这一篇我们将视角从安全产品进化切换到组织安全运营面临的挑战,通过认识ATT&CK 的体系、本质和内涵理解这个全新的模型和知识库也是破局的起点。
灵魂三问
图一、SANS 2018 安全运营挑战调查
- 当前的安全防御体系有效性如何,能否抵御未知的、甚至已知的黑客入侵攻击以避免数据泄露或业务受损。
- 每年几百万,甚至数千万的安全预算采购安全产品和服务,是否物有所值,带来了组织整体安全能力的持续提升,如何确定安全投资建设的优先级。
- 每年大型真人攻防对抗演练的确梳理了流程,明确了资产,修复了漏洞,锻炼了队伍,能否更进一步将这宝贵的实战经验用以持续提升安全防御体系,在“战时”运维人力和厂商安全服务回归“平时”后依然能有效应对“常态化”攻击。
- 每天全球全国都在披露各种威胁和攻击,安全博客和白皮书中提到了大量的技术细节,哪些与本组织相关?常有老牌厂商或创业公司宣称开发了新一代革命性的产品,如何验证其核心能力对本组织有效。
- 每天组织内的安全产品都在产生海量告警,看还是不看?看的话,如何确定事件处置的优先级。
- 每天都很忙碌,汇报绩效时如何证明看似平安的现状,是因为团队的努力,或只是没被惦记,还是黑客已攻入数据已丢失而尚不自知?
无法衡量,就无法改进
- 面向风险管理的模型,例如著名的美国国家标准及技术研究院提出的网络安全框架 NIST Cybersecurity Framework ;以及更加著名的洛克希德·马丁定义的杀伤链 Lockheed Martin Cyber Kill Chain ;
- 面向安全软件设计开发测试的模型,例如 Microsoft 提出的 STRIDE 模型,Intel 提出的 TARA 模型。
- 面向威胁信息分享的模型,例如 MITRE 定义的 STIX 模型,美国国家情报总监定义的网络威胁模型 ODNI CTF 。
- 杀伤链模型起源于网络入侵防御早期,突出了病毒和漏洞相关的外线防守(Perimeter Defense),无法反映现代黑客入侵的变化,例如无文件攻击,利用合法攻击的离地攻击(living off the land),同时对入侵后长达数月经年的黑客行为只以七分之一笔墨笼统描述为远程控制及扩散(Actions on Objectives),给人一种至此对抗已经失败的错觉。而现代 Assume Breach 观念恰恰告诉我们,失陷是不可不面对的常态,从黑客成功入侵后到成功获取数据或造成重大影响前,长时间跨度的内线对抗(Interior Defense)大有可为。同时,内线对抗相关的其他场景例如蠕虫爆发,内鬼威胁也未涵盖。
- 杀伤链模型以及 ATT&CK 以外所有的网络威胁模型包括著名的钻石模型(Diamond Model)只引领大家在一万米高空看黑客入侵和攻防对抗,知其然而不知其所以然,攻击威胁可以被感知却因没有细节无法转化为对抗能力,因此组织安全建设可参照攻击阶段来确定该买什么产品,却无法评估其效果,安全建设陷入安全合规的浅层次应对,直接导致第一节组织内安全主管和安全运维各自无奈的灵魂三问,无法认知,无法衡量,无法改进。
图四、MITRE ATT&CK矩阵
- 横轴是战术(Tactic),攻击行为的目标(WHY),例如持久化、提权。战术之间并没有严格的顺序关系,正如现实战斗中既有正面推进也有战术迂回。另外,并非所有的战术都会出现在实际攻击中。
- 纵轴是技术(Technique),为完成战术目标使用的手法(WHAT),其中检测逃逸(TA0005,Defense Evasion)、持久化(TA0003,Persistence)和荷载执行(TA0002,Execution)三个战术目前囊括了最多技术手法。例如为了完成攻击持久化的目标,在 Windows 平台可以使用系统提供的定期任务(T1053,Scheduled Task),或者利用注册表启动项/系统启动目标(T1060,Registry Run Keys / Startup Folder)。检测持久化是个很有趣的视角,传统安全厂商为了检测未知病毒常常关注各种荷载(Payload)自启动的行为,与白名单配合作为疑似恶意代码报警的重要依据,一直相当好用,而这仅是ATT&CK建议监测黑客入侵的一个战术点。
- 模拟历史黑客攻击,提升防御和威胁狩猎能力
- 高级威胁攻击情报系统的通用交换语言
- 红队、靶场建设知识库
- 验证基于行为的高级威胁检测产品能力
