ISC 2020 ATT&CK安全能力衡量論壇：基于網(wǎng)絡空間安全攻防全景知識庫框架升級防御方案

ATT&CK作為近幾年最火的攻防框架，對于安全行業(yè)實際檢測的指導性價值日益凸顯。8月13日，第八屆互聯(lián)網(wǎng)安全大會(ISC 2020)的技術(shù)日正式啟動，備受專業(yè)人士矚目的ATT&CK安全能力衡量分論壇如期而至。ATT&CK覆蓋的攻防技術(shù)非常龐雜和具體，大概有300項技術(shù)點，如何體系化了解其中的攻擊方案，并基于網(wǎng)絡空間安全攻防全景知識庫框架，相應提出其防御方案是亟需當下網(wǎng)絡安全行業(yè)重點解決的問題，這場論壇恰好為這些問題提供了答案。

出席本場論壇的嘉賓有來自青藤云安全COO程度、360政企安全能力評估中心負責人林聚偉、安天科技集團安全研究員侯方勇、360靈騰安全實驗室成員戴志斌，他們圍繞“ATT&CK高頻攻擊技術(shù)的分析與檢測” “基于ATT&CK的安全能力評估與改進實踐”“威脅框架的端點安全實踐” “全補丁環(huán)境下的域內(nèi)攻防對抗”等議題展開技術(shù)探討與激烈的思維碰撞。

在網(wǎng)絡安全領域，隨著攻擊工具、方法的逐漸升級和復雜化，安全數(shù)據(jù)的大規(guī)模融合，攻防對抗愈加激烈。安全團隊正在從浩瀚數(shù)據(jù)中發(fā)現(xiàn)高級威脅的蛛絲馬跡，把網(wǎng)絡安全專家的經(jīng)驗、知識有效轉(zhuǎn)化為可復制可擴展的數(shù)據(jù)分析能力。

（青藤云安全COO程度）

青藤云安全COO程度在演講中系統(tǒng)介紹了ATT&CK高頻攻擊技術(shù)TOP5、以CARET為代表的攻擊檢測技術(shù)方法論等干貨。同時，結(jié)合自身研究和實踐經(jīng)驗，總結(jié)了ATT&CK框架中最高頻和最具代表性五大攻擊技術(shù)(Valid Account、Powershell、Masquerading、Credential Dumping、Scheduled Task)，通過對攻擊技術(shù)概念、攻擊技術(shù)復現(xiàn)和檢測分析三個維度的講解，使大家全面了解針對ATT&CK攻擊研究的三大常規(guī)步驟。

以Valid Account 攻擊介紹為例，程度指出攻擊者會使?利?漏洞獲取憑證訪問的權(quán)限技術(shù)來竊取?個特定?戶或服務賬戶的?戶名密碼或憑證，或者是通過社會?程學偵查獲得特定?戶或服務賬戶的?戶名密碼或證書，從?獲得初始訪問的權(quán)限。攻擊者可能使?的賬戶分為三類：默認賬戶、本地賬戶和域賬戶。他基于一個Valid Account攻擊過程復現(xiàn)，向大家展示了如何針對此類攻擊，收集“異常登錄”、“賬號變更”等數(shù)據(jù)源，追蹤異常黑客的異?；顒?，檢測潛在威脅。

程度總結(jié)，要實現(xiàn)ATT&CK高頻攻擊技術(shù)的檢測，需要利用一些平臺工具方可實現(xiàn)。首先，需要能夠收集到高質(zhì)量的數(shù)據(jù);其次，還需要能夠解決異構(gòu)數(shù)據(jù)源頭的連接問題。最后，還需要一個強大分析引擎，能夠支持復雜的分析算法，此外還需要一個靈活的分析員。

