ATT&CK威脅框架發(fā)展研究及政策建議
責(zé)編:gltian |2021-06-01 10:11:01威脅框架是Threat Framework的簡(jiǎn)稱,指在主流操作系統(tǒng)平臺(tái)支持下,描述網(wǎng)空威脅技術(shù)特點(diǎn)的通用方法。ATT&CK威脅框架是美國MITRE公司于2015年在經(jīng)典網(wǎng)空殺傷鏈模型(Cyber?Kill Chain)的基礎(chǔ)上派生出來的。ATT&CK威脅框架最大的特點(diǎn)是基于實(shí)戰(zhàn),以攻擊者視角,從真實(shí)的網(wǎng)絡(luò)威脅中提煉并歸納出各種技術(shù)、戰(zhàn)術(shù)特點(diǎn),從而指導(dǎo)技術(shù)研究以及產(chǎn)品研發(fā)。另外,ATT&CK威脅框架還可以作為一種評(píng)價(jià)不同安全產(chǎn)品的技術(shù)參考指標(biāo),進(jìn)而運(yùn)用到安全產(chǎn)品采購、運(yùn)行維護(hù)等應(yīng)用場(chǎng)景中。
隨著5G、下一代互聯(lián)網(wǎng)的快速發(fā)展,威脅在不斷快速發(fā)展,作為對(duì)抗威脅的重要技術(shù)手段,ATT&CK威脅框架也不斷發(fā)展演化。國內(nèi)外眾多安全研究工作者、安全廠商紛紛采用ATT&CK威脅框架,進(jìn)行技術(shù)分析研究或產(chǎn)品落地實(shí)踐。
一、ATT&CK威脅框架發(fā)展情況
從2015年ATT&CK威脅框架誕生以來,經(jīng)歷了多次版本的更新和維護(hù)。2020年7月發(fā)布的7.0版,首次引入了“子技術(shù)”的概念,將各個(gè)相同子技術(shù)匯集,對(duì)攻擊技術(shù)進(jìn)行“原子化”分類展示。當(dāng)前最新版為2021年4月底發(fā)布的9.0版,在上一版增添的SolarWinds軟件供應(yīng)鏈攻擊特征的基礎(chǔ)上,又增加了“容器安全”的內(nèi)容。
整體上來說,威脅框架平均更新頻率為3到4個(gè)月,以跟進(jìn)和適應(yīng)當(dāng)時(shí)最新的威脅發(fā)展態(tài)勢(shì)。ATT&CK威脅框架最顯著的特點(diǎn)是采用戰(zhàn)術(shù)(Tactic)和技術(shù)(Technique)兩個(gè)維度來對(duì)攻擊者的行為進(jìn)行刻畫和分類描述:戰(zhàn)術(shù)主要描述威脅的攻擊過程和階段,細(xì)化了攻擊者在不同戰(zhàn)術(shù)類別的不同目標(biāo);技術(shù)是各個(gè)不同的戰(zhàn)術(shù)目標(biāo)的具體實(shí)現(xiàn)方式。相對(duì)而言,技術(shù)的變化較多且更新頻繁,而戰(zhàn)術(shù)類別的劃分相對(duì)固定,其主要是參考傳統(tǒng)殺傷鏈攻擊模型。
最新版本的ATT&CK威脅框架列出了14種戰(zhàn)術(shù)類別,200多種技術(shù)類別(子技術(shù)不單獨(dú)計(jì)算)。其中,不同的技術(shù)類別分散在不同的戰(zhàn)術(shù)類別中,且同一種“技術(shù)”可能被運(yùn)用到不同的戰(zhàn)術(shù)類別。14種戰(zhàn)術(shù)類別分別為:偵察、資源開發(fā)、初始訪問、執(zhí)行、持久化、提權(quán)、防御規(guī)避、憑證訪問、發(fā)現(xiàn)、橫向移動(dòng)、收集、命令與控制、數(shù)據(jù)滲出以及影響。
