ATT&CK如何落地到安全产品

image.png

科普:ATT&CK是什么

ATT&CK的提出是为了解决业界对黑客行为、事件的描述不一致、不直观的问题,换句话说它解决了描述黑客行为 (TTP) 的语言和词库,将描述黑客攻击的语言统一化。
这个模型是MITRE在2013年 主导的 Fort Meade Experiment (FMX) 研究项目中首次被提出,2015 年正式发布,汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述的通用语言和黑客攻击抽象的知识库框架。ATT&CK 经过 5 年左右的发展,到 2018 年开始获得爆发式关注。所有国际安全 头部厂商都迅速的开始在产品中增加针对 ATT&CK 的支持,并且持续将自己看到的黑客手法和攻击 行为贡献 ATT&CK 知识库。2019年Gartner SIEM 魔力象限考核中将其列为重要参考指标。

ATT&CK的安全能力

从视觉角度来看,MITRE ATT&CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部,每列下面列出了单独的技术。一个攻击序列按照战术,至少包含一个技术,并且通过从左侧(初始访问)向右侧(影响)移动,就构建了一个完整的攻击序列:

image.png

ATT&CK 知识库主要被应用在模拟攻击、评估和提高防御能 力、威胁情报提取和建模、威胁评估和分析四大方向上。
1、模拟攻击:基于 ATT&CK 进行红蓝攻防演练,进行红蓝军建设;
2、检测分析:基于具体的’’ 技术 ‘‘,有效增强检测能力,用于甲方安全建设; 3、威胁情报:使用 ATT&CK 框架来识别攻击组织,用于安全情报建设; 4、评估改进:将解决方案映射到 ATT&CK 威胁模型,发现并弥补差距,用于评估安全能力。 ATT&CK 框架内整合的知识库为安全行业提供了一个标准,对已知的 TTPs 进行收集,促进安全
产品的优化改进。本文将从 TTPs 的检测、分析提出关于 ATT&CK 框架在提升主机 EDR 检测能力的 探索和思考。

ATT&CK与EDR

ATT&CK 的出现为终端安全产品的 检测能力提供了一个明确的,可衡量,可落地的标准,改变防守方以往对于入侵检测常常会陷入不可 知和不确定的状态中,有效的弥补自己的短板,通过检测攻击的技术,映射到 ATT&CK 的战术,清晰 的了解攻击者所处攻击阶段。
另外如果能让终端安全产品具有针对 TTP 的检测能力,无疑能增强安全产品的核心检测能力,提 高攻击检测的覆盖度和自动处置的精确度,避免被攻击者通过一些简单的变形绕过检测,因为针对 TTP 进行检测,意味着我们是在根据攻击者的行为进行检测。如果攻击者想要躲避检测就需要改变他 们的行为,这需要研究一些新的技术和攻击手段,这意味着更高的难度和付出更大的成本。
而所有的攻击检测都是基于数据源和策略的特征匹配。我们如果需要检测某个攻击技术,首先需 要获取到这项技术所对应的数据,这些数据就是当攻击者执行某项技术攻击主机或网络后,在主机或 网络设备上留下的蛛丝马迹,他们所呈现的形式往往是各种日志,可能是系统或应用内置的日志,也 可能是因为安全需要而特意录制的日志数据。在 MITRE ATT&CK 的每项技术描述中都有对应于该技 术的数据源信息,它告诉我们可以从哪些类型的数据中找到攻击技术实施后所留下的痕迹。

ATT&CK与SOAR

就安全运营本身而言,存在诸多问题,威胁信息和事件数量多、安全技术整合度低,人力不足经验难以固化,使得安全运营面临严峻挑战,其中攻防不对称是驱动安全运营不断优化的一大动力。在日常的运营工作中,威胁的快速发现和响应闭环是非常重要的两点。

  • 加速威胁发现
    ATT&CK Framework 是在杀伤链的基础上,构建了一套更为细化、更贴合实战的知识模型和框架。它为威胁发生战术和技术做出了划分,为网络安全提供了威胁分析基准模型。其中,12 种战术包括:访 问初始化、执行、持久化、提权、防御规避、访问凭证、发现、横向移动、收集、命令和控制、数据获 取、危害。每种战术之下,包括多种实现的攻击技术。
image.png

ATT&CK提供了丰富的主机数据。丰富的数据源是及时、准确发现威胁的基础,仅仅依靠网络侧的流量很难发现主机内的威胁,并且随着网络流量加密的趋势,基于流量的检测会更加困难。ATT&CK框架可以弥补这方面数据的缺失。

ATT&CK提供了多种战术,也为威胁分析提供了检测标准。将安全产品检测能力映射到ATT&CK检测框架中,根据其覆盖度度量的安全产品的检测能力;同时发现哪些检测点未覆盖到,发现不足,然后进行主动完善。通过覆盖更多的攻击类型,降低漏报,减少人工取证的耗时。

ATT&CK框架能够实现关联分析。依靠单点检测不足以发现准确识别威胁事件,告警中混杂的误报等都有可能影响安全人员的判断。攻击者在发起攻击过程中,结合安全事件的命中情况,从 ATT&CK 矩阵可勾勒出攻击者所采用攻 击技术之间的关系,清晰的展现攻击者是如何一步一步入侵成功的。通过不断地攻击溯源分析,抓取 攻击套路,形成给为精确地检测规则。

  • 威胁快速响应与闭环
    ATT&CK 模型最直观的呈现是一个战术-技术矩阵,其模型的抽象层次被定位在比较中间的阶段。一 些处于高层次的威胁分析模型,比如 Lockheed Martin Cyber Kill Chain 模型,有助于客户理解高维度 攻击过程和攻击者目标,但是对于表达攻击者攻击过程中的详情存在明显不足,如攻击者多个攻击动 作间的关联、攻击动作序列如何与攻击者战术目标联系起来、这些攻击动作涉及哪些数据源、防御措 施、配置等。
image.png

处于中间层次的 ATT&CK 模型对一些高级别的概念(如战术)进行更具有描述性的分类(技术)。 给出每种技术,涉及的数据源、进一步的细分以及具体实现方式等。这意味着如果攻击者运用这项技 术实施攻击,就会在数据源(如进程信息、进程命令行参数)中留下痕迹。如果对这些信息进行实时 监控或者把这些信息记录下来,再配以相应的分析匹配机制就可以实现对该技术的检测或防护。这些 更具描述性的攻击技术,建立了底层的数据源、漏洞等信息与上层战术的桥梁,将攻击者行为更有效 的映射到防御。显示攻击者正在进行怎样的攻击,使得防御者更具有针对性的制定处置策略。

结尾

从安全产品的角度思考,ATT&CK不仅仅是目前炙手可热的新新概念,框架为我们提供了一个标准化的知识库,在产品设计中也为提供了新思路。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,348评论 6 491
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,122评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,936评论 0 347
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,427评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,467评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,785评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,931评论 3 406
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,696评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,141评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,483评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,625评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,291评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,892评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,741评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,977评论 1 265
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,324评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,492评论 2 348

推荐阅读更多精彩内容