- 安全体系建设有效性评估手段以及安全规划建设依据
- 安全运营和安全指挥中心成熟度测试
有关场景介绍大家可以参考 MITRE 官方发布的 ATT&CK 设计思想白皮书【9】,未来随笔系列中我将结合自己的经历,具体讲解开篇提到的组织安全领导和安全运维各种灵魂问题的解决思路和最佳实践。
为了对 ATT&CK 有全貌了解,本节最后谈 ATT&CK 的局限和问题,毕竟这世界没有银弹:
- ATT&CK 仍然在快速进化中,针对移动、物联网工控领域和云安全相关战术和技术的整理还不完备。
- ATT&CK 当下的关注和发展重点仍然是将未知攻击入侵成功后主机终端可见的行为收集和大数据安全平台的威胁狩猎配合,针对网络南北向、东西向攻击行为,邮件攻击手法等定义和储备不足。好消息是不仅社区和行业头部企业在热情的向 MITRE 分享案例和经验,全球一线安全厂商也在积极贡献各自看到的攻击场景和技术细节,以期未来在评测中展现自己产品的核心能力。
- ATT&CK技术的粒度不均匀,具体如鱼叉式钓鱼攻击附件 (T1193,Spearphishing Attachment),宽泛如脚本编程(T1064,Scripting)。层次性不足导致技术扩展的灵活性不够,安全系统集成后随知识库更新的改动较大。好消息是,新的知识库组织设计正在征询社区反馈【10】。
知己知彼,百战不殆
图六、偷天陷阱剧照
ATT&CK将黑客攻击行为系统化整理形成知识库,如同影片中美女大盗长期训练的抬脚落地节奏,身体移动方向和可能的伪装逃逸手法被记录下来,以便防守方可以利用这些知识对应设计部署红外线感知系统进行多维探测。
- 我们常常说攻防对抗严重不对等,防守方需要做好每个系统的每个细节,而黑客只要找到一条路径就能长驱直入。这种困境的实质是防守方长久以来仅面向自身做免疫改进,而不是基于实战攻击行为提升纵深防御,陷入知己而不知彼的被动局面。
- 倘若防守方基于ATT&CK知识库在攻击者已知攻击路径节点都投射红外探针形成天罗地网,就极大提升了入侵的门槛,因为黑客可以在局部做创新,但很难在攻击的每一步都做创新,这时防守方只需监测到已知黑客行为就能报警并基于预案开展入侵追踪、溯源联动和遏制入侵。
参考文献
4 、SOC Survey Summary
https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1532969860.pdf
5、《Cyber Threat Modeling: Survey, Assessment, and Representative Framework》
https://www.mitre.org/sites/default/files/publications/pr_18-1174-ngci-cyber-threat-modeling.pdf
6 、吕毅:基于攻击视角完善信息安全弹性防御体系的思考
https://www.secrss.com/articles/3846
7 、No Easy Breach DerbyCon 2016
https://www.slideshare.net/MatthewDunwoody1/no-easy-breach-derby-con-2016
8 、APT29
https://attack.mitre.org/groups/G0016/
9、 MITRE ATT&CK™ : Design and Philosophy
https://www.mitre.org/publications/technical-papers/mitre-attack-design-and-philosophy
10、ATT&CK Sub-Techniques Preview
https://medium.com/mitre-attack/attack-sub-techniques-preview-b79ff0ba669a
11、 WHAT TO EXPECT FROM THE GARTNER SEWHAT TO EXPECT FROM THE GARTNER SECURITY & RISK SUMMIT 2019
https://xmcyber.com/what-to-expect-from-the-gartner-security-risk-summit-2019/
发表评论
您还未登录,请先登录。
登录