青藤云安全細述MITRE ATT＆CK框架的實施和使用方式

青藤在之前的文章——《一文看懂ATT&CK框架以及使用場景實例。關注微信公眾號：青藤云安全資訊》中詳細介紹了ATT&CK框架的概念和使用場景，相信大家對ATT&CK框架一定有了初步的了解，都知道了MITRE ATT＆CK框架是用于構建檢測和響應步驟的一個框架模板。下面筆者將介紹如何將 ATT＆CK知識庫中的內容應用于企業(yè)環(huán)境中。這也是很多安全人員所關注的內容。

但是MITRE ATT＆CK框架中有好幾百種技術，并且會隨著新技術的推出以及人工智能和機器學習系統(tǒng)的部署而逐漸擴大。那么企業(yè)應該從哪里入手？該如何確定優(yōu)先級？又該如何構建和管理已開發(fā)的檢測方案呢？

如何實施MITRE ATT&CK框架

正如《孫子兵法》中所說“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰(zhàn)必殆。”同理，許多安全計劃的第一步也是了解自己。

了解自己，建立威脅模型

首先了解公司的業(yè)務驅動因素、業(yè)務運作方式、公司資產排序、知識產權（IP）以及推動業(yè)務和企業(yè)發(fā)展的內部系統(tǒng)。了解如果這些業(yè)務資產、數據、IP或系統(tǒng)中的任何一項遭到攻擊，會產生什么樣的影響?？梢栽O想一下，如果外部攻擊者獲得了通往企業(yè)的“密道”，他們會想要什么？他們的目標是什么呢？如果知道攻擊者的重要目標是什么，那么就可以針對攻擊者為了獲取最有價值的資產可能會采用的技術，并以此采取針對性措施。

選擇檢測方案所使用的技術

面對ATT&CK那么多種技術，該如何選擇制定檢測方案所用的技術呢？查看 ATT＆CK 矩陣，可以發(fā)現其架構從左到右是按入侵時間順序排列的，與攻擊者最終采用的步驟順序密切相關。例如，最左側是初始訪問，它代表攻擊者開始對企業(yè)進行攻擊。

當企業(yè)在矩陣中向右移動時，攻擊者正在不斷推進，并根據需要使用右側的這些技術。安全人員不能只是從最左側開始建立檢測方案，然后逐步向右移動。當然，也不能隨機選擇任何技術。因此，選擇與公司的敏感數據、系統(tǒng)和資產最相關的技術才是根本。

了解不同技術的攻擊難度

企業(yè)如何進一步縮小ATT&CK技術范圍呢？由于MITRE ATT＆CK越來越受歡迎，并且很多人都愿意共享信息，因此許多開源和公共資源都可以作為參考資料。例如，有人按照攻擊難度來組織ATT＆CK矩陣，如下圖所示ATT&CK框架顏色標記的圖例是根據下表1技術分類制定的。該技術分類表示，從上到下，難度越來越高。

圖1：使用ATT＆CK導航器應用難度色碼后的ATT＆CK框架

查看數據源及子數據源

當確定要在檢測方案中實施相關檢測技術時，需要確保有適當的數據源來實施針對該技術的檢測方案。如下圖所示，對于圖片中的“注冊表中的憑據”，數據源包括“Windows注冊表”、“0rocess命令行參數”和“進程監(jiān)視”。有一些檢測候選方案需要一定的數據源要求，每個技術的步驟都有與之相關的數據源。例如T1214：

圖2：T1214的數據源

企業(yè)在使用ATT&CK之前，需要先了解一下在自己企業(yè)環(huán)境中，能夠提供不同的ATT＆CK技術的通用數據源，然后確定要實施的技術檢測方案的優(yōu)先級。

圖3：ATT&CK技術和數據源

如果企業(yè)可以集成上述三個數據源，就可以最大程度地增加可以創(chuàng)建的檢測方案。另外，為了更好地了解實現不同ATT＆CK技術所需的數據源的整體情況，下文將重點介紹了檢測方案對數據源的要求。

圖4：ATT&CK數據源優(yōu)先級（1）

圖5：ATT&CK數據源優(yōu)先級（2）

此外，ATT＆CK命名的幾乎每個高級數據源都包含子數據源（該數據源的不同形式）。重要的是要了解，可以訪問哪些數據源以及這些子數據源提供哪些內容。僅找到其中一項子數據源是遠遠不夠的。需要了解自己還缺少哪些內容，才能彌合自身在檢測功能方面的差距。

