青藤云安全細(xì)述基于ATT&CK框架的紅藍(lán)對抗，如何有效提升檢測能力

在繼前面兩篇有關(guān)MITRE ATT&CK的文章——《一文看懂ATT&CK框架以及使用場景實例》和《細(xì)述MITRE ATT&CK框架的實施和使用方式》之后，相信大家對于ATT&CK框架有了一個整體的了解。今天，我們將主要介紹如何基于ATT&CK框架來制定紅藍(lán)對抗方案，提升企業(yè)檢測能力。

在此之前，先讓我們通過下文一個真實的攻擊場景來了解一下攻擊者是如何進(jìn)行攻擊的。

一個真實的攻擊場景

攻擊者首先是對其最近感興趣的一個事件發(fā)送了一個釣魚郵件。攻擊載荷(payload)是一個.zip文件，其中包含了一個誘餌PDF文件和一個惡意可執(zhí)行文件，該惡意文件使用系統(tǒng)上已經(jīng)安裝的Acrobat Reader來進(jìn)行偽裝。

運(yùn)行時，可執(zhí)行文件將下載第二階段使用的遠(yuǎn)程訪問工具(RAT)有效負(fù)荷，讓遠(yuǎn)程操作員可以訪問受害計算機(jī)，并可讓遠(yuǎn)程操作員在網(wǎng)絡(luò)中獲得一個初始訪問點。然后，攻擊者會生成用于“命令控制”的新域名，并通過定期更改自己的網(wǎng)絡(luò)用戶名，將這些域發(fā)送到受感染網(wǎng)絡(luò)上的遠(yuǎn)程訪問工具(RAT)。用于“命令控制”的域和IP地址是臨時的，并且攻擊者每隔幾天就會對此進(jìn)行更改。攻擊者通過安裝Windows服務(wù)——其名稱很容易被計算機(jī)所有者認(rèn)為是合法的系統(tǒng)服務(wù)名稱，從而看似合法地保留在受害計算機(jī)上。在部署該惡意軟件之前，攻擊者可能已經(jīng)在各種防病毒(AV)產(chǎn)品上進(jìn)行了測試，以確保它與任何現(xiàn)有或已知的惡意軟件簽名都不匹配。

為了與受害主機(jī)進(jìn)行交互，攻擊者使用RAT啟動Windows命令提示符，例如cmd.exe。然后，攻擊者使用受感染計算機(jī)上已有的工具來了解有關(guān)受害者系統(tǒng)和周圍網(wǎng)絡(luò)的更多信息，以便提高其在其它系統(tǒng)上的訪問級別，并朝著實現(xiàn)其目標(biāo)進(jìn)一步邁進(jìn)。

更具體地說，攻擊者使用內(nèi)置的Windows工具或合法的第三方管理工具來發(fā)現(xiàn)內(nèi)部主機(jī)和網(wǎng)絡(luò)資源，并發(fā)現(xiàn)諸如帳戶、權(quán)限組、進(jìn)程、服務(wù)、網(wǎng)絡(luò)配置和周圍的網(wǎng)絡(luò)資源之類的信息。然后，遠(yuǎn)程操作員可以使用Invoke-Mimikatz來批量捕獲緩存的身份驗證憑據(jù)。在收集到足夠的信息之后，攻擊者可能會進(jìn)行橫向移動，從一臺計算機(jī)移動到另一臺計算機(jī)，這通?？梢允褂糜成涞腤indows管理員共享和遠(yuǎn)程Windows(服務(wù)器消息塊[SMB])文件副本以及遠(yuǎn)程計劃任務(wù)來實現(xiàn)。隨著訪問權(quán)限的增加，攻擊者會在網(wǎng)絡(luò)中找到感興趣的文檔。然后，攻擊者會將這些文檔存儲在一個中央位置，使用RAR等程序通過遠(yuǎn)程命令行shell對文件進(jìn)行壓縮和加密，最后，通過HTTP會話，將文件從受害者主機(jī)中滲出，然后在其方便使用的遠(yuǎn)程計算機(jī)上分析和使用這些信息。

