青藤云安全細(xì)述MITRE ATT＆CK框架的實施和使用方式

青藤在之前的文章——《一文看懂ATT&CK框架以及使用場景實例。關(guān)注微信公眾號：青藤云安全資訊》中詳細(xì)介紹了ATT&CK框架的概念和使用場景，相信大家對ATT&CK框架一定有了初步的了解，都知道了MITRE ATT＆CK框架是用于構(gòu)建檢測和響應(yīng)步驟的一個框架模板。下面筆者將介紹如何將 ATT＆CK知識庫中的內(nèi)容應(yīng)用于企業(yè)環(huán)境中。這也是很多安全人員所關(guān)注的內(nèi)容。

但是MITRE ATT＆CK框架中有好幾百種技術(shù)，并且會隨著新技術(shù)的推出以及人工智能和機器學(xué)習(xí)系統(tǒng)的部署而逐漸擴大。那么企業(yè)應(yīng)該從哪里入手？該如何確定優(yōu)先級？又該如何構(gòu)建和管理已開發(fā)的檢測方案呢？

如何實施MITRE ATT&CK框架

正如《孫子兵法》中所說“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼，不知己，每戰(zhàn)必殆。”同理，許多安全計劃的第一步也是了解自己。

了解自己，建立威脅模型

首先了解公司的業(yè)務(wù)驅(qū)動因素、業(yè)務(wù)運作方式、公司資產(chǎn)排序、知識產(chǎn)權(quán)（IP）以及推動業(yè)務(wù)和企業(yè)發(fā)展的內(nèi)部系統(tǒng)。了解如果這些業(yè)務(wù)資產(chǎn)、數(shù)據(jù)、IP或系統(tǒng)中的任何一項遭到攻擊，會產(chǎn)生什么樣的影響?？梢栽O(shè)想一下，如果外部攻擊者獲得了通往企業(yè)的“密道”，他們會想要什么？他們的目標(biāo)是什么呢？如果知道攻擊者的重要目標(biāo)是什么，那么就可以針對攻擊者為了獲取最有價值的資產(chǎn)可能會采用的技術(shù)，并以此采取針對性措施。

選擇檢測方案所使用的技術(shù)

面對ATT&CK那么多種技術(shù)，該如何選擇制定檢測方案所用的技術(shù)呢？查看 ATT＆CK 矩陣，可以發(fā)現(xiàn)其架構(gòu)從左到右是按入侵時間順序排列的，與攻擊者最終采用的步驟順序密切相關(guān)。例如，最左側(cè)是初始訪問，它代表攻擊者開始對企業(yè)進(jìn)行攻擊。

當(dāng)企業(yè)在矩陣中向右移動時，攻擊者正在不斷推進(jìn)，并根據(jù)需要使用右側(cè)的這些技術(shù)。安全人員不能只是從最左側(cè)開始建立檢測方案，然后逐步向右移動。當(dāng)然，也不能隨機選擇任何技術(shù)。因此，選擇與公司的敏感數(shù)據(jù)、系統(tǒng)和資產(chǎn)最相關(guān)的技術(shù)才是根本。

了解不同技術(shù)的攻擊難度

企業(yè)如何進(jìn)一步縮小ATT&CK技術(shù)范圍呢？由于MITRE ATT＆CK越來越受歡迎，并且很多人都愿意共享信息，因此許多開源和公共資源都可以作為參考資料。例如，有人按照攻擊難度來組織ATT＆CK矩陣，如下圖所示ATT&CK框架顏色標(biāo)記的圖例是根據(jù)下表1技術(shù)分類制定的。該技術(shù)分類表示，從上到下，難度越來越高。

圖1：使用ATT＆CK導(dǎo)航器應(yīng)用難度色碼后的ATT＆CK框架

查看數(shù)據(jù)源及子數(shù)據(jù)源

當(dāng)確定要在檢測方案中實施相關(guān)檢測技術(shù)時，需要確保有適當(dāng)?shù)臄?shù)據(jù)源來實施針對該技術(shù)的檢測方案。如下圖所示，對于圖片中的“注冊表中的憑據(jù)”，數(shù)據(jù)源包括“Windows注冊表”、“0rocess命令行參數(shù)”和“進(jìn)程監(jiān)視”。有一些檢測候選方案需要一定的數(shù)據(jù)源要求，每個技術(shù)的步驟都有與之相關(guān)的數(shù)據(jù)源。例如T1214：

圖2：T1214的數(shù)據(jù)源

企業(yè)在使用ATT&CK之前，需要先了解一下在自己企業(yè)環(huán)境中，能夠提供不同的ATT＆CK技術(shù)的通用數(shù)據(jù)源，然后確定要實施的技術(shù)檢測方案的優(yōu)先級。

圖3：ATT&CK技術(shù)和數(shù)據(jù)源

如果企業(yè)可以集成上述三個數(shù)據(jù)源，就可以最大程度地增加可以創(chuàng)建的檢測方案。另外，為了更好地了解實現(xiàn)不同ATT＆CK技術(shù)所需的數(shù)據(jù)源的整體情況，下文將重點介紹了檢測方案對數(shù)據(jù)源的要求。

圖4：ATT&CK數(shù)據(jù)源優(yōu)先級（1）

圖5：ATT&CK數(shù)據(jù)源優(yōu)先級（2）

此外，ATT＆CK命名的幾乎每個高級數(shù)據(jù)源都包含子數(shù)據(jù)源（該數(shù)據(jù)源的不同形式）。重要的是要了解，可以訪問哪些數(shù)據(jù)源以及這些子數(shù)據(jù)源提供哪些內(nèi)容。僅找到其中一項子數(shù)據(jù)源是遠(yuǎn)遠(yuǎn)不夠的。需要了解自己還缺少哪些內(nèi)容，才能彌合自身在檢測功能方面的差距。

