青藤云安全：一文看懂ATT＆CK框架以及使用場(chǎng)景實(shí)例

Google趨勢(shì)顯示，這個(gè)帶著奇怪的“＆”符號(hào)的詞語(yǔ)——ATT＆CK非常受歡迎。但是，MITRE ATT＆CK?的內(nèi)涵是什么呢？為什么網(wǎng)絡(luò)安全專(zhuān)家應(yīng)該關(guān)注ATT＆CK呢？

過(guò)去12個(gè)月中，對(duì)MITRE ATT＆CK的搜索熱度顯著增長(zhǎng)

    一、ATT&CK框架背景介紹

    MITRE是美國(guó)政府資助的一家研究機(jī)構(gòu)，該公司于1958年從MIT分離出來(lái)，并參與了許多商業(yè)和最高機(jī)密項(xiàng)目。其中包括開(kāi)發(fā)FAA空中交通管制系統(tǒng)和AWACS機(jī)載雷達(dá)系統(tǒng)。MITRE在美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的資助下從事了大量的網(wǎng)絡(luò)安全實(shí)踐。

    MITRE在2013年推出了ATT&CK模型，它是根據(jù)真實(shí)的觀察數(shù)據(jù)來(lái)描述和分類(lèi)對(duì)抗行為。ATT&CK將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過(guò)幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式（STIX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）來(lái)表示。由于此列表相當(dāng)全面地呈現(xiàn)了攻擊者在攻擊網(wǎng)絡(luò)時(shí)所采用的行為，因此對(duì)于各種進(jìn)攻性和防御性度量、表示和其他機(jī)制都非常有用。

    MITRE ATT&CK的目標(biāo)是創(chuàng)建網(wǎng)絡(luò)攻擊中使用的已知對(duì)抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。在過(guò)去的一年中，MITRE  ATT&CK框架在安全行業(yè)中廣受歡迎。簡(jiǎn)單來(lái)說(shuō)，ATT&CK是MITRE提供的“對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)”框架，是由攻擊者在攻擊企業(yè)時(shí)會(huì)利用的12種戰(zhàn)術(shù)和244種企業(yè)技術(shù)組成的精選知識(shí)庫(kù)。

    ATT&CK會(huì)詳細(xì)介紹每一種技術(shù)的利用方式，以及為什么了解這項(xiàng)技術(shù)對(duì)于防御者來(lái)說(shuō)很重要。這極大地幫助了安全人員更快速地了解不熟悉的技術(shù)。例如，對(duì)于甲方企業(yè)而言，平臺(tái)和數(shù)據(jù)源非常重要，企業(yè)安全人員需要了解應(yīng)該監(jiān)控哪些系統(tǒng)以及需要從中收集哪些內(nèi)容，才能減輕或檢測(cè)由于入侵技術(shù)濫用造成的影響。這時(shí)候，ATT&CK場(chǎng)景示例就派上用場(chǎng)了。針對(duì)每種技術(shù)都有具體場(chǎng)景示例，說(shuō)明攻擊者是如何通過(guò)某一惡意軟件或行動(dòng)方案來(lái)利用該技術(shù)的。ATT&CK每個(gè)示例都采用Wikipedia的風(fēng)格，引用了許多博客和安全研究團(tuán)隊(duì)發(fā)表的文章。因此如果ATT&CK中沒(méi)有直接提供內(nèi)容，通?？梢栽谶@些鏈接的文章中找到。

    因此，現(xiàn)在很多企業(yè)都開(kāi)始研究ATT&CK，在這一過(guò)程中通常會(huì)看到企業(yè)組織采用兩種方法。首先是盤(pán)點(diǎn)其安全工具，讓安全廠商提供一份對(duì)照ATT&CK覆蓋范圍的映射圖。盡管這是最簡(jiǎn)單、最快速的方法，但供應(yīng)商提供的覆蓋范圍可能與企業(yè)實(shí)際部署工具的方式并不匹配。此外，也有些企業(yè)組織在按照戰(zhàn)術(shù)逐項(xiàng)進(jìn)行評(píng)估企業(yè)安全能力。以持久化戰(zhàn)術(shù)為例，這些技術(shù)可能非常復(fù)雜，而且，僅僅緩解其中一部分技術(shù)，并不意味著攻擊者無(wú)法以其它方式濫用這項(xiàng)技術(shù)。

    二、MITRE ATT＆CK與Kill Chain的對(duì)比

    總體來(lái)說(shuō)，ATT&CK模型是在洛克希德-馬丁公司提出的KillChain模型的基礎(chǔ)上，構(gòu)建了一套更細(xì)粒度、更易共享的知識(shí)模型和框架。目前ATT&CK模型分為三部分，分別是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK覆蓋Kill Chain模型的前兩個(gè)階段，包含了與攻擊者在嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。ATT&CK for Enterprise覆蓋Kill Chain的后五個(gè)階段，ATT&CK for Enterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術(shù)和戰(zhàn)術(shù)部分。ATT&CK for Mobile包含適用于移動(dòng)設(shè)備的戰(zhàn)術(shù)和技術(shù)。

