沙巴体育官方网

沙巴体育平台app

2019-11-18 18:00:00 IT经理网 余凯 分享

“右脑知攻、左脑知防”是 ATT&CK 随笔系列第一篇,如果上天能给我机会让读者记住一个关键词,我选择“假定失陷(assume breach)【1】”,如果非要为她做点什么,希望是检测“黑客行为(TTP)”。

这两个关键词是 ATT&CK 出现和被迅速认可的核心动因, ATT&CK 建立了“知攻”通向“知防”的桥梁,安全行业经由白帽子黑客为了“知防”而“知攻”,演进到基于“知攻”而帮助产品检测黑客行为,并最终达成共识 — 基于 ATT&CK 知识库协同提升产品安全对抗能力。

这一篇我们将视角从安全产品进化切换到组织安全运营面临的挑战,通过认识ATT&CK 的体系、本质和内涵理解这个全新的模型和知识库也是破局的起点。

福布斯专栏作者 Sam Curry 今年初在其文章《From Survive To Thrive In Cybersecurity》【2】(在网络安全行业,从幸存到兴盛)中提到,美国多数CISO/CSO任期仅为13个月左右,他说身边的朋友长也就18个月,短不到1年。而在去年 MITRE 公司为美国政府所做的《Cyber Risk Metrics Survey, Assessment, and Implementation Plan》【3】(网络安全风险度量调查、评估和实现规划)中也提到一些令人思考的细节:几乎所有组织的 CISO 都在挣扎如何向董事会沟通绩效,安全投入无法量化 ROI 数据,普遍的共识是安全产品不能不买但又无法证明物有所值,因此安全预算主要靠 CISO 的人品决定,而他们常常通过互相比较人均投入来衡量好坏。

图一、SANS 2018 安全运营挑战调查

 

在与国内客户的沟通中,每当我提到全球最大信息安全培训机构 SANS 列举的 SoC 安全运营【4】面临挑战时(上图一),都能收获增强的具有本国特色的共鸣:

作为安全主管,他们常在星空下反复三问灵魂:

作为安全运维,也总在焦虑中思考灵魂三问:

 

上图二提及安全厂商的和应对上一篇已经涉及,本文不做赘述。

上面提到的挑战,本质是无法衡量。那么,究竟有没有办法衡量防御体系应对攻击的有效性?实践是检验真理的唯一标准,相信大家的第一个想法就是攻防演练。确实,不少企业也组织了红蓝对抗,但这样的对抗是否全面?是否覆盖了当前流行的攻击行为?对于未覆盖的点是否有记录并持续推动纵深防御体系改进?相信能做到的很少,其根源是缺乏框架和标准。MITRE ATT&CK 模型和知识库解决了这个问题。

ATT&CK 是一个全新的威胁模型(Threat Modeling)。首先我们讨论为什么已经有了那么多威胁模型,还要引入一个全新的?

MITRE 为美国政府所做的《Cyber Threat Modeling: Survey, Assessment, and Representative Framework》【5】(网络安全建模:调查、评估和典型框架)将威胁模型框架分为三类:

 

 

其中第一类中杀伤链模型在业界赫赫有名,应用广泛,其定义了网络攻击的七个阶段,增强了普通人对网络攻击的理解,呼应了纵深防御策略为企业安全规划提供了参照,人行吕毅博士在《基于攻击视角完善信息安全弹性防御体系的思考》【6】中有精彩的叙述。

我认为引入ATT&CK旨在解决杀伤链模型的重大局限

ATT&CK 创造性的统一了黑客行为描述,对杀伤链模型提到的黑客入侵生命周期做了完整的映射,并超越模型本身,进一步持续构建和积累黑客行为知识库,从而填平了长期以来防守远落后于攻击的沟壑。ATT&CK 知识库最大的亮点和独特价值是,技术细节都来源于 MITRE 和社区对于实战的分析并持续更新扩充,为防守方基于已知而对抗未知提供了明确而强大的行动指导,成为了应对未知攻击“检测”和“响应”能力建设的基础。同时也提供了认知和衡量的素材,为解决用户的灵魂三问拨云见日。让我们进一步看 ATT&CK 怎么做的。

如上图三,PRE-ATT&CK 包含攻击前准备相关的各种黑客技战术,例如选择目标、信息收集、发现脆弱点、攻击性利用开发平台等等。而经典的ATT&CK 覆盖攻击实施的黑客技术,是本篇论述的焦点,目前支持 12 种战术;311 种技术,包括Windows(212 种技术)、Mac(148)、Linux(127)和 Mobile(67),云场景也在内部设计讨论中。ATT&CK 还囊括了 91 个黑客组织和其发起攻击时常用的 397 个工具以及 50 种信息收集数据源的梳理,同时 ATT&CK 还梳理了这些不同的黑客组织攻击的行业和组织类型,为组织安全运营确定优先级提供了参考,在适用于“我”的方向上做提升改进。

图四、MITRE ATT&CK矩阵

让我们把焦距推近看 ATT&CK 矩阵如上图

 

如图五Z轴,ATT&CK 矩阵图背后还有TTP 的最后一环:过程(Procedure),完成技术手法的具体实现(HOW)。过程是安全产品实际需检测的黑客攻击行为相关技术细节,万千变化皆在于此。做个近似的比喻,四川名菜宫保鸡丁,清朝四川总督丁宝桢家宴时发明由大葱加辣椒爆炒鸡丁,此后国宴大师伍钰盛改用剞花刀蓑字条和散油吐籽,到最近家庭主妇们爱用德国“小美”料理机(Thermomix)烹饪出来,烹饪手法甚至配料已大相迳庭,但并不影响食客们认定自己吃的是宫保鸡丁。ATT&CK 知识库默认提供了大量实现过程的描述,同时建议用户利用开源社区和安全厂商提供的 Red Team 服务或新兴的产品品类“入侵攻击模拟系统(BAS,Breach Attack Simulation)”来获取专业的支持。