傳統(tǒng)檢測方案無法解決上述攻擊場景

現(xiàn)有的檢測方案難以檢測到上述情景中所介紹的APT攻擊。大多數(shù)防病毒應(yīng)用程序可能無法可靠地檢測到自定義工具，因為攻擊者在使用這些工具之前，已經(jīng)對其進(jìn)行了測試，甚至可能包含一些混淆技術(shù)，以便繞開其它類型的惡意軟件檢測。此外，惡意遠(yuǎn)程操作員還能夠在他們所攻擊的系統(tǒng)上使用合法功能，逃避檢測。而且許多檢測工具無法收集到足夠的數(shù)據(jù)，來發(fā)現(xiàn)此類惡意使用合法系統(tǒng)的行為。

當(dāng)前其它的網(wǎng)絡(luò)安全方法，例如威脅情報信息共享，可能對于檢測攻擊者基礎(chǔ)設(shè)施也無濟(jì)于事，因為攻擊者指標(biāo)可能變化太快。典型的網(wǎng)絡(luò)流量檢查也將于事無補(bǔ)，因為APT的流量(例如上述示例中所述的流量)已通過有效的SSL加密。SSL攔截可能有用，但是要將惡意行為從善意網(wǎng)絡(luò)行為中區(qū)分出來，實在太困難了。

基于ATT&CK的紅藍(lán)對抗是如何提升檢測能力的?

自2012年MITRE進(jìn)行網(wǎng)絡(luò)競賽以來，MITRE主要通過研究對抗行為、構(gòu)建傳感器來獲取數(shù)據(jù)以及分析數(shù)據(jù)來檢測對抗行為。該過程包含三個重要角色：“白隊”、“紅隊”和“藍(lán)隊”，如下所示：

白隊——開發(fā)用于測試防御的威脅場景。白隊與紅隊和藍(lán)隊合作，解決網(wǎng)絡(luò)競賽期間出現(xiàn)的問題，并確保達(dá)到測試目標(biāo)。白隊與網(wǎng)絡(luò)管理員對接，確保維護(hù)網(wǎng)絡(luò)資產(chǎn)。

紅隊——扮演網(wǎng)絡(luò)競賽中的攻擊者。執(zhí)行計劃好的威脅場景，重點是對抗行為模擬，并根據(jù)需要與白隊進(jìn)行對接。在網(wǎng)絡(luò)競賽中出現(xiàn)的任何系統(tǒng)或網(wǎng)絡(luò)漏洞都將報告給白隊。

藍(lán)隊——在網(wǎng)絡(luò)競賽中擔(dān)任網(wǎng)絡(luò)防御者，通過分析來檢測紅隊的活動。他們也被認(rèn)為是一支狩獵隊。

基于ATT&CK框架，開發(fā)網(wǎng)絡(luò)對抗賽主要包含以下七個步驟：

下面，我們將對這七個步驟進(jìn)行詳細(xì)介紹。

開發(fā)網(wǎng)絡(luò)對抗賽的七個步驟

第1步：確定目標(biāo)

第一步是確定要檢測的對抗行為的目標(biāo)和優(yōu)先級。在決定優(yōu)先檢測哪些對抗行為時，需要考慮以下幾個因素：

1.哪種行為最常見?

優(yōu)先檢測攻擊者最常使用的TTP，并解決最常見的、最常遇到的威脅技術(shù)，這會對組織機(jī)構(gòu)的安全態(tài)勢產(chǎn)生最廣泛的影響。擁有強(qiáng)大的威脅情報能力后，組織機(jī)構(gòu)就可以了解需要關(guān)注哪些ATT&CK戰(zhàn)術(shù)和技術(shù)。

2.哪種行為產(chǎn)生的負(fù)面影響最大?