    但是，ATT&CK的戰(zhàn)術(shù)跟洛克希德·馬丁的網(wǎng)絡(luò)殺傷鏈不一樣，并沒(méi)有遵循任何線性順序。相反，攻擊者可以隨意切換戰(zhàn)術(shù)來(lái)實(shí)現(xiàn)最終目標(biāo)。沒(méi)有一種戰(zhàn)術(shù)比其它戰(zhàn)術(shù)更重要。企業(yè)組織必須對(duì)當(dāng)前覆蓋范圍進(jìn)行分析，評(píng)估組織面臨的風(fēng)險(xiǎn)，并采用有意義措施來(lái)彌合差距。

    除了在Kill Chain戰(zhàn)術(shù)上更加細(xì)化之外，ATT＆CK還描述了可以在每個(gè)階段使用的技術(shù)，而Kill Chain則沒(méi)有這些內(nèi)容。

    三、ATT＆CK框架的使用

    從視覺(jué)角度來(lái)看，MITRE ATT＆CK矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術(shù)和技術(shù)進(jìn)行排列。攻擊戰(zhàn)術(shù)展示在矩陣頂部，每列下面列出了單獨(dú)的技術(shù)。一個(gè)攻擊序列按照戰(zhàn)術(shù)，至少包含一個(gè)技術(shù)，并且通過(guò)從左側(cè)（初始訪問(wèn)）向右側(cè)（影響）移動(dòng)，就構(gòu)建了一個(gè)完整的攻擊序列。一種戰(zhàn)術(shù)可能使用多種技術(shù)。例如，攻擊者可能同時(shí)嘗試魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊中的釣魚(yú)附件和釣魚(yú)鏈接。

ATT＆CK矩陣頂部為攻擊戰(zhàn)術(shù)，每列包含多項(xiàng)技術(shù)

    ATT＆CK戰(zhàn)術(shù)按照邏輯分布在多個(gè)矩陣中，并以“初始訪問(wèn)”戰(zhàn)術(shù)開(kāi)始。例如：發(fā)送包含惡意附件的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件就是該戰(zhàn)術(shù)下的一項(xiàng)技術(shù)。ATT＆CK中的每種技術(shù)都有唯一的ID號(hào)碼，例如，此處所使用的技術(shù)T1193。矩陣中的下一個(gè)戰(zhàn)術(shù)是“執(zhí)行”。在該戰(zhàn)術(shù)下，有“用戶(hù)執(zhí)行/ T1204”技術(shù)。該技術(shù)描述了在用戶(hù)執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣中后面的階段中，您將遇到“提升特權(quán)”、“橫向移動(dòng)”和“滲透”之類(lèi)的戰(zhàn)術(shù)。

    攻擊者無(wú)需使用矩陣頂部所示的所有12項(xiàng)戰(zhàn)術(shù)。相反，攻擊者會(huì)使用最少數(shù)量的戰(zhàn)術(shù)來(lái)實(shí)現(xiàn)其目標(biāo)，因?yàn)檫@可以提高效率并且降低被發(fā)現(xiàn)的幾率。例如，對(duì)手使用電子郵件中傳遞的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)鏈接對(duì)CEO行政助理的憑據(jù)進(jìn)行“初始訪問(wèn)”。獲得管理員的憑據(jù)后，攻擊者將在“發(fā)現(xiàn)”階段尋找遠(yuǎn)程系統(tǒng)。接下來(lái)可能是在Dropbox文件夾中尋找敏感數(shù)據(jù)，管理員對(duì)此也有訪問(wèn)權(quán)限，因此無(wú)需提升權(quán)限。然后攻擊者通過(guò)將文件從Dropbox下載到攻擊者的計(jì)算機(jī)來(lái)完成收集。

攻擊示例（攻擊中使用了不同戰(zhàn)術(shù)中的技術(shù)）

    ATT＆CK 導(dǎo)航工具是一個(gè)很有用的工具，可用于映射針對(duì)ATT＆CK技術(shù)的控制措施?？梢蕴砑硬煌膶?，來(lái)顯示特定的檢測(cè)控制措施、預(yù)防控制措施甚至觀察到的行為。導(dǎo)航工具可以在線使用，快速搭建模型或場(chǎng)景，也可以下載下來(lái)，進(jìn)行內(nèi)部設(shè)置，作為一個(gè)持久化的解決方案。

    下文，筆者將針對(duì)ATT&CK框架中的12種戰(zhàn)術(shù)的中心思想以及如何緩解和檢測(cè)戰(zhàn)術(shù)中的某些技術(shù)進(jìn)行一些解讀。

    01、初始訪問(wèn)

    盡管ATT&CK并不是按照任何線性順序排列的，但初始訪問(wèn)是攻擊者在企業(yè)環(huán)境中的立足點(diǎn)。對(duì)于企業(yè)來(lái)說(shuō)，該戰(zhàn)術(shù)是從PRE-ATT&CK到ATT&CK的理想過(guò)渡點(diǎn)。攻擊者會(huì)使用不同技術(shù)來(lái)實(shí)現(xiàn)初始訪問(wèn)技術(shù)。