實施不同的相關(guān)技術(shù)檢測方案，例如通過Mimikatz或Rubeus進(jìn)行哈希傳遞時，可以分析哪些技術(shù)與自身組織更相關(guān)，從而減少檢測特定技術(shù)所需的子數(shù)據(jù)源數(shù)量。例如，有66種不同的技術(shù)都需要文件和進(jìn)程監(jiān)視數(shù)據(jù)源。

圖6：文件與進(jìn)程檢測（66種技術(shù)）

但是，企業(yè)相關(guān)技術(shù)可能只需要子數(shù)據(jù)源的一個子集。

圖7：文件與進(jìn)程檢測（技術(shù)變化）

例如，可以使用兩種不同的方法（Mimikatz和Rubeus）來執(zhí)行和檢測一種技術(shù)（哈希傳遞）。

圖8：Mimikatz數(shù)據(jù)映射——哈希傳遞——T1075

圖9：Rubeus數(shù)據(jù)映射——哈希傳遞——T1075

顯示子數(shù)據(jù)源子集的目的是，如果威脅情報表明某個版本與公司的環(huán)境相關(guān)性更大，則企業(yè)可以專注于這個版本，這會可以提高檢測方案的效率。

選擇合適工具進(jìn)行數(shù)據(jù)整合

在了解數(shù)據(jù)源的物理來源以及事件與這些物理數(shù)據(jù)源的關(guān)系之后，需要有一個信息存儲庫及相應(yīng)的查詢方式?？梢允褂脠D形數(shù)據(jù)庫，并根據(jù)數(shù)據(jù)字典和公共信息模型中的信息實現(xiàn)類似于以下圖表的內(nèi)容：

圖10：信息存儲庫模型

數(shù)據(jù)整合工作量非常大，這個過程可以選擇一些開源工具輔助進(jìn)行，例如Osquery等。OSquery可以收集環(huán)境中各主機的信息，并將數(shù)據(jù)聚合到表格中。可以使用類似SQL的查詢來訪問表格中的數(shù)據(jù)并編寫檢測方案，因此對于接觸過關(guān)系型數(shù)據(jù)庫的人來說難度并不大。

此外，OSquery可以創(chuàng)建查詢集合，映射到ATT＆CK中的目標(biāo)TTP，進(jìn)行威脅捕獲。安全人員可以即時創(chuàng)建和執(zhí)行在線實時查詢。有些查詢可以識別網(wǎng)絡(luò)攻擊者，這些查詢可以集成到安全信息和事件管理（SIEM）系統(tǒng)中來。

當(dāng)然企業(yè)也可以購買一些商用的平臺，當(dāng)然在購買這些工具時，需要考慮以下幾點：

①支持哪些數(shù)據(jù)源？

該工具在多大程度上支持特定數(shù)據(jù)源？該工具使用哪種子數(shù)據(jù)源來支持特定數(shù)據(jù)源？

涵蓋哪些技術(shù)，涵蓋范圍有多大？

②了解不同工具的功能和局限性

確保該工具支持自己企業(yè)環(huán)境中的特定數(shù)據(jù)源，可以檢測不同的MITRE ATT＆CK技術(shù)。

③了解該工具提供何種級別的子數(shù)據(jù)源支持

如果該工具聲稱支持Windows注冊表，它是否支持創(chuàng)建、刪除、修改和訪問注冊表鍵值？同時，企業(yè)也需要驗證、審核或測試工具供應(yīng)商提供的各種功能。查看該工具是否能夠與企業(yè)現(xiàn)有的SIEM和安全編排、自動化和響應(yīng)（SOAR）基礎(chǔ)結(jié)構(gòu)集成在一起。確保能夠?qū)?shù)據(jù)推送到SIEM和SOAR基礎(chǔ)架構(gòu)，或從中抽取數(shù)據(jù)來豐富調(diào)查結(jié)果，減少誤報。

④在檢查產(chǎn)品時，了解不同類型警告之間的差異

例如，可以通過工具提供一些與檢測方案有關(guān)的不同級別的信息。一些工具提供信息類型的事件，其他工具提供有關(guān)MITRE ATT＆CK技術(shù)的特定參照信息，并對有關(guān)事件進(jìn)行更深入的說明。當(dāng)然提供的信息越豐富，后期進(jìn)行事件分類時所需的工作就越少。

寫在最后

當(dāng)然，ATT&CK也不是一家獨有的秘籍，所有攻擊者與防守者一樣，都有MITRE ATT＆CK框架的訪問權(quán)限，因此攻擊者知道企業(yè)將會使用哪種數(shù)據(jù)源以及如何檢測這些數(shù)據(jù)源的。因此，企業(yè)也需要了解攻擊者采用了哪些技術(shù)來繞過自己的檢測和防御措施。例如，攻擊者可能會創(chuàng)建錯誤和誤導(dǎo)性信息，讓終端檢測和響應(yīng)解決方案失去作用。例如，暫停一個最初創(chuàng)建的進(jìn)行，并進(jìn)行日志記錄，然后修改其運行時命令和參數(shù)，然后繼續(xù)執(zhí)行該進(jìn)程，讓攻擊者提供的命令得以執(zhí)行而不被記錄下來。然后將命令改寫回其合法版本，騙過運行時分析工具。

因此，安全人員也需要與時俱進(jìn)，了解攻擊者的“欺騙手段”，才能讓ATT&CK發(fā)揮更大價值。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。