組織機(jī)構(gòu)必須考慮哪些TTP會對組織機(jī)構(gòu)產(chǎn)生最大的潛在不利影響。這些影響可能包括物理破壞、信息丟失、系統(tǒng)受損或其它負(fù)面后果。

3.容易獲得哪些行為的相關(guān)數(shù)據(jù)?

與那些需要開發(fā)和部署新傳感器或數(shù)據(jù)源的行為相比，對于已擁有必要數(shù)據(jù)的行為進(jìn)行分析要容易得多。

4.哪種行為最有可能表示是惡意行為?

只是由攻擊者產(chǎn)生的行為而不是合法用戶產(chǎn)生的行為，對于防御者來說用處最大，因為這些數(shù)據(jù)產(chǎn)生誤報的可能性較小。

第2步：收集數(shù)據(jù)

在創(chuàng)建分析方案時，組織機(jī)構(gòu)必須確定、收集和存儲制定分析方案所需的數(shù)據(jù)。為了確定分析人員需要收集哪些數(shù)據(jù)來制定分析方案，首先要了解現(xiàn)有傳感器和日志記錄機(jī)制已經(jīng)收集了哪些數(shù)據(jù)。在某些情況下，這些數(shù)據(jù)可能滿足給定分析的數(shù)據(jù)要求。但是，在許多情況下，可能需要修改現(xiàn)有傳感器和工具的設(shè)置或規(guī)則，以便收集所需的數(shù)據(jù)。在其它情況下，可能需要安裝新工具或功能來收集所需的數(shù)據(jù)。在確定了創(chuàng)建分析所需的數(shù)據(jù)之后，必須將其收集并存儲在將要編寫分析的平臺上。例如，可以使用Splunk的體系結(jié)構(gòu)。

由于企業(yè)通常在網(wǎng)絡(luò)入口和出口點部署傳感器，因此，許多企業(yè)都依賴邊界處收集的數(shù)據(jù)。但是，這就限制了企業(yè)只能看到進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，而不利于防御者看到網(wǎng)絡(luò)中及系統(tǒng)之間發(fā)生了什么情況。如果攻擊者能夠成功訪問受監(jiān)視邊界范圍內(nèi)的系統(tǒng)并建立規(guī)避網(wǎng)絡(luò)保護(hù)的命令和控制，則防御者可能會忽略攻擊者在其網(wǎng)絡(luò)內(nèi)的活動。正如上文的攻擊示例所述，攻擊者使用合法的Web服務(wù)和通常允許穿越網(wǎng)絡(luò)邊界的加密通信，這讓防御者很難識別其網(wǎng)絡(luò)內(nèi)的惡意活動。

由于使用基于邊界的方法無法檢測到很多攻擊行為，因此，很有必要通過終端(主機(jī)端)數(shù)據(jù)來識別滲透后的操作。下圖展示的是企業(yè)邊界網(wǎng)絡(luò)傳感器在ATT&CK框架中的覆蓋范圍。紅色表示未能檢測到攻擊行為，黃色表示有一定檢測能力。如果在終端上沒有傳感器來收集相關(guān)數(shù)據(jù)，比如進(jìn)程日志，就很難檢測到ATT&CK模型描述的許多入侵。目前，國內(nèi)外一些新一代主機(jī)安全廠商，都是采用在主機(jī)端部署Agent方式，比如青藤云安全，通過Agent提供主機(jī)端高價值數(shù)據(jù)，包括操作審計日志、進(jìn)程啟動日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。

