ATT&CK威脅框架發展研究及政策建議
責編:gltian |2021-06-01 10:11:01威脅框架是Threat Framework的簡稱,指在主流操作系統平臺支持下,描述網空威脅技術特點的通用方法。ATT&CK威脅框架是美國MITRE公司于2015年在經典網空殺傷鏈模型(Cyber?Kill Chain)的基礎上派生出來的。ATT&CK威脅框架最大的特點是基于實戰,以攻擊者視角,從真實的網絡威脅中提煉并歸納出各種技術、戰術特點,從而指導技術研究以及產品研發。另外,ATT&CK威脅框架還可以作為一種評價不同安全產品的技術參考指標,進而運用到安全產品采購、運行維護等應用場景中。
隨著5G、下一代互聯網的快速發展,威脅在不斷快速發展,作為對抗威脅的重要技術手段,ATT&CK威脅框架也不斷發展演化。國內外眾多安全研究工作者、安全廠商紛紛采用ATT&CK威脅框架,進行技術分析研究或產品落地實踐。
一、ATT&CK威脅框架發展情況
從2015年ATT&CK威脅框架誕生以來,經歷了多次版本的更新和維護。2020年7月發布的7.0版,首次引入了“子技術”的概念,將各個相同子技術匯集,對攻擊技術進行“原子化”分類展示。當前最新版為2021年4月底發布的9.0版,在上一版增添的SolarWinds軟件供應鏈攻擊特征的基礎上,又增加了“容器安全”的內容。
整體上來說,威脅框架平均更新頻率為3到4個月,以跟進和適應當時最新的威脅發展態勢。ATT&CK威脅框架最顯著的特點是采用戰術(Tactic)和技術(Technique)兩個維度來對攻擊者的行為進行刻畫和分類描述:戰術主要描述威脅的攻擊過程和階段,細化了攻擊者在不同戰術類別的不同目標;技術是各個不同的戰術目標的具體實現方式。相對而言,技術的變化較多且更新頻繁,而戰術類別的劃分相對固定,其主要是參考傳統殺傷鏈攻擊模型。
最新版本的ATT&CK威脅框架列出了14種戰術類別,200多種技術類別(子技術不單獨計算)。其中,不同的技術類別分散在不同的戰術類別中,且同一種“技術”可能被運用到不同的戰術類別。14種戰術類別分別為:偵察、資源開發、初始訪問、執行、持久化、提權、防御規避、憑證訪問、發現、橫向移動、收集、命令與控制、數據滲出以及影響。
同時,最新版本的ATT&CK威脅框架覆蓋平臺除了傳統的Windows、MacOS、Android和iOS移動以及Linux操作系統平臺外,還包括各種云平臺、SaaS應用平臺、網絡以及工控ICS平臺。
二、ATT&CK威脅框架發展難點
目前,ATT&CK威脅框架發展難點主要體現在多種平臺的覆蓋方面。
首先,形成一套業內通用的技術表達體系和通用術語并不容易,特別是應對不同的操作平臺,以及日新月異的云平臺以及各種類型的工業控制ICS平臺。
其次,威脅不斷發展演化,其賴以寄生的應用平臺,特別是操作系統底層也在不斷演化過程中,如何讓該框架更快、更全面覆蓋攻擊者的各種攻擊手段,是其面臨的現實挑戰。一方面,高級威脅往往是非常隱秘進行的,很多時候威脅攻擊已經造成了實際的后果,卻不為最終的用戶所感知,更無從調查取證。這一點,從2020年底發生的SolarWinds攻擊事件也可見一斑。另一方面,該威脅框架非常全面和細化也是一把雙刃劍:有時因為過于復雜或者難以明顯區隔,導致不能發揮其應有的作用。
三、ATT&CK威脅框架產業落地情況
