福利小视频在线观看,永久免费在线看mv,视频黄页

MITRE ATT&CK 框架“入坑”指南

責編：gltian ｜2020-01-10 13:58:34

MITRE ATT&CK 框架是打造檢測與響應項目的流行框架。這玩意有沒有用不確定，但是你絕對承擔不起不會用的風險。

ATT&CK 是今年國內安全行業的一個備受矚目的火熱概念，很多組織和廠商發布了文章闡釋各自對于它的理解，甚至連不少甲方單位也開始關心起 ATT&CK，不僅向安全廠商咨詢其在這方面的研究成果，似乎也有意將其當做衡量廠商產品能力的一個維度——安全圈一時間頗有些 “平生不識此概念，縱做安全也枉然” 的氛圍。為了方便讀者活學活用ATT&CK框架，安全牛去年編譯整理了這個 “入坑” 指南（本次配合MITRE官方發布的工控系統知識庫，進行了內容更新和微信發布），助您快速跳進 ATT&CK 的 “大坑”，打造一個能快速檢測、響應和減緩漏洞安全風險的，新一代高效能安全防御體系。

圍繞檢測與響應打造新一代高效能安全防御體系

緩解安全漏洞很難。攻擊者只需要抓住一個漏洞（小雞）就能侵入網絡，防御者卻得保證所有信息資產（小雞）的安全。所以越來越多的安全項目將資源投向檢測與響應：檢測黑客何時出現在自家網絡中，然后高效響應惡意動作，收集證據，緩解風險。如何圍繞檢測與響應打造高效能安全項目/體系？MITRE ATT&CK 框架就是答案之一。ATT&CK 是組織機構內不同部門間共享信息、協同工作和構建必要檢測與響應流程的統一分類方法。近年來MITRE ATT&CK 框架的采納率持續上升，是因為該框架理順了攻擊者滲透網絡、入侵主機、提升權限、隱秘移動和滲漏數據的攻擊鏈。運用 MITRE ATT&CK 中的攻擊者行為通用分類，可以幫助網絡事件響應團隊 (CIRT)、安全運營中心 (SOC)、紅藍隊、威脅獵手、IT 部門等安全團隊，更好地測試、開發和排序其檢測和響應機制，對公司的業務、行業和知識產權提供高效安全保障。MITRE ATT&CK 的分類有點復雜，學起來可能會有點兒挫敗感。里面信息量太大，很容易陷入分析迷局。此處列出的建議和指南將幫您快速上馬 ATT&CK 項目。

如何理解 MITRE ATT&CK框架

1月7日新鮮出爐的ATT&CK工控系統知識庫（MITER ATT＆CK for ICS Matrix?）

攻擊的戰術、技術和流程（TTP）以表格形式匯總到? MITRE ATT&CK Enterprise Matrix 知識庫。GitHub 上的 ATT&CK Navigator （https://mitre-attack.github.io/attack-navigator/enterprise/）提供了探索此 ATT&CK 知識庫的導航器，可以生成漂亮的定制化的藍隊 “彩虹圖”（下圖）。

“戰術” (Tactics) 是列標題名，是攻擊者為什么使用特定技術的概括性分類。
“技術” (Techniques) 出現在戰術列標題下的每個框中，顯示攻擊者為完成戰術都做了什么。ATT&CK 矩陣為每種技術都分配了一個編號，比如 T1500 或 T1191。
“流程” (Procedures) 可通過技術框中的鏈接訪問，顯示攻擊者是如何執行某種技術的。流程提供了攻擊者（無論單干還是組團）實施具體技術的更詳盡說明。

MITRE ATT&CK 之所以有效，是因為所有戰術、技術和流程 (TTP) 都基于現實世界中觀察到的真實攻擊團伙所為。很多攻擊團伙都用相同的技術，就好像攻擊團伙有自己的戰術手冊，還用此戰術手冊讓新成員快速上手似的。

如果你看過上面這個檢測響應的 “痛苦金字塔”，就會理解 TTP 下的入侵指標 (IOC) 和攻擊指標 (IOA) 跟基于特征碼的方法區別不大。無論針對 TTP 的哪一層，都是在跟攻擊者的工具對抗。攻擊者可能需要修改配置文件或重新編譯工具，以便規避 TTP 痛苦金字塔的底層：工具、網絡/主機痕跡、域名、IP 地址、文件散列值。以上都不是難點，“痛苦指數”最高的是檢測攻擊者 TTP，就是他們的行為。這可就難得多了，因為理解和檢測攻擊者將會如何提權，跟查找散列值與 Mimikatz 內存憑證轉儲工具相同的文件，可是大不一樣的。后一種情況下，攻擊者僅需稍微改動點兒隨機內容，重新編譯工具，就能改變工具的散列值，繞過基于特征碼的檢測。但是，如果查找被提升成管理員權限的賬戶，攻擊者就很難規避和隱藏了。這會迫使攻擊者改變其攻擊行為。照著黑客攻擊手冊來的初級黑客自然是很難改變攻擊行為的；他們沒有足夠的技術 “即興” 創新一種新的提權手段。因此，當檢測方法能夠針對攻擊行為的時候，攻擊者就會 “去別家” 嘗試攻擊戰術手冊了。這就是 MITRE ATT&CK 的基本前提。研究并分析過往攻擊者每個攻擊階段所用的 TTP：