涵蓋邊界防御在內(nèi)的ATT&CK矩陣

此外，僅僅依賴于通過間歇性掃描端點來收集端點數(shù)據(jù)或獲取數(shù)據(jù)快照，這可能無法檢測到已入侵網(wǎng)絡(luò)邊界并在網(wǎng)絡(luò)內(nèi)部進(jìn)行操作的攻擊者。間歇性地收集數(shù)據(jù)可能會導(dǎo)致錯過檢測快照之間發(fā)生的行為。例如，攻擊者可以使用技術(shù)將未知的RAT加載到合法的進(jìn)程(例如explorer.exe)中，然后使用cmd.exe命令行界面通過遠(yuǎn)程Shell與系統(tǒng)進(jìn)行交互。攻擊者可能會在很短的時間內(nèi)采取一系列行動，并且?guī)缀醪粫谌魏尾考辛粝潞圹E讓網(wǎng)絡(luò)防御者發(fā)現(xiàn)。如果在加載RAT時執(zhí)行了掃描，則收集信息(例如正在運(yùn)行的進(jìn)程、進(jìn)程樹、已加載的DLL、Autoruns的位置、打開的網(wǎng)絡(luò)連接以及文件中的已知惡意軟件簽名)的快照可能只會看到在explorer.exe中運(yùn)行的DLL。但是，快照會錯過將RAT實際注入到explorer.exe、cmd.exe啟動、生成的進(jìn)程樹以及攻擊者通過shell命令執(zhí)行的其它行為，因為數(shù)據(jù)不是持續(xù)收集的。

第3步：過程分析

組織機(jī)構(gòu)擁有了必要的傳感器和數(shù)據(jù)后，就可以進(jìn)行分析了。進(jìn)行分析需要一個硬件和軟件平臺，在平臺上進(jìn)行設(shè)計和運(yùn)行分析方案，并能夠讓數(shù)據(jù)科學(xué)家設(shè)計分析方案。盡管通常是通過SIEM來完成的，但這并不是唯一的方法，也可以使用Splunk查詢語言來進(jìn)行分析，相關(guān)的分析分為四大類：

行為分析——旨在檢測某種特定對抗行為，例如創(chuàng)建新的Windows服務(wù)。該行為本身可能是惡意的，也可能不是惡意的。并將這類行為映射到ATT&CK模型中那些確定的技術(shù)上。

情景感知——旨在全面了解在給定時間，網(wǎng)絡(luò)環(huán)境中正在發(fā)生什么事情。并非所有分析都需要針對惡意行為生成警報。相反，分析也可以通過提供有關(guān)環(huán)境狀態(tài)的一般信息，證明對組織機(jī)構(gòu)有價值。諸如登錄時間之類的信息并不表示惡意活動，但是當(dāng)與其它指標(biāo)一起使用時，這種類型的數(shù)據(jù)也可以提供有關(guān)對抗行為的必要信息。情景感知分析還可以有助于監(jiān)視網(wǎng)絡(luò)環(huán)境的健康狀況(例如，確定哪些主機(jī)上的傳感器運(yùn)行出錯)。

異常值分析——旨在分析檢測到非惡意行為，這類行為表現(xiàn)異常，令人懷疑，包括檢測之前從未運(yùn)行過的可執(zhí)行文件，或者標(biāo)識網(wǎng)絡(luò)上通常沒有運(yùn)行過的進(jìn)程。和情景感知分析一樣，分析出異常值，不一定表示發(fā)生了攻擊。

取證——這類分析在進(jìn)行事件調(diào)查時最為有用。通常，取證分析需要某種輸入才能發(fā)揮其作用。例如，如果分析人員發(fā)現(xiàn)主機(jī)上使用了憑據(jù)轉(zhuǎn)儲工具，進(jìn)行此類分析會告訴你，哪些用戶的憑據(jù)受到了損壞。防御團(tuán)隊在網(wǎng)絡(luò)競賽演習(xí)期間或制定實際應(yīng)用中的分析時，可以結(jié)合使用這四種類型的分析。下文將介紹如何綜合使用這四種類型的分析：

1.首先，通過在分析中尋找遠(yuǎn)程創(chuàng)建的計劃任務(wù)，向安全運(yùn)營中心(SOC)的分析人員發(fā)出警報，警告正在發(fā)生攻擊行為(行為分析)。