    例如，假設(shè)攻擊者使用Spearphishing（魚(yú)叉式）附件。附件本身將利用某種類(lèi)型的漏洞來(lái)實(shí)現(xiàn)該級(jí)別的訪問(wèn)，例如PowerShell或其它腳本技術(shù)。如果執(zhí)行成功，可以讓攻擊者采用其它策略和技術(shù)來(lái)實(shí)現(xiàn)其最終目標(biāo)。幸運(yùn)的是，由于這些技術(shù)眾所周知，因此有許多技術(shù)和方法可用于減輕和檢測(cè)每種技術(shù)的濫用情況。

    此外，安全人員也可以將ATT&CK和CIS控制措施相結(jié)合，這將發(fā)揮更大作用。對(duì)于初始訪問(wèn)這種戰(zhàn)術(shù)，我認(rèn)為其中三項(xiàng)CIS控制措施能發(fā)揮極大作用。

    （1）控制措施4：控制管理員權(quán)限的使用。如果攻擊者可以成功使用有效帳戶(hù)或讓管理員打開(kāi)spearphishing附件，后續(xù)攻擊將變得更加輕松。

    （2）控制措施7：電子郵件和Web瀏覽器保護(hù)。由于這些技術(shù)中的許多技術(shù)都涉及電子郵件和、Web瀏覽器的使用，因此，控制措施7中的子控制措施將非常有用。

    （3）控制措施16：帳戶(hù)監(jiān)視和控制。充分了解帳戶(hù)應(yīng)執(zhí)行的操作并鎖定權(quán)限，不僅有助于限制數(shù)據(jù)泄露造成的損害，還可以發(fā)揮檢測(cè)網(wǎng)絡(luò)中有效帳戶(hù)濫用的功能。

    初始訪問(wèn)是攻擊者將在企業(yè)環(huán)境中的落腳點(diǎn)。想要盡早終止攻擊，那么“初始訪問(wèn)”將是一個(gè)很合適的起點(diǎn)。此外，如果企業(yè)已經(jīng)采用了CIS控制措施并且正在開(kāi)始采用ATT&CK的方法，這將會(huì)很有用。

    02、執(zhí)行

    在對(duì)手在進(jìn)攻中所采取的所有戰(zhàn)術(shù)中，應(yīng)用最廣泛的戰(zhàn)術(shù)莫過(guò)于“執(zhí)行”。攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時(shí)，他們都會(huì)選擇“執(zhí)行”。由于惡意軟件必須運(yùn)行，因此防御者就有機(jī)會(huì)阻止或檢測(cè)到它。但是，并非所有惡意軟件都是可以用殺毒軟件輕松查找其惡意可執(zhí)行文件。

    此外，對(duì)于命令行界面或PowerShell對(duì)于攻擊者而言非常有用。許多無(wú)文件惡意軟件都專(zhuān)門(mén)利用了其中一種技術(shù)或綜合使用這兩種技術(shù)。這些類(lèi)型的技術(shù)對(duì)攻擊者的威力在于，終端上已經(jīng)安裝了上述技術(shù)，而且很少會(huì)刪除。系統(tǒng)管理員和高級(jí)用戶(hù)每天都依賴(lài)其中一些內(nèi)置工具。ATT&CK中的緩解控制措施甚至聲明了，這些控制措施也無(wú)法刪除上述技術(shù)，只能對(duì)其進(jìn)行審計(jì)。而攻擊者所依賴(lài)的就是，終端上安裝采用了這些技術(shù)，因此要獲得對(duì)攻擊者的優(yōu)勢(shì)，只能對(duì)這些技術(shù)進(jìn)行審計(jì)，然后將它們相關(guān)數(shù)據(jù)收集到中央位置進(jìn)行審核。

    最后，應(yīng)用白名單是緩解惡意軟件攻擊時(shí)最有用的控制措施。但和任何技術(shù)一樣，這不是解決所有問(wèn)題的靈丹妙藥。但是，應(yīng)用白名單會(huì)降低攻擊者的速度，并且還可能迫使他們逃離舒適區(qū)，嘗試其它策略和技術(shù)。當(dāng)攻擊者被迫離開(kāi)自己的舒適區(qū)之外時(shí)，他們就有可能犯錯(cuò)。

    如果企業(yè)當(dāng)前正在應(yīng)用CIS關(guān)鍵安全控制措施，該戰(zhàn)術(shù)與控制措施2——已授權(quán)和未授權(quán)軟件清單非常匹配。從緩解的角度來(lái)看，企業(yè)無(wú)法防護(hù)自己未知的東西，因此，第一步是要了解自己的財(cái)產(chǎn)。要正確利用ATT&CK，企業(yè)不僅需要深入了解已安裝的應(yīng)用程序。還要清楚內(nèi)置工具或附加組件會(huì)給企業(yè)組織帶來(lái)的額外風(fēng)險(xiǎn)。在這個(gè)環(huán)節(jié)中，可以采用一些安全廠商的資產(chǎn)清點(diǎn)工具，例如青藤等主機(jī)安全廠商都能提供詳細(xì)的軟件資產(chǎn)清單。