上文提到 ATT&CK 知识库迄今对多达 91 个知名的黑客组织持续追踪其技术,如果我们抽取某组织的某次特定的攻击战役(campaign)用到的所有战术和技术并圈选出来,就能可视化攻击全貌,作为 Red Team 的攻击模拟作战图。回看图四,最近我们要参加 2019 MITRE ATT&CK 产品评测,团队基于 FireEye 在 2016 年披露的分析报告【7】,绘制了史上最强黑客军团APT29 【8】的一次著名的高级持续攻击作战图(见图四红、黑标记),像不像现代菜谱,将中国传统妙不可言而不可言传的南北美食烹饪技艺记录了下来。

ATT&CK 适用的场景很多,MITRE官方推荐如下

 

有关场景介绍大家可以参考 MITRE 官方发布的 ATT&CK 设计思想白皮书【9】,未来随笔系列中我将结合自己的经历,具体讲解开篇提到的组织安全领导和安全运维各种灵魂问题的解决思路和最佳实践。

为了对 ATT&CK 有全貌了解,本节最后谈 ATT&CK 的局限和问题,毕竟这世界没有银弹:

20年前曾经热映一部影片《偷天陷阱》,深深印刻在我脑海里的是美女大盗小心翼翼穿越红外线防盗系统的画面,我当然不会承认是因为Catherine身型迷人,正义的我显然一直在思考的是如何应对未知威胁攻击。

图六、偷天陷阱剧照
ATT&CK将黑客攻击行为系统化整理形成知识库,如同影片中美女大盗长期训练的抬脚落地节奏,身体移动方向和可能的伪装逃逸手法被记录下来,以便防守方可以利用这些知识对应设计部署红外线感知系统进行多维探测。

我们常常说攻防对抗严重不对等,防守方需要做好每个系统的每个细节,而黑客只要找到一条路径就能长驱直入。这种困境的实质是防守方长久以来仅面向自身做免疫改进,而不是基于实战攻击行为提升纵深防御,陷入知己而不知彼的被动局面。
倘若防守方基于ATT&CK知识库在攻击者已知攻击路径节点都投射红外探针形成天罗地网,就极大提升了入侵的门槛,因为黑客可以在局部做创新,但很难在攻击的每一步都做创新,这时防守方只需监测到已知黑客行为就能报警并基于预案开展入侵追踪、溯源联动和遏制入侵。

逻辑完美,知易行难。例如业内普遍认为排名第一需要关注的黑客“代码执行”技术 T1086 Powershell ,管理员正常运维也会用到;再如更加正常不过的文件删除却也是常用的检测逃逸手法 T1107 File Deletion ,如何平衡中性行为的识别记录带来的资源浪费和检测响应溯源时因为没有记录造成的攻击链断裂对安全厂商提出了更高的能力要求。MITRE 的建议是上下文语境(context)关联,以不同的层次来丰富化(enrichment)“检测”内涵同时基于用户业务环境的特点和需求作出响应。

回到上图五展现的 APT29 作战图黑色线条部分,安全运营团队若能监控到用户执行的 Powershell 安装了一个服务进程并发起外部回连已经相当可疑,若能看到另一路径 Powershell 利用粘滞键功能(T1015,Accessibility Features)做了权限提升,甚至进一步观察到后续的凭证导出(T003,Credential Dumping),凭证哈希传递(T1075,Pass the Hash),邮件信息收集(T1114,Email Collection)等动作,就可果断定性为安全事件,启动网络安全应急预案了。

上述需求重点考验 EDR/XDR 等行为识别类产品的检测能力,和大数据安全系统针对多源异构数据输入的关联分析能力,以及整个纵深防御体系的联动响应能力。而基于 ATT&CK 框架和知识库设计符合自身需求的防御场景,也逐渐成为安全运营中心改进安全体系,选择检测和响应类产品的重要参考。这就是为何 Gartner 在今年六月的安全和风险管理峰会【11】上正式推荐基于 ATT&CK 实施 CARTA(Continuous Adaptive Risk and Trust Assessment)策略,建议组织领导者采购网络安全产品前询问其 ATT&CK 覆盖率和支持路线图。

一言以蔽之,基于 ATT&CK 黑客行为知识库,安全运营不仅知己而且知彼,从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力,并在实战对抗中稳步改进提升,因此根本上解决长期困扰组织安全领导和安全运营的难题。限于篇幅,本篇不作展开,未来会聚焦 ATT&CK 落地经验分享,针对本文灵魂三问如何破局逐一讨论,下一篇随笔介绍 MITRE 如何通过 ATT&CK 评测展现最佳实践,指导安全运营中心评价、选择适用于己的安全产品。欢迎关注,敬请期待!

 

参考文献
1、assume breach
https://www.nsslabs.com/press/2012/11/8/nss-labs-announces-analyst-coverage-and-new-group-test-for-breach-detection-systems/

声明:本站部分资源来源于网络,版权归原作者或者来源机构所有,如作者或来源机构不同意本站转载采用,请通知我们,我们将第一时间删除内容。本站刊载文章出于传递更多信息之目的,所刊文章观点仅代表作者本人观点,并不意味着本站赞同作者观点或证实其描述,其原创性及对文章内容的真实性、完整性、及时性本站亦不作任何保证或承诺,请读者仅作参考。
编辑:可欣

沙巴体育官方网

365bet体育在线投注365bet体育在线官网365bet注册