2. 在從受感染的計算機(jī)中看到此警報后，分析人員將運(yùn)行分析方案，查找預(yù)計執(zhí)行計劃任務(wù)的主機(jī)上是否存在任何異常服務(wù)。通過該分析，可以發(fā)現(xiàn)，攻擊者在安排好遠(yuǎn)程任務(wù)之后不久，就已在原始主機(jī)上創(chuàng)建了一個新服務(wù)(異常值分析)。

3. 在確定了新的可疑服務(wù)后，分析人員將進(jìn)行進(jìn)一步調(diào)查。通過分析，確定可疑服務(wù)的所有子進(jìn)程。這種調(diào)查可能會顯示一些指標(biāo)，說明主機(jī)上正在執(zhí)行哪些活動，從而發(fā)現(xiàn)RAT行為。再次運(yùn)行相同的分析方案，尋找RAT子進(jìn)程的子進(jìn)程，就會找到RAT對PowerShell的執(zhí)行情況(取證)。

4. 如果懷疑受感染機(jī)器可以遠(yuǎn)程訪問其它主機(jī)，分析人員會決定調(diào)查可能從該機(jī)器嘗試過的任何其它遠(yuǎn)程連接。為此，分析人員會運(yùn)行分析方案，詳細(xì)分析相關(guān)計算機(jī)環(huán)境中所有已發(fā)生的遠(yuǎn)程登錄，并發(fā)現(xiàn)與之建立連接的其它主機(jī)(情景感知)。

第4步：構(gòu)建場景

傳統(tǒng)的滲透測試側(cè)重于突出攻擊者可能在某個時間段會利用不同類型系統(tǒng)上的哪些漏洞。MITRE的對抗模擬方法不同于這些傳統(tǒng)方法。其目標(biāo)是讓紅隊成員執(zhí)行基于特定或許多已知攻擊者的行為和技術(shù)，以測試特定系統(tǒng)或網(wǎng)絡(luò)的防御效果。對抗模擬演習(xí)由小型的重復(fù)性活動組成，這些活動旨在通過系統(tǒng)地將各種新的惡意行為引入環(huán)境，來改善和測試網(wǎng)絡(luò)上的防御能力。進(jìn)行威脅模擬的紅隊與藍(lán)隊緊密合作(通常稱為紫隊)，以確保進(jìn)行深入溝通交流，這對于快速磨練組織機(jī)構(gòu)的防御能力至關(guān)重要。因此，與全范圍的滲透測試或以任務(wù)目標(biāo)為重點的紅隊相比，對抗模擬測試測試速度更快、測試內(nèi)容更集中。

隨著檢測技術(shù)的不斷發(fā)展成熟，攻擊者也會不斷調(diào)整其攻擊方法，紅藍(lán)對抗的模擬方案也應(yīng)該圍繞這種思想展開。大多數(shù)真正的攻擊者都有特定的目標(biāo)，例如獲得對敏感信息的訪問權(quán)限。因此，在模擬對抗期間，也可以給紅隊指定特定的目標(biāo)，以便藍(lán)隊能夠針對最可能的對抗技術(shù)對網(wǎng)絡(luò)防御和功能進(jìn)行詳細(xì)測試。

1.場景規(guī)劃

為了更好地執(zhí)行對抗模擬方案，需要白隊傳達(dá)作戰(zhàn)目標(biāo)，而又不向紅隊或藍(lán)隊泄露測試方案的詳細(xì)信息。白隊?wèi)?yīng)該利用其對藍(lán)隊的了解情況以及針對威脅行為的分析來檢測差距，并根據(jù)藍(lán)隊所做的更改或需要重新評估的內(nèi)容來制定對抗模擬計劃。白隊還應(yīng)確定紅隊是否有能力充分測試對抗行為。如果沒有，白隊?wèi)?yīng)該與紅隊合作解決存在的差距，包括可能需要的任何工具開發(fā)、采購和測試。對抗模擬場景可對抗計劃為基礎(chǔ)，傳達(dá)要求并與資產(chǎn)所有者和其它利益相關(guān)者進(jìn)行協(xié)調(diào)。