    03、持久化

    除了勒索軟件以外，持久化是最受攻擊者追捧的技術(shù)之一。攻擊者希望盡可能減少工作量，包括減少訪問(wèn)攻擊對(duì)象的時(shí)間。即便運(yùn)維人員采取重啟、更改憑據(jù)等措施后，持久化仍然可以讓計(jì)算機(jī)再次感染病毒或維護(hù)其現(xiàn)有連接。例如注冊(cè)表Run鍵、啟動(dòng)文件夾是最常用的技術(shù)，這些注冊(cè)表鍵或文件系統(tǒng)位置在每次啟動(dòng)計(jì)算機(jī)時(shí)都會(huì)執(zhí)行。因此攻擊者在啟動(dòng)諸如Web瀏覽器或Microsoft Office等常用應(yīng)用時(shí)開(kāi)始獲得持久化。

    此外，還有使用“鏡像劫持（IFEO）注入”等技術(shù)來(lái)修改文件的打開(kāi)方式，在注冊(cè)表中創(chuàng)建一個(gè)輔助功能的注冊(cè)表項(xiàng)，并根據(jù)鏡像劫持的原理添加鍵值，實(shí)現(xiàn)系統(tǒng)在未登錄狀態(tài)下，通過(guò)快捷鍵運(yùn)行自己的程序。

    在所有ATT&CK戰(zhàn)術(shù)中，筆者認(rèn)為持久化是最應(yīng)該關(guān)注的戰(zhàn)術(shù)之一。如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除，很有可能它還會(huì)重新出現(xiàn)。這可能是因?yàn)橛新┒催€未修補(bǔ)，但也可能是因?yàn)楣粽咭呀?jīng)在此或網(wǎng)絡(luò)上的其它地方建立了持久化。與使用其它一些戰(zhàn)術(shù)和技術(shù)相比，使用持久化攻擊應(yīng)該相對(duì)容易一些。

    04、提升權(quán)限

    所有攻擊者都會(huì)對(duì)提權(quán)愛(ài)不釋手，利用系統(tǒng)漏洞達(dá)到root級(jí)訪問(wèn)權(quán)是攻擊者核心目標(biāo)之一。其中一些技術(shù)需要系統(tǒng)級(jí)的調(diào)用才能正確使用，Hooking和進(jìn)程注入就是兩個(gè)示例。該戰(zhàn)術(shù)中的許多技術(shù)都是針對(duì)被攻擊的底層操作系統(tǒng)而設(shè)計(jì)，要緩解可能很困難。

    ATT&CK提出“應(yīng)重點(diǎn)防止對(duì)抗工具在活動(dòng)鏈中的早期階段運(yùn)行，并重點(diǎn)識(shí)別隨后的惡意行為?！边@意味著需要利用縱深防御來(lái)防止感染病毒，例如終端的外圍防御或應(yīng)用白名單。對(duì)于超出ATT&CK建議范圍之外的權(quán)限升級(jí)，一種良好的防止方式是在終端上使用加固基線。例如CIS基線提供了詳細(xì)的分步指南，指導(dǎo)企業(yè)如何加固系統(tǒng)，抵御攻擊。

    應(yīng)對(duì)此類(lèi)攻擊戰(zhàn)術(shù)另一個(gè)辦法是審計(jì)日志記錄。當(dāng)攻擊者采用其中某些技術(shù)時(shí)，它們將留下蛛絲馬跡，暴露他們的目的。尤其是針對(duì)主機(jī)側(cè)的日志，如果能夠記錄服務(wù)器的所有運(yùn)維命令，進(jìn)行存證以及實(shí)時(shí)審計(jì)。例如，實(shí)時(shí)審計(jì)運(yùn)維人員在服務(wù)器上操作步驟，一旦發(fā)現(xiàn)不合規(guī)行為可以進(jìn)行實(shí)時(shí)告警，也可以作為事后審計(jì)存證。也可以將數(shù)據(jù)信息對(duì)接給SOC、態(tài)勢(shì)感知等產(chǎn)品，也可以對(duì)接給編排系統(tǒng)。

    05、防御繞過(guò)

    到目前為止，該戰(zhàn)術(shù)所擁有的技術(shù)是MITRE ATT&CK框架所述戰(zhàn)術(shù)中最多的。該戰(zhàn)術(shù)的一個(gè)有趣之處是某些惡意軟件，例如勒索軟件，對(duì)防御繞過(guò)毫不在乎。他們的唯一目標(biāo)是在設(shè)備上執(zhí)行一次，然后盡快被發(fā)現(xiàn)。

    一些技術(shù)可以騙過(guò)防病毒（AV）產(chǎn)品，讓這些防病毒產(chǎn)品根本無(wú)法對(duì)其進(jìn)行檢查，或者繞過(guò)應(yīng)用白名單技術(shù)。例如，禁用安全工具、文件刪除和修改注冊(cè)表都是可以利用的技術(shù)。當(dāng)然防御者可以通過(guò)監(jiān)視終端上的更改并收集關(guān)鍵系統(tǒng)的日志將會(huì)讓入侵無(wú)處遁形。