初始訪問–>執行–>駐留–>提權–>防御規避–>憑證獲取–>探索發現–>橫向移動–>收集信息–>滲漏–>命令與控制
向下展開每個技術的流程，更好地理解不同攻擊團伙是怎么執行此技術的。然后用此知識對自身網絡中活躍攻擊者的行為，構建監視和檢測措施。

如何實現 MITRE ATT&CK

聽起來似乎簡單，但 MITRE ATT&CK 框架中有 291 種技術，還會隨著新技術的推出和人工智能與機器學習系統的部署而不斷擴張。從哪里下手？如何排序、構建和管理所開發的檢測？了解自身，是很多安全項目中的第一步。

知己知彼，百戰不殆。不知彼而知己，一勝一負。不知彼不知己，每戰必敗?！獙O子，《孫子兵法》

01、知己（威脅建模）

先得了解公司的業務驅動力、業務運營方式、盈利流向、資產（按重要程度排序）、知識產權 (IP) 和驅動業務及企業的內部系統。理解這些企業資產、數據、IP 或系統若被入侵，會對業務造成什么影響。另外，認真考慮如果訪問企業資產的鑰匙落入外部攻擊者手中，他們想要些什么。哪些東西是他們的目標？為什么？知道哪些東西重要，哪些東西可能被攻擊者盯上后，就可以圈定攻擊者可能使用哪些技術來入手公司最寶貴的資產了。

02、揀選要檢測的技術

這 291 種技術中很多都能應用到公司高價值資產、系統和 IP 上。該怎樣揀選要先檢測的技術？看看 MITRE ATT&CK 矩陣就會注意到，從左到右的組織結構是按時間順序關聯攻擊者最終滲漏數據或命令與控制 (C2) 服務器的步驟順序。最左端是初始訪問，代表攻擊者侵入公司網絡的開始。矩陣中一路向右，攻擊者逐步進展，按需求使用右邊的技術。從左往右開始構建檢測是行不通的，因為攻擊者可能已經身處您的網絡之中。抽簽兒似的隨機挑種技術也不可行。要先識別最有可能威脅到自家公司敏感數據、系統和資產的技術。

03、確認攻擊難度

將范圍從 291 種攻擊技術縮小到適用于自家公司的寥寥幾種當然不錯，但該如何進一步收窄呢？MITRE ATT&CK 框架采用率不斷上升，實現者分享信息的意愿也在增加，隨之而來的就是可用開源/公共資源的增長。比如說，Tripwire 的 Travis Smith 就在 ATT&CKCon 大會上做了題為 “ATT&CK as a Teacher” 的演講，將 ATT&CK 矩陣按漏洞利用難度加以組織。此顏色標識圖例就是基于下面這張按難度等級從上到下排列的圖表。

表明攻擊難度的顏色標識? ?圖源：Travis Smith，Tripwire

這是應用了難度顏色分級標識的 ATT&CK Navigator。

應用到 ATT&CK Navigator 的顏色標識? 圖源：Travis Smith，Tripwire

基于團隊成員的技術集進一步收窄列表以構建檢測后，還可以再行削減。剩下的檢測候選中含有構建檢測的基礎數據源。如果公司沒有相關數據源鎖定攻擊技術，那么為此攻擊技術編寫檢測程序就沒那么簡單了。

04、查閱數據源

每種攻擊技術的流程都有與之相關的數據源。以 T1214 為例：

T1214 數據源??圖源：Abraham Kang

最終決定要檢測哪種技術時，要確保具備檢測該技術的恰當數據源。事情開始變得復雜的地方就在這里了。以上面的 “注冊表中憑據” (Credentials in Registry) 為例，您看到的數據源有 “Windows 注冊表” (Windows Registry)、“進程命令行參數” (Process command-line parameters) 和進程監視 (process monitoring)。下面的幻燈片源自 Rodriguez 兄弟 Roberto 和 Jose 的演講 “Hunters ATT&CKing with the Data”。據兩兄弟所言，可以通過觀察自家環境中不同 ATT&CK 技術的通用數據源，來排序想要實現的基于攻擊技術的檢測。