模擬場景可以是詳細(xì)的命令腳本，也可以不是。場景規(guī)劃應(yīng)該足夠詳細(xì)，足以指導(dǎo)紅隊驗證防御能力，但也應(yīng)該足夠靈活，可以讓紅隊在演習(xí)期間根據(jù)需要調(diào)整其行動，以測試藍(lán)軍可能未曾考慮過的行為變化。由于藍(lán)隊的防御方案也可能已經(jīng)很成熟，可以涵蓋已知的威脅行為，因此紅隊還必須能夠自由擴(kuò)展，不僅僅局限于單純的模擬。通過由白隊決定應(yīng)該測試哪些新行為，藍(lán)隊可能不知道要進(jìn)行哪些特定活動，而紅隊可以不受對藍(lán)隊功能假設(shè)的影響，因為這可能會影響紅隊做出決策。白隊還要繼續(xù)向紅隊通報有關(guān)環(huán)境的詳細(xì)信息，以便通過對抗行為全面測試檢測能力。

2.場景示例

舉個例子，假設(shè)在Windows操作系統(tǒng)環(huán)境中，紅隊采用的工具提供了一個訪問點和C2通道，攻擊者通過交互式shell命令與系統(tǒng)進(jìn)行交互。藍(lán)隊已部署了Sysmon作為探針，對過程進(jìn)行持續(xù)監(jiān)控并收集相關(guān)數(shù)據(jù)。此場景的目標(biāo)是基于Sysmon從網(wǎng)絡(luò)端點中收集數(shù)據(jù)來檢測紅隊的入侵行為。

場景詳情：

1) 為紅隊確定一個特定的最終目標(biāo)。例如，獲得對特定系統(tǒng)、域帳戶的訪問權(quán)，或收集要滲透的特定信息。

2) 假設(shè)已經(jīng)入侵成功，讓紅隊訪問內(nèi)部系統(tǒng)，以便于觀察滲透后的行為。紅隊可以在環(huán)境中的一個系統(tǒng)上執(zhí)行加載程序或RAT，模擬預(yù)滲透行為，并獲得初始立足點，而不考慮先前的了解、訪問、漏洞利用或社會工程學(xué)等因素。

3) 紅隊必須使用ATT&CK模型中的“發(fā)現(xiàn)”技術(shù)來了解環(huán)境并收集數(shù)據(jù)，以便進(jìn)一步行動。

4) 紅隊將憑證轉(zhuǎn)儲到初始系統(tǒng)上，并嘗試定位周圍還有哪些系統(tǒng)的憑證可以利用。

5) 紅隊橫向移動，直到獲得目標(biāo)系統(tǒng)、賬戶、信息為止。

使用ATT&CK作為對抗模擬指南，為紅隊制定一個明確的計劃。技術(shù)選擇的重點是基于在已知的入侵活動中通常使用的技術(shù)，來實現(xiàn)測試目標(biāo)，但是允許紅隊在技術(shù)使用方面進(jìn)行一些更改，采用一些其它行為。

3.場景實現(xiàn)

上述場景示例的具體實現(xiàn)步驟如下所示：

1) 模擬攻擊者通過白隊提供的初始訪問權(quán)限后，獲得了“執(zhí)行”權(quán)限。以下內(nèi)容可以表示攻擊者可以使用通用的、標(biāo)準(zhǔn)化的應(yīng)用層協(xié)議(如HTTP、HTTPS、SMTP或DNS)進(jìn)行通信，以免被發(fā)現(xiàn)。例如遠(yuǎn)程連接命令，會被嵌入到這些通信協(xié)議中。