    06、憑據(jù)訪問(wèn)

    毫無(wú)疑問(wèn)，攻擊者最想要的憑據(jù)，尤其是管理憑據(jù)。如果攻擊者可以登錄，為什么要用0Day或冒險(xiǎn)采用漏洞入侵呢？這就猶如小偷進(jìn)入房子，如果能夠找到鑰匙開(kāi)門(mén)，沒(méi)人會(huì)愿意砸破窗戶(hù)方式進(jìn)入。

    任何攻擊者進(jìn)入企業(yè)都希望保持一定程度的隱身。他們將希望竊取盡可能多的憑據(jù)。他們當(dāng)然可以暴力破解，但這種攻擊方式噪聲太大了。還有許多竊取哈希密碼及哈希傳遞或離線破解哈希密碼的示例。最后，攻擊者最喜歡方式是竊取明文密碼。明文密碼可能存儲(chǔ)在明文文件、數(shù)據(jù)庫(kù)甚至注冊(cè)表中。攻擊者入侵一個(gè)系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見(jiàn)。

    應(yīng)對(duì)憑據(jù)訪問(wèn)最簡(jiǎn)單辦法就是采用復(fù)雜密碼。建議使用大小寫(xiě)、數(shù)字和特殊字符組合，目標(biāo)是讓攻擊者難以破解密碼。最后一步就是監(jiān)視有效帳戶(hù)的使用情況。在很多情況下，是通過(guò)有效賬戶(hù)發(fā)生的數(shù)據(jù)泄露。

    當(dāng)然最穩(wěn)妥辦法辦法就是啟用多因素驗(yàn)證。即使存在針對(duì)雙重驗(yàn)證的攻擊，有雙重驗(yàn)證（2FA）總比沒(méi)有好。通過(guò)啟用多因素驗(yàn)證，可以確保破解密碼的攻擊者在訪問(wèn)環(huán)境中的關(guān)鍵數(shù)據(jù)時(shí)，仍會(huì)遇到另一個(gè)障礙。

    07、發(fā)現(xiàn)

    “發(fā)現(xiàn)”戰(zhàn)術(shù)是一種難以防御的策略。它與洛克希德·馬丁網(wǎng)絡(luò)Kill Chain的偵察階段有很多相似之處。組織機(jī)構(gòu)要正常運(yùn)營(yíng)業(yè)務(wù)，肯定會(huì)暴露某些特定方面的內(nèi)容。

    最常用的是應(yīng)用白名單，可以解決大多數(shù)惡意軟件。此外，欺騙防御也是一個(gè)很好方法。放置一些虛假信息讓攻擊者發(fā)現(xiàn)，進(jìn)而檢測(cè)到對(duì)手的活動(dòng)。通過(guò)監(jiān)視，可以跟蹤用戶(hù)是否正在訪問(wèn)不應(yīng)訪問(wèn)的文檔。

    由于用戶(hù)通常在日常工作中執(zhí)行各種技術(shù)中所述的許多操作，因此，從各種干擾中篩選出惡意活動(dòng)可能非常困難。理解哪些操作屬于正常現(xiàn)象，并為預(yù)期行為設(shè)定基準(zhǔn)時(shí)，會(huì)在嘗試使用這一戰(zhàn)術(shù)時(shí)有所幫助。

    08、橫向移動(dòng)

    攻擊者在利用單個(gè)系統(tǒng)漏洞后，通常會(huì)嘗試在網(wǎng)絡(luò)內(nèi)進(jìn)行橫向移動(dòng)。甚至通常一次只針對(duì)單個(gè)系統(tǒng)的勒索軟件也試圖在網(wǎng)絡(luò)中移動(dòng)以尋找其它攻擊目標(biāo)。攻擊者通常會(huì)先尋找一個(gè)落腳點(diǎn)，然后開(kāi)始在各個(gè)系統(tǒng)中移動(dòng)，尋找更高的訪問(wèn)權(quán)限，以期達(dá)成最終目標(biāo)。

    在緩解和檢測(cè)對(duì)該特定技術(shù)的濫用方面，適當(dāng)?shù)木W(wǎng)絡(luò)分段可以在很大程度上緩解風(fēng)險(xiǎn)。將關(guān)鍵系統(tǒng)放置在一個(gè)子網(wǎng)中，將通用用戶(hù)放置在另一個(gè)子網(wǎng)中，將系統(tǒng)管理員放置在第三個(gè)子網(wǎng)中，有助于快速隔離較小網(wǎng)絡(luò)中的橫向移動(dòng)。在終端和交換機(jī)級(jí)別都設(shè)置防火墻也將有助于限制橫向移動(dòng)。