目前,ATT&CK威脅框架已經得到了國內外網絡安全產業界的認可和實踐,在產品實現和技術服務中取得了較好的實際應用。伴隨著威脅的不斷演化和進化,ATT&CK威脅框架也在保持一季度左右更新一次的頻率,以適應不斷變化的攻擊場景。
ATT&CK威脅框架的主要應用場景包括以下幾個方面:
– 安全產品的網絡防御能力展現:利用其可以直觀而且客觀的查看和比較安全產品的能力覆蓋點,這為最終用戶選擇合適的網絡安全產品提供了一個明晰的技術參考。
– 高級威脅防御:通過對高級威脅使用的各種技術和戰術特色進行刻畫和原子化描述,使防護方能夠有的放矢,更有針對性,促使防護價值最大化。
– 未知威脅的發現:未知威脅的防護是聚焦點,全面、徹底的ATT&CK威脅框架技術和功能點覆蓋,使得對未知威脅的追蹤有章可循。即使是未知威脅發起的網絡攻擊,也很難繞過14個戰術類別的范疇。
– 攻擊者仿真測試:MITRE提供的ART(Atomic Red Team)“原子化攻擊仿真”測試集合,能最大限度的模擬各種已知的攻擊手段或者各種技術手段組合,為網絡安全解決方案提供真實的測試參考依據。
就產業落地而言,2020年7月,Gartner在一份關于網絡安全企業如何采購合適的網絡安全產品的評估報告中,利用了MITRE的ATT&CK威脅框架作為衡量不同廠商不同產品的對比依據。該報告顯示出三個不同的廠家的兩類產品在整個ATT&CK威脅框架覆蓋重疊程度,為企業做出合理的采購決策提供直觀技術參考依據。美國網絡安全公司FireEye在分析2020年12月的SolarWinds軟件供應鏈攻擊中,全面采用了ATT&CK威脅框架,認為其至少采用了17種技術手段。除FireEye外,微軟公司、Splunk公司以及Picussecurity網絡安全領先公司等都全面采用了ATT&CK威脅框架,作為分析高級威脅的技術表達體系和分析框架。
國內網絡安全企業也在積極圍繞ATT&CK威脅框架進行技術分析和產品研發工作。在技術分析方面,以安天、奇安信等網絡安全企業為代表,全面結合ATT&CK威脅框架理論來解釋佐證其各種技術分析報告。在產品和解決方案應用方面,安天以及360政企安全均聲稱全面支持ATT&CK威脅框架,不管是端點側的EDR安全產品,還是網絡側的監測分析及預警平臺。
四、意見和建議
ATT&CK威脅框架作為一種新出現的描述網絡空間威脅的知識庫,為應對日益復雜的網空威脅,提供了有力的技術支撐,同時也得到了研究者和安全廠商的支持和具體實踐。
結合我國網絡空間安全形勢,建議從相關網絡安全主管機構、網絡安全從業者兩方面來運用和實踐該威脅框架,并從中找到適合我國自身的威脅框架描述模型。
(1)建議相關網絡安全主管機構,在目前已有的網絡產品或者服務評估機制的基礎上,引入ATT&CK威脅框架作為評估網絡安全產品或者服務的技術參考指標,使得對其技術評估更直觀。
(2)建議網絡安全從業者作為ATT&CK威脅框架的實踐主體,積極參與網空安全的研究分析并進行網絡安全產品的開發實踐。通過ATT&CK威脅框架實踐可以逐步擺脫依靠傳統手段進行威脅發現、預防的局限,不僅僅檢測“實際已發生的攻擊”,更要前攝以識別“潛在的威脅”;應用最新的ATT&CK威脅框架,通過干擾和反制對手的入侵準備,提高對手攻擊成本,降低對手攻擊的效率和成功率,從整體上提升既有安全產品及服務體系的安全價值。
ATT&CK威脅框架只有和具體的應用相結合,并隨著威脅的不斷演化、升級才能發揮其最佳優勢。
來源:CCIA網安產業聯盟