2) 建立連接后，通過遠(yuǎn)程訪問工具啟動反彈shell命令界面：

3) 通過命令行界面執(zhí)行“執(zhí)行”技術(shù)：

4) 獲得了足夠的信息后，可以根據(jù)需要，自由執(zhí)行其它戰(zhàn)術(shù)和技術(shù)。以下技術(shù)是基于ATT&CK的建議措施，以建立持久性或通過提升權(quán)限來建立持久性。獲得足夠的權(quán)限后，使用Mimikatz轉(zhuǎn)儲憑據(jù)，或嘗試使用鍵盤記錄器獲取憑據(jù)，捕獲的用戶輸入信息。

5) 如果獲得了憑據(jù)并且通過“發(fā)現(xiàn)”技術(shù)對系統(tǒng)有了全面的了解，就可以嘗試橫向移動來實現(xiàn)該方案的主要目標(biāo)了。

6) 根據(jù)需要使用上文提到的技術(shù)，繼續(xù)橫向移動，獲取并滲透目標(biāo)敏感信息。建議使用以下ATT&CK技術(shù)來收集和提取文件：

第5步：模擬威脅

在制定好對抗模擬方案和分析方案之后，就該使用情景來模擬攻擊者了。首先，讓紅隊模擬威脅行為并執(zhí)行由白隊確定的技術(shù)。在對抗模擬作戰(zhàn)中，可以讓場景的開發(fā)人員來驗證其網(wǎng)絡(luò)防御的有效性。紅隊則需要專注于紅隊入侵后的攻擊行為，通過給定網(wǎng)絡(luò)環(huán)境中特定系統(tǒng)上的遠(yuǎn)程訪問工具訪問企業(yè)網(wǎng)絡(luò)。白隊預(yù)先給紅隊訪問權(quán)限可以加快評估速度，并確保充分測試入侵后的防御措施。然后，紅隊按照白隊規(guī)定的計劃和準(zhǔn)則行動。

白隊?wèi)?yīng)與組織機(jī)構(gòu)的網(wǎng)絡(luò)資產(chǎn)所有者和安全組織協(xié)調(diào)任何對抗模擬活動，確保及時了解網(wǎng)絡(luò)問題、用戶擔(dān)憂、安全事件或其它可能發(fā)生的問題。

第6步：調(diào)查攻擊

一旦在給定的網(wǎng)絡(luò)競賽中紅隊發(fā)起了攻擊，藍(lán)隊要盡可能發(fā)現(xiàn)紅隊的所作所為。在MITRE的許多網(wǎng)絡(luò)競賽中，藍(lán)隊中有負(fù)責(zé)創(chuàng)建場景的開發(fā)人員。這樣做的好處是，場景開發(fā)者人員可以親身體驗他們的分析方案在現(xiàn)實模擬情況下表現(xiàn)如何，并從中汲取經(jīng)驗教訓(xùn)，推動未來的發(fā)展和完善。

在網(wǎng)絡(luò)競賽中，藍(lán)隊最開始有一套高度可信的過程分析方案，如果執(zhí)行成功，就會了解一些初步指標(biāo)紅隊，例如，紅隊時何時何地活躍起來的。這很重要，因為除了模糊的時間范圍(通常是一個月左右)之外，沒有向藍(lán)隊提供任何有關(guān)紅隊活動的信息。有時，藍(lán)隊的過程分析屬于“行為”分析類別，而有些分析可能屬于“異常”類別。應(yīng)用這些高可信度的分析方案會促使藍(lán)隊使用先前描述的其它類型的分析(情景感知、異常情況和取證)進(jìn)一步調(diào)查單個主機(jī)。當(dāng)然，這個分析過程是反復(fù)迭代進(jìn)行的，隨著收集到新信息，在整個練習(xí)過程中，這一過程會反復(fù)進(jìn)行。