實施不同的相關技術檢測方案，例如通過Mimikatz或Rubeus進行哈希傳遞時，可以分析哪些技術與自身組織更相關，從而減少檢測特定技術所需的子數據源數量。例如，有66種不同的技術都需要文件和進程監(jiān)視數據源。

圖6：文件與進程檢測（66種技術）

但是，企業(yè)相關技術可能只需要子數據源的一個子集。

圖7：文件與進程檢測（技術變化）

例如，可以使用兩種不同的方法（Mimikatz和Rubeus）來執(zhí)行和檢測一種技術（哈希傳遞）。

圖8：Mimikatz數據映射——哈希傳遞——T1075

圖9：Rubeus數據映射——哈希傳遞——T1075

顯示子數據源子集的目的是，如果威脅情報表明某個版本與公司的環(huán)境相關性更大，則企業(yè)可以專注于這個版本，這會可以提高檢測方案的效率。

選擇合適工具進行數據整合

在了解數據源的物理來源以及事件與這些物理數據源的關系之后，需要有一個信息存儲庫及相應的查詢方式?？梢允褂脠D形數據庫，并根據數據字典和公共信息模型中的信息實現類似于以下圖表的內容：

圖10：信息存儲庫模型

數據整合工作量非常大，這個過程可以選擇一些開源工具輔助進行，例如Osquery等。OSquery可以收集環(huán)境中各主機的信息，并將數據聚合到表格中。可以使用類似SQL的查詢來訪問表格中的數據并編寫檢測方案，因此對于接觸過關系型數據庫的人來說難度并不大。

此外，OSquery可以創(chuàng)建查詢集合，映射到ATT＆CK中的目標TTP，進行威脅捕獲。安全人員可以即時創(chuàng)建和執(zhí)行在線實時查詢。有些查詢可以識別網絡攻擊者，這些查詢可以集成到安全信息和事件管理（SIEM）系統(tǒng)中來。

當然企業(yè)也可以購買一些商用的平臺，當然在購買這些工具時，需要考慮以下幾點：

①支持哪些數據源？

該工具在多大程度上支持特定數據源？該工具使用哪種子數據源來支持特定數據源？

涵蓋哪些技術，涵蓋范圍有多大？

②了解不同工具的功能和局限性

確保該工具支持自己企業(yè)環(huán)境中的特定數據源，可以檢測不同的MITRE ATT＆CK技術。

③了解該工具提供何種級別的子數據源支持

如果該工具聲稱支持Windows注冊表，它是否支持創(chuàng)建、刪除、修改和訪問注冊表鍵值？同時，企業(yè)也需要驗證、審核或測試工具供應商提供的各種功能。查看該工具是否能夠與企業(yè)現有的SIEM和安全編排、自動化和響應（SOAR）基礎結構集成在一起。確保能夠將數據推送到SIEM和SOAR基礎架構，或從中抽取數據來豐富調查結果，減少誤報。

④在檢查產品時，了解不同類型警告之間的差異

例如，可以通過工具提供一些與檢測方案有關的不同級別的信息。一些工具提供信息類型的事件，其他工具提供有關MITRE ATT＆CK技術的特定參照信息，并對有關事件進行更深入的說明。當然提供的信息越豐富，后期進行事件分類時所需的工作就越少。

寫在最后

當然，ATT&CK也不是一家獨有的秘籍，所有攻擊者與防守者一樣，都有MITRE ATT＆CK框架的訪問權限，因此攻擊者知道企業(yè)將會使用哪種數據源以及如何檢測這些數據源的。因此，企業(yè)也需要了解攻擊者采用了哪些技術來繞過自己的檢測和防御措施。例如，攻擊者可能會創(chuàng)建錯誤和誤導性信息，讓終端檢測和響應解決方案失去作用。例如，暫停一個最初創(chuàng)建的進行，并進行日志記錄，然后修改其運行時命令和參數，然后繼續(xù)執(zhí)行該進程，讓攻擊者提供的命令得以執(zhí)行而不被記錄下來。然后將命令改寫回其合法版本，騙過運行時分析工具。

因此，安全人員也需要與時俱進，了解攻擊者的“欺騙手段”，才能讓ATT&CK發(fā)揮更大價值。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。