（360政企安全能力評估中心負責人林聚偉）

360政企安全能力評估中心負責人林聚偉基于ATT&CK的安全能力評估與改進實踐展開演講，林聚偉表示，安全運營面臨一些挑戰(zhàn)，例如當前安全防御體系有效性如何;如何確定安全投資建設的優(yōu)先級;能否將攻防演練的實戰(zhàn)經(jīng)驗用以持續(xù)提升安全防御系統(tǒng)，在“戰(zhàn)時”運維人力和廠商安全服務回歸“平時”后依然能有效應對“常態(tài)化”攻擊。這些挑戰(zhàn)，本質(zhì)是無法衡量。那么，究竟有沒有辦法衡量防御體系應對攻擊的有效性?實踐是檢驗真理的唯一標準，相信大家的第一個想法就是攻防演練。確實，不少企業(yè)也組織了紅藍對抗，但這樣的對抗是否全面?是否覆蓋了當前流行的攻擊行為?對于未覆蓋的點是否有記錄并持續(xù)推動縱深防御體系改進?相信能做到的很少，其根源是缺乏框架和標準。MITRE ATT&CK 模型和知識庫解決了這個問題。

基于ATT&CK框架和知識庫設計符合自身需求的防御場景，可以有效評估安全防御體系，入侵者模擬正是基于這樣的思路而設計的，可以模擬各種安全場景，以此衡量這些安全挑戰(zhàn)應對的狀態(tài)。入侵者模擬提供自動化模擬攻擊與安全設備評估，模擬攻擊使用自研無損的payload。這些模擬攻擊既基于ATT&CK自上而下進行安全設備評估，也基于應急響應自下而上進行安全設備評估。

（安天科技集團安全研究員侯方勇）

端點是網(wǎng)絡攻防戰(zhàn)中的主戰(zhàn)場。安天科技集團安全研究員侯方勇著重講解了威脅框架的端點安全核心能力，侯方勇表示，以 MITRE ATT&CK 為代表的威脅框架是迄今最有實用性、最具實戰(zhàn)價值的高級威脅分析手段。

據(jù)侯方勇介紹，端點防護作為防御的最后一道防線，應具有以下能力：第一，應具有合理的架構(gòu)安全體系，增強安全運維能力，以減少被攻擊面;第二，具有足夠縱深的主動防御能力，才能夠在多個環(huán)節(jié)逐步抵消威脅;第三，具有全面的信息采集與分析能力，以便發(fā)現(xiàn)常規(guī)防御手段無法發(fā)現(xiàn)的威脅。

侯方勇認為，威脅框架使我們對端點主動防御和數(shù)據(jù)采集的能力指標有了更清晰認知和衡量標準，我們應以威脅框架為科學指引，在實踐中不斷積累經(jīng)驗、提高認知、優(yōu)化產(chǎn)品，打贏端點主戰(zhàn)場的網(wǎng)絡攻防戰(zhàn)。

（360靈騰安全實驗室成員戴志斌）

隨著對抗的升級，域安全在紅藍對抗中越來越重要。360靈騰安全實驗室成員戴志斌表示，域控網(wǎng)絡權(quán)限廣，網(wǎng)絡憑據(jù)多，能夠集權(quán)管理機器，在攻擊眼里即便不是靶標也是關(guān)鍵節(jié)點。此外，域控不可或缺，作為信息化設備的統(tǒng)一管理認證，是多數(shù)企業(yè)的必備基礎架構(gòu)。

針對域內(nèi)的滲透測試，很多人還停留在打歷史漏洞的階段，相應的安全防護還停留在打補丁上。那么全補丁環(huán)境下的域是否絕對安全?戴志斌通過從信息收集、橫向移動、權(quán)限提升三個安全維度，針對在全補丁環(huán)境下域內(nèi)的攻擊方式進行講解并相應提出其防御方案。

正如醫(yī)療行業(yè)中治療疑難雜癥依賴醫(yī)療專家，網(wǎng)絡空間高級威脅的防護和處置也依賴安全專家的經(jīng)驗與知識?；蛟S這也正是本場ATT&CK安全能力衡量論壇的意義所在，這些經(jīng)驗豐富的網(wǎng)絡安全從業(yè)者們將最前沿、最先進的知識與理念與大家分享，并試圖將對抗高級威脅的技巧逐步升級為權(quán)威的科學指南。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）