    遵循CIS 控制措施 14——基于需要了解受控訪問(wèn)是一個(gè)很好的切入點(diǎn)。除此之外，還應(yīng)遵循控制措施4——控制管理員權(quán)限的使用。攻擊者尋求的是管理員憑據(jù)，因此，嚴(yán)格控制管理員憑據(jù)的使用方式和位置，將會(huì)提高攻擊者竊取管理員憑據(jù)的難度。此控制措施的另一部分是記錄管理憑據(jù)的使用情況。即使管理員每天都在使用其憑據(jù)，但他們應(yīng)該遵循其常規(guī)模式。發(fā)現(xiàn)異常行為可能表明攻擊者正在濫用有效憑據(jù)。

    除了監(jiān)視身份驗(yàn)證日志外，審計(jì)日志也很重要。域控制器上的事件ID 4769表示，Kerberos黃金票證密碼已重置兩次，這可能表明存在票據(jù)傳遞攻擊?；蛘撸绻粽邽E用遠(yuǎn)程桌面協(xié)議，審計(jì)日志將提供有關(guān)攻擊者計(jì)算機(jī)的信息。

    09、收集

    ATT&CK “收集”戰(zhàn)術(shù)概述了攻擊者為了發(fā)現(xiàn)和收集實(shí)現(xiàn)目標(biāo)所需的數(shù)據(jù)而采取的技術(shù)。該戰(zhàn)術(shù)中列出的許多技術(shù)都沒(méi)有關(guān)于如何減輕這些技術(shù)的實(shí)際指導(dǎo)。實(shí)際上，大多數(shù)都是含糊其辭，稱(chēng)使用應(yīng)用白名單，或者建議在生命周期的早期階段阻止攻擊者。

    但是，企業(yè)可以使用該戰(zhàn)術(shù)中的各種技術(shù)，了解更多有關(guān)惡意軟件是如何處理組織機(jī)構(gòu)中數(shù)據(jù)的信息。攻擊者會(huì)嘗試竊取有關(guān)當(dāng)前用戶(hù)的信息，包括屏幕上有什么內(nèi)容、用戶(hù)在輸入什么內(nèi)容、用戶(hù)討論的內(nèi)容以及用戶(hù)的外貌特征。除此之外，他們還會(huì)尋求本地系統(tǒng)上的敏感數(shù)據(jù)以及網(wǎng)絡(luò)上其它地方的數(shù)據(jù)。

    了解企業(yè)存儲(chǔ)敏感數(shù)據(jù)的位置，并采用適當(dāng)?shù)目刂拼胧┘右员Ｗo(hù)。這個(gè)過(guò)程遵循CIS控制措施14——基于需要了解受控訪問(wèn),可以幫助防止數(shù)據(jù)落入敵手。對(duì)于極其敏感的數(shù)據(jù)，可查看更多的日志記錄，了解哪些人正在訪問(wèn)該數(shù)據(jù)以及他們正在使用該數(shù)據(jù)做什么。

    10、命令和控制

    現(xiàn)在大多數(shù)惡意軟件都有一定程度的命令和控制權(quán)。黑客可以通過(guò)命令和控制權(quán)來(lái)滲透數(shù)據(jù)、告訴惡意軟件下一步執(zhí)行什么指令。對(duì)于每種命令和控制，攻擊者都是從遠(yuǎn)程位置訪問(wèn)網(wǎng)絡(luò)。因此了解網(wǎng)絡(luò)上發(fā)生的事情對(duì)于解決這些技術(shù)至關(guān)重要。

    在許多情況下，正確配置防火墻可以起到一定作用。一些惡意軟件家族會(huì)試圖在不常見(jiàn)的網(wǎng)絡(luò)端口上隱藏流量，也有一些惡意軟件會(huì)使用80和443等端口來(lái)嘗試混入網(wǎng)絡(luò)噪音中。在這種情況下，企業(yè)需要使用邊界防火墻來(lái)提供威脅情報(bào)數(shù)據(jù)，識(shí)別惡意URL和IP地址。雖然這不會(huì)阻止所有攻擊，但有助于過(guò)濾一些常見(jiàn)的惡意軟件。

    如果邊界防火墻無(wú)法提供威脅情報(bào)，則應(yīng)將防火墻或邊界日志發(fā)送到日志服務(wù)處理中心，安全引擎服務(wù)器可以對(duì)該級(jí)別數(shù)據(jù)進(jìn)行深入分析。例如Splunk等工具為識(shí)別惡意命令和控制流量提供了良好的方案。

    11、數(shù)據(jù)滲漏

    攻擊者獲得訪問(wèn)權(quán)限后，會(huì)四處搜尋相關(guān)數(shù)據(jù)，然后開(kāi)始著手?jǐn)?shù)據(jù)滲透。但并不是所有惡意軟件都能到達(dá)這個(gè)階段。例如，勒索軟件通常對(duì)數(shù)據(jù)逐漸滲出沒(méi)有興趣。與“收集”戰(zhàn)術(shù)一樣，該戰(zhàn)術(shù)對(duì)于如何緩解攻擊者獲取公司數(shù)據(jù)，幾乎沒(méi)有提供指導(dǎo)意見(jiàn)。