同時(shí),最新版本的ATT&CK威脅框架覆蓋平臺(tái)除了傳統(tǒng)的Windows、MacOS、Android和iOS移動(dòng)以及Linux操作系統(tǒng)平臺(tái)外,還包括各種云平臺(tái)、SaaS應(yīng)用平臺(tái)、網(wǎng)絡(luò)以及工控ICS平臺(tái)。
二、ATT&CK威脅框架發(fā)展難點(diǎn)
目前,ATT&CK威脅框架發(fā)展難點(diǎn)主要體現(xiàn)在多種平臺(tái)的覆蓋方面。
首先,形成一套業(yè)內(nèi)通用的技術(shù)表達(dá)體系和通用術(shù)語并不容易,特別是應(yīng)對(duì)不同的操作平臺(tái),以及日新月異的云平臺(tái)以及各種類型的工業(yè)控制ICS平臺(tái)。
其次,威脅不斷發(fā)展演化,其賴以寄生的應(yīng)用平臺(tái),特別是操作系統(tǒng)底層也在不斷演化過程中,如何讓該框架更快、更全面覆蓋攻擊者的各種攻擊手段,是其面臨的現(xiàn)實(shí)挑戰(zhàn)。一方面,高級(jí)威脅往往是非常隱秘進(jìn)行的,很多時(shí)候威脅攻擊已經(jīng)造成了實(shí)際的后果,卻不為最終的用戶所感知,更無從調(diào)查取證。這一點(diǎn),從2020年底發(fā)生的SolarWinds攻擊事件也可見一斑。另一方面,該威脅框架非常全面和細(xì)化也是一把雙刃劍:有時(shí)因?yàn)檫^于復(fù)雜或者難以明顯區(qū)隔,導(dǎo)致不能發(fā)揮其應(yīng)有的作用。
三、ATT&CK威脅框架產(chǎn)業(yè)落地情況
目前,ATT&CK威脅框架已經(jīng)得到了國內(nèi)外網(wǎng)絡(luò)安全產(chǎn)業(yè)界的認(rèn)可和實(shí)踐,在產(chǎn)品實(shí)現(xiàn)和技術(shù)服務(wù)中取得了較好的實(shí)際應(yīng)用。伴隨著威脅的不斷演化和進(jìn)化,ATT&CK威脅框架也在保持一季度左右更新一次的頻率,以適應(yīng)不斷變化的攻擊場(chǎng)景。
ATT&CK威脅框架的主要應(yīng)用場(chǎng)景包括以下幾個(gè)方面:
– 安全產(chǎn)品的網(wǎng)絡(luò)防御能力展現(xiàn):利用其可以直觀而且客觀的查看和比較安全產(chǎn)品的能力覆蓋點(diǎn),這為最終用戶選擇合適的網(wǎng)絡(luò)安全產(chǎn)品提供了一個(gè)明晰的技術(shù)參考。
– 高級(jí)威脅防御:通過對(duì)高級(jí)威脅使用的各種技術(shù)和戰(zhàn)術(shù)特色進(jìn)行刻畫和原子化描述,使防護(hù)方能夠有的放矢,更有針對(duì)性,促使防護(hù)價(jià)值最大化。
– 未知威脅的發(fā)現(xiàn):未知威脅的防護(hù)是聚焦點(diǎn),全面、徹底的ATT&CK威脅框架技術(shù)和功能點(diǎn)覆蓋,使得對(duì)未知威脅的追蹤有章可循。即使是未知威脅發(fā)起的網(wǎng)絡(luò)攻擊,也很難繞過14個(gè)戰(zhàn)術(shù)類別的范疇。
– 攻擊者仿真測(cè)試:MITRE提供的ART(Atomic Red Team)“原子化攻擊仿真”測(cè)試集合,能最大限度的模擬各種已知的攻擊手段或者各種技術(shù)手段組合,為網(wǎng)絡(luò)安全解決方案提供真實(shí)的測(cè)試參考依據(jù)。
