartner在2014年发表的《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的定义。


根据David J. Bianco在《The Pyramid of Pain》一文中提出的威胁情报相关指标的金字塔模型,可以根据数据本身将威胁情报分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures)。左侧是能够利用的情报,右侧是这些情报的价值和掌握后给入侵者造成的痛苦程度。


ATT&CK框架用于威胁情报的实践.png


威胁情报中价值最低的是Hash值、IP地址和域名(也就是常说的特征库),其次是网络/主机特征、入侵工具特征,对入侵者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报。而目前安全运营中大量使用的仍然是基于HASH(特征库)、IP(护网行动中蓝队的常规的“封IP”行为)、域名、URL为基础依据的威胁情报,这些情报在应对自动海量无自主意识的病毒较为有效,而在应对高级可持续威胁入侵方面的比较乏力,轻易被入侵者绕过。而ATT&CK框架的核心正是TTP,用标准语言描述对手入侵行为,天然的为威胁情报提供了高阶标签,在安全运营中,防御者可以根据已知入侵者技术和战术来跟踪入侵主体,预警甚至预判可能的入侵行为和模式。


实例:某经典的鱼叉式钓鱼场景的威胁情报构建


入侵团队利用MicroSoftOffice宏文件的VBSript构建攻击代码,然后通过电子邮件进行鱼叉钓鱼攻击,受害者实行代码后,主机被入侵控制,并用作跳板机进一步入侵内网。高阶威胁情报的核心是识别并标识攻击者的技战法(TTP),因此采用ATT&CK框架来识别和构建入侵的TTP行为链条。如下,分列出入侵者使用的战术、技术以及对应的标签、缓解措施和检测手段。


1、信息收集:入侵者收集目标相关信息


2、初始访问:入侵者发送鱼叉式邮件诱导实行


3、代码实行:受害主机启用Office宏实行恶意代码


4、持久化:创建服务进程、添加计划任务


5、防御规避(伪装):RTLO字符从右往左覆盖伪装正常文件名


6、命令与控制:建立隐蔽隧道、搭建内网代理


7、数据渗漏:建立C2隧道控制与数据窃取


8、影响:存储数据操作,篡改内容


最终形成入侵链条如下,注意ATT&CK框架中的战术是非线性的。由上例可见,按照ATT&CK框架模型进行威胁建模,极大的方便了构建安全运营中高阶威胁情报常识库,完整的梳理出威胁行为的TTP、检测数据源以及防御措施,简化了溯源的流程和威胁情报的创建过程,为安全运营中构建主动防御系统提供了有力的支撑。


ATT&CK用于安全运营能力成熟评估实践


在实际安全运营中,很多安全主管都存在难以回答的量化困境,例如:当前的安全防御体系有效性如何?安全投资和建设的优先级如何?实战演习是否推动了能力的提升?


同样对于安全运维人员,也存在难以回答的问题:


是否能够对抗当前流行的APT攻击行为?海量的告警数据应该如何分析确定规律?如何验证运维团队的技术工作能力的有效性?


实践是检验真理的唯一标准,所有安全问题的有效性应该用实践的方式来检验。因此ATT&CK框架正是检验防御能力的有效手段。


(一)入侵者模拟计划


基于ATT&CK的入侵者模拟计划,可以采用两种方式:


1、实战入侵,按照ATT&CK的框架标准,组织红队计划开展一系列基于威胁的安全测试,模拟真实入侵者的战术技术和过程,用实战检验防御体系的真实防御能力。


2、沙盘推演,让企业的红蓝团队选择不同的角色,讨论红队如何使用不同步骤来实行攻击行为的,讨论威胁情报分析人员是如何溯源分析,安全运营人员是如何对抗处置的,将ATT&CK作为通用语言进行沟通和推演。


这和一般的渗透测试有什么不同呢?


渗透测试主要是单一团队的入侵测试,而基于ATT&CK的入侵者模拟计划主要在于可以模拟多个APT组织的入侵行为,而非单一组织的手段和形式,更加全面和有效。


而且,MITRE也创建有入侵者模拟计划,目的是让红队能够更加准确高效地模拟入侵行为,从而使得防守方能够更加有效地测试自己的网络防御能力。例如基于APT3创建的入侵者模拟方案,方案中完整的复现了APT3入侵的所有流程。从而使得安全运营方能够更加有效地测试自己的保障体系应对各种APT组织入侵时的防御能力。


(二)安全运营能力成熟度评估


ATT&CK框架同样可应用于安全运营中心的防御能力成熟度评估,评估组织现有的防御体系,是否能够覆盖到所有已知入侵手段,辅助发现防御能力短板,促进完善防御体系框架。具体来说可以实现如下:


1、评估网络安全防御框架能力,典型场景是安全能力覆盖度评估,采用色块标价法,可以一目了然安全的差距在哪里,还需要改进哪些?


2、当安全能力已经完成了全覆盖,接下来是需要评估安全能力的成熟度,将成熟度按照不同的程度打分。例如多款产品均覆盖到了该能力,表明防御成熟度较高,可进行深色赋值,相反则进行浅色赋值,最终形成可视化程度较高的安全能力成熟度模型。


3、主流入侵技术热度评估。对于组织来说,了解入侵者经常使用入侵技术也非常重要。因此可以根据ATT&CK常识库中存在的122个APT组织的TTP(战术、技术、过程)创建入侵技术热力图。


此时大家可以想象每一个APT组织使用的TTP都是在一块玻璃上涂色,当所有APT组织完成涂色后,把这些玻璃叠加起来就形成了大家的威胁组织数据的热力图,热力图中的颜色越深,则表示入侵组织使用该技术的频率就越高。综上,将ATT&CK框架应用于安全运营中心,能够真实反映安全运营中心在面对APT组织威胁时的安全防御能力,同时可以验证安全运营中心在检测、分析和响应方面的能力成熟度,并借助于威胁情报、溯源反制构建安全运营中心的主动防御体系。


2017年,澳门浦京娱乐场集团便在行业率先开创性地提出“独立第三方安全运营”概念,为城市政府机构、企业及智慧城市建设,提供托管式、外包式的7x24小时专业安全运营服务,为城市打造专职的网络空间安全应急响应中心,提高针对政府机构、企业及网络空间危害事件的发现与响应能力、加强对潜在入侵的监测和调查能力,由区域性第三方安全运营中心为城市提供专业的托管式安全服务,是有效提升城市网络安全能力的方式,是解决安全能力交付“最后一公里”的最佳选择,近年来逐渐成为国内外网络安全产业发展的重要方向。


澳门浦京娱乐场集团安全运营中心在实践中引入ATT&CK模型,不断汇总和输出不同的安全能力,并在落地的过程中深度结合人工智能技术和安全分析技术,不断提升安全运营的管理水平,通过行业标准来规范化输出安全运营中心运营脚本、ATT&CK入侵模型和高阶威胁情报,精准定位安全事件,提升安全事件响应和处置速度。