    在數(shù)據(jù)通過(guò)網(wǎng)絡(luò)滲漏的情況下，建立網(wǎng)絡(luò)入侵檢測(cè)或預(yù)防系統(tǒng)有助于識(shí)別何時(shí)傳輸數(shù)據(jù)，尤其是在攻擊者竊取大量數(shù)據(jù)（如客戶(hù)數(shù)據(jù)庫(kù)）的情況下。此外，盡管DLP成本高昂，程序復(fù)雜，但可以確定敏感數(shù)據(jù)何時(shí)會(huì)泄露出去。IDS、IPS和DLP都不是100%準(zhǔn)確的，所以部署一個(gè)縱深防御體系結(jié)構(gòu)以確保機(jī)密數(shù)據(jù)保持機(jī)密。

    如果企業(yè)組織機(jī)構(gòu)要處理高度敏感的數(shù)據(jù)，那么應(yīng)重點(diǎn)關(guān)注限制外部驅(qū)動(dòng)器的訪問(wèn)權(quán)限，例如USB接口，限制其對(duì)這些文件的訪問(wèn)權(quán)限，即可禁用他們裝載外部驅(qū)動(dòng)器的功能。

    要正確地解決這個(gè)戰(zhàn)術(shù)，首先需要知道組織機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)所在的位置。如果這些數(shù)據(jù)還在，可以按照CIS 控制措施14——基于需要了解受控訪問(wèn)，來(lái)確保數(shù)據(jù)安全。之后，按照CIS控制措施13——數(shù)據(jù)保護(hù)中的說(shuō)明了解如何監(jiān)視試圖訪問(wèn)數(shù)據(jù)的用戶(hù)。

    12、影響

    攻擊者試圖操縱、中斷或破壞企業(yè)的系統(tǒng)和數(shù)據(jù)。用于影響的技術(shù)包括破壞或篡改數(shù)據(jù)。在某些情況下，業(yè)務(wù)流程可能看起來(lái)很好，但可能已經(jīng)更改為有利于對(duì)手的目標(biāo)。這些技術(shù)可能被對(duì)手用來(lái)完成他們的最終目標(biāo)，或者為機(jī)密泄露提供掩護(hù)。

    例如攻擊者可能破壞特定系統(tǒng)數(shù)據(jù)和文件，從而中斷系統(tǒng)服務(wù)和網(wǎng)絡(luò)資源的可用性。數(shù)據(jù)銷(xiāo)毀可能會(huì)通過(guò)覆蓋本地或遠(yuǎn)程驅(qū)動(dòng)器上的文件或數(shù)據(jù)使存儲(chǔ)的數(shù)據(jù)無(wú)法恢復(fù)。針對(duì)這類(lèi)破壞可以考慮實(shí)施IT災(zāi)難恢復(fù)計(jì)劃，其中包含用于進(jìn)行可用于還原組織數(shù)據(jù)的常規(guī)數(shù)據(jù)備份的過(guò)程。

    四、ATT&CK使用場(chǎng)景

    ATT＆CK在各種日常環(huán)境中都很有價(jià)值。開(kāi)展任何防御活動(dòng)時(shí)，可以應(yīng)用ATT＆CK分類(lèi)法，參考攻擊者及其行為。ATT＆CK不僅為網(wǎng)絡(luò)防御者提供通用技術(shù)庫(kù)，還為滲透測(cè)試和紅隊(duì)提供了基礎(chǔ)。提到對(duì)抗行為時(shí)，這為防御者和紅隊(duì)成員提供了通用語(yǔ)言。企業(yè)組織可以使用多種方式來(lái)使用MITRE ATT＆CK。下文是一些常見(jiàn)的主要場(chǎng)景：

    （1）對(duì)抗模擬

    ATT＆CK可用于創(chuàng)建對(duì)抗性模擬場(chǎng)景，測(cè)試和驗(yàn)證針對(duì)常見(jiàn)對(duì)抗技術(shù)的防御方案。

    （2）紅隊(duì)/滲透測(cè)試活動(dòng)

    紅隊(duì)、紫隊(duì)和滲透測(cè)試活動(dòng)的規(guī)劃、執(zhí)行和報(bào)告可以使用ATT＆CK，以便防御者和報(bào)告接收者以及其內(nèi)部之間有一個(gè)通用語(yǔ)言。

    （3）制定行為分析方案

    ATT＆CK可用于構(gòu)建和測(cè)試行為分析方案，以檢測(cè)環(huán)境中的對(duì)抗行為。

    （4）防御差距評(píng)估

    ATT＆CK可以用作以行為為核心的常見(jiàn)對(duì)抗模型，以評(píng)估組織企業(yè)內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。在研究MITRE ATT＆CK時(shí)，大多數(shù)安全團(tuán)隊(duì)都傾向于為Enterprise矩陣中的每種技術(shù)嘗試開(kāi)發(fā)某種檢測(cè)或預(yù)防控制措施。雖然這并不是一個(gè)壞主意，但是ATT＆CK矩陣中的技術(shù)通?？梢酝ㄟ^(guò)多種方式執(zhí)行。因此，阻止或檢測(cè)執(zhí)行這些技術(shù)的一種方法并不一定意味著涵蓋了執(zhí)行該技術(shù)的所有可能方法。由于某種工具阻止了用另一種形式來(lái)采用這種技術(shù)，而組織機(jī)構(gòu)已經(jīng)適當(dāng)?shù)夭捎昧诉@種技術(shù)，這可能導(dǎo)致產(chǎn)生一種虛假的安全感。但是，攻擊者仍然可以成功地采用其他方式來(lái)采用該技術(shù)，但防御者卻沒(méi)有任何檢測(cè)或預(yù)防措施。