就產(chǎn)業(yè)落地而言,2020年7月,Gartner在一份關(guān)于網(wǎng)絡(luò)安全企業(yè)如何采購合適的網(wǎng)絡(luò)安全產(chǎn)品的評(píng)估報(bào)告中,利用了MITRE的ATT&CK威脅框架作為衡量不同廠商不同產(chǎn)品的對(duì)比依據(jù)。該報(bào)告顯示出三個(gè)不同的廠家的兩類產(chǎn)品在整個(gè)ATT&CK威脅框架覆蓋重疊程度,為企業(yè)做出合理的采購決策提供直觀技術(shù)參考依據(jù)。美國網(wǎng)絡(luò)安全公司FireEye在分析2020年12月的SolarWinds軟件供應(yīng)鏈攻擊中,全面采用了ATT&CK威脅框架,認(rèn)為其至少采用了17種技術(shù)手段。除FireEye外,微軟公司、Splunk公司以及Picussecurity網(wǎng)絡(luò)安全領(lǐng)先公司等都全面采用了ATT&CK威脅框架,作為分析高級(jí)威脅的技術(shù)表達(dá)體系和分析框架。
國內(nèi)網(wǎng)絡(luò)安全企業(yè)也在積極圍繞ATT&CK威脅框架進(jìn)行技術(shù)分析和產(chǎn)品研發(fā)工作。在技術(shù)分析方面,以安天、奇安信等網(wǎng)絡(luò)安全企業(yè)為代表,全面結(jié)合ATT&CK威脅框架理論來解釋佐證其各種技術(shù)分析報(bào)告。在產(chǎn)品和解決方案應(yīng)用方面,安天以及360政企安全均聲稱全面支持ATT&CK威脅框架,不管是端點(diǎn)側(cè)的EDR安全產(chǎn)品,還是網(wǎng)絡(luò)側(cè)的監(jiān)測(cè)分析及預(yù)警平臺(tái)。
四、意見和建議
ATT&CK威脅框架作為一種新出現(xiàn)的描述網(wǎng)絡(luò)空間威脅的知識(shí)庫,為應(yīng)對(duì)日益復(fù)雜的網(wǎng)空威脅,提供了有力的技術(shù)支撐,同時(shí)也得到了研究者和安全廠商的支持和具體實(shí)踐。
結(jié)合我國網(wǎng)絡(luò)空間安全形勢(shì),建議從相關(guān)網(wǎng)絡(luò)安全主管機(jī)構(gòu)、網(wǎng)絡(luò)安全從業(yè)者兩方面來運(yùn)用和實(shí)踐該威脅框架,并從中找到適合我國自身的威脅框架描述模型。
(1)建議相關(guān)網(wǎng)絡(luò)安全主管機(jī)構(gòu),在目前已有的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)評(píng)估機(jī)制的基礎(chǔ)上,引入ATT&CK威脅框架作為評(píng)估網(wǎng)絡(luò)安全產(chǎn)品或者服務(wù)的技術(shù)參考指標(biāo),使得對(duì)其技術(shù)評(píng)估更直觀。
(2)建議網(wǎng)絡(luò)安全從業(yè)者作為ATT&CK威脅框架的實(shí)踐主體,積極參與網(wǎng)空安全的研究分析并進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)實(shí)踐。通過ATT&CK威脅框架實(shí)踐可以逐步擺脫依靠傳統(tǒng)手段進(jìn)行威脅發(fā)現(xiàn)、預(yù)防的局限,不僅僅檢測(cè)“實(shí)際已發(fā)生的攻擊”,更要前攝以識(shí)別“潛在的威脅”;應(yīng)用最新的ATT&CK威脅框架,通過干擾和反制對(duì)手的入侵準(zhǔn)備,提高對(duì)手攻擊成本,降低對(duì)手攻擊的效率和成功率,從整體上提升既有安全產(chǎn)品及服務(wù)體系的安全價(jià)值。
ATT&CK威脅框架只有和具體的應(yīng)用相結(jié)合,并隨著威脅的不斷演化、升級(jí)才能發(fā)揮其最佳優(yōu)勢(shì)。
來源:CCIA網(wǎng)安產(chǎn)業(yè)聯(lián)盟
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