最終，當(dāng)確定某個事件是紅隊所為時，藍(lán)隊就開始形成自身的時間表。了解時間表很重要，可以幫助分析人員推斷出只靠分析方案無法獲得的信息。時間表上的活動差距可以確定需要進(jìn)一步調(diào)查的時間窗口期。另外，通過以這種方式查看數(shù)據(jù)，即便沒有關(guān)于紅隊活動的任何證據(jù)，藍(lán)隊成員也可以推斷出在哪些位置能夠發(fā)現(xiàn)紅隊的活動。例如，看到一個新的可執(zhí)行文件運(yùn)行，但沒有證據(jù)表明它是如何放置在機(jī)器上的，這可能會提醒分析人員有可能存在紅隊行為，并可以提供有關(guān)紅隊如何完成其橫向移動的詳細(xì)信息。通過這些線索，還可以形成一些關(guān)于創(chuàng)建新分析的想法，以便用于基于ATT&CK的分析開發(fā)方法的下一次迭代。

在調(diào)查紅隊的攻擊時，藍(lán)隊會隨著自身演習(xí)的進(jìn)行而制定出幾大類信息。這些信息是他們希望發(fā)現(xiàn)的信息，例如：

受到影響的主機(jī)——在演習(xí)時，這通常表示為主機(jī)列表以及每個主機(jī)視為可疑主機(jī)的原因。在嘗試補(bǔ)救措施時，這些信息至關(guān)重要。

帳戶遭到入侵——藍(lán)隊能夠識別網(wǎng)絡(luò)上已被入侵的帳戶，這一點非常重要。如果不這樣做，則紅隊或現(xiàn)實生活中的攻擊者就可以從其它媒介重新獲得對網(wǎng)絡(luò)的訪問權(quán)限，以前所有的補(bǔ)救措施也就化為泡影了。

目標(biāo)——藍(lán)隊還需要努力確定紅隊的目標(biāo)以及他們是否實現(xiàn)了目標(biāo)。這通常是最難發(fā)現(xiàn)的一個內(nèi)容，因為這需要大量的數(shù)據(jù)來確定。

使用的TTP——在演習(xí)結(jié)束時，要特別注意紅隊的TTP，這是確定未來工作的一種方式。紅隊可能已經(jīng)利用了網(wǎng)絡(luò)中需要解決的錯誤配置，或者紅隊可能發(fā)現(xiàn)了藍(lán)隊當(dāng)前無法識別而無法進(jìn)一步感知的技術(shù)。藍(lán)隊確定的TTP應(yīng)該與紅隊所聲稱的TTP進(jìn)行比較，識別任何防御差距。

第7步：評估表現(xiàn)

藍(lán)隊和紅隊活動均完成后，白隊將協(xié)助團(tuán)隊成員進(jìn)行分析，將紅隊活動與藍(lán)隊報告的活動進(jìn)行比較。這可以進(jìn)行全面的比較，藍(lán)隊可以從中了解他們在發(fā)現(xiàn)紅隊行動方面取得了多大程度上的成功。藍(lán)隊可以使用這些信息來完善現(xiàn)有分析，并確定對于哪些對抗行為，他們需要開發(fā)或安裝新傳感器、收集新數(shù)據(jù)集或制定新分析方案。

寫在最后

ATT&CK是MITRE提供的“對抗戰(zhàn)術(shù)、技術(shù)和常識”框架，是由攻擊者在攻擊企業(yè)時會利用的12種戰(zhàn)術(shù)和300多種技術(shù)組成的精選知識庫，對于企業(yè)識別差距，提高防御能力有重大意義。而本文則通過詳細(xì)介紹如何基于ATT&CK框架制定分析方案，如何根據(jù)分析方案檢測入侵行為從而發(fā)現(xiàn)黑客，為防御者提供了一款強(qiáng)大的工具，可以有效提高檢測能力，從而增強(qiáng)企業(yè)的防御能力。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。