    （5）SOC成熟度評(píng)估

    ATT＆CK可用作一種度量，確定SOC在檢測(cè)、分析和響應(yīng)入侵方面的有效性。SOC團(tuán)隊(duì)可以參考ATT＆CK已檢測(cè)到或未涵蓋的技術(shù)和戰(zhàn)術(shù)。這有助于了解防御優(yōu)勢(shì)和劣勢(shì)在哪里，并驗(yàn)證緩解和檢測(cè)控制措施，并可以發(fā)現(xiàn)配置錯(cuò)誤和其他操作問(wèn)題。

    （6）網(wǎng)絡(luò)威脅情報(bào)收集

    ATT＆CK對(duì)于網(wǎng)絡(luò)威脅情報(bào)很有用，因?yàn)锳TT＆CK是在用一種標(biāo)準(zhǔn)方式描述對(duì)抗行為?？梢愿鶕?jù)攻擊者已知利用的ATT＆CK中的技術(shù)和戰(zhàn)術(shù)來(lái)跟蹤攻擊主體。這為防御者提供了一個(gè)路線圖，讓他們可以對(duì)照他們的操作控制措施，查看對(duì)某些攻擊主體而言，他們?cè)谀男┓矫嬗腥觞c(diǎn)，在哪些方面有優(yōu)勢(shì)。針對(duì)特定的攻擊主體，創(chuàng)建MITRE ATT＆CK 導(dǎo)航工具內(nèi)容，是一種觀察環(huán)境中對(duì)這些攻擊主體或團(tuán)體的優(yōu)勢(shì)和劣勢(shì)的好方法。ATT＆CK還可以為STIX 和 TAXII 2.0提供內(nèi)容，從而可以很容易地將支持這些技術(shù)的現(xiàn)有工具納入中。

    ATT＆CK提供了將近70個(gè)攻擊主體和團(tuán)體的詳細(xì)信息，包括根據(jù)開(kāi)放源代碼報(bào)告顯示，已知他們所使用的技術(shù)和工具。

    使用ATT＆CK的通用語(yǔ)言，為情報(bào)創(chuàng)建過(guò)程提供了便利。如前所述，這適用于攻擊主體和團(tuán)體，但也適用于從SOC或事件響應(yīng)活動(dòng)中觀察到的行為。也可以通過(guò)ATT＆CK介紹惡意軟件的行為。任何支持ATT＆CK的威脅情報(bào)工具都可以簡(jiǎn)化情報(bào)創(chuàng)建過(guò)程。將ATT＆CK應(yīng)用于任何提及的行為的商業(yè)和開(kāi)源情報(bào)也有助于保持情報(bào)的一致性。當(dāng)各方圍繞對(duì)抗行為使用相同的語(yǔ)言時(shí)，將情報(bào)傳播到運(yùn)維人員或管理人員變得容易得多了。如果運(yùn)營(yíng)人員確切地知道什么是強(qiáng)制驗(yàn)證，并且在情報(bào)報(bào)告中看到了這一信息，則他們可能確切地知道應(yīng)該對(duì)該情報(bào)采取什么措施或已經(jīng)采取了哪些控制措施。以這種方式，實(shí)現(xiàn)ATT＆CK對(duì)情報(bào)產(chǎn)品介紹的標(biāo)準(zhǔn)化可以大大提高效率并確保達(dá)成共識(shí)。

    寫(xiě)在最后

    青藤云安全表示，MITRE為大家提供了ATT＆CK及其相關(guān)工具和資源，為安全界做出了重大貢獻(xiàn)。它的出現(xiàn)恰合時(shí)宜。由于攻擊者正在尋找更隱蔽的方法并避免傳統(tǒng)安全工具的檢測(cè)，因此防御者不得不改變檢測(cè)和防御方式。ATT＆CK改變了我們對(duì)IP地址和域名等低級(jí)指標(biāo)的認(rèn)知，并讓我們從行為的視角來(lái)看待攻擊者和防御措施。與過(guò)去“一勞永逸”的工具相比，檢測(cè)和預(yù)防行為之路要困難得多。此外，隨著防御者帶來(lái)新的功能，攻擊者肯定會(huì)作出相應(yīng)調(diào)整。ATT＆CK提供了一種方法來(lái)描述他們開(kāi)發(fā)的新技術(shù)，并希望防御者能夠緊隨技術(shù)發(fā)展的新步伐。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。