ISC 2020 ATT&CK安全能力衡量論壇：基于網(wǎng)絡(luò)空間安全攻防全景知識(shí)庫框架升級(jí)防御方案

ATT&CK作為近幾年最火的攻防框架，對(duì)于安全行業(yè)實(shí)際檢測(cè)的指導(dǎo)性價(jià)值日益凸顯。8月13日，第八屆互聯(lián)網(wǎng)安全大會(huì)(ISC 2020)的技術(shù)日正式啟動(dòng)，備受專業(yè)人士矚目的ATT&CK安全能力衡量分論壇如期而至。ATT&CK覆蓋的攻防技術(shù)非常龐雜和具體，大概有300項(xiàng)技術(shù)點(diǎn)，如何體系化了解其中的攻擊方案，并基于網(wǎng)絡(luò)空間安全攻防全景知識(shí)庫框架，相應(yīng)提出其防御方案是亟需當(dāng)下網(wǎng)絡(luò)安全行業(yè)重點(diǎn)解決的問題，這場(chǎng)論壇恰好為這些問題提供了答案。

出席本場(chǎng)論壇的嘉賓有來自青藤云安全COO程度、360政企安全能力評(píng)估中心負(fù)責(zé)人林聚偉、安天科技集團(tuán)安全研究員侯方勇、360靈騰安全實(shí)驗(yàn)室成員戴志斌，他們圍繞“ATT&CK高頻攻擊技術(shù)的分析與檢測(cè)” “基于ATT&CK的安全能力評(píng)估與改進(jìn)實(shí)踐”“威脅框架的端點(diǎn)安全實(shí)踐” “全補(bǔ)丁環(huán)境下的域內(nèi)攻防對(duì)抗”等議題展開技術(shù)探討與激烈的思維碰撞。

在網(wǎng)絡(luò)安全領(lǐng)域，隨著攻擊工具、方法的逐漸升級(jí)和復(fù)雜化，安全數(shù)據(jù)的大規(guī)模融合，攻防對(duì)抗愈加激烈。安全團(tuán)隊(duì)正在從浩瀚數(shù)據(jù)中發(fā)現(xiàn)高級(jí)威脅的蛛絲馬跡，把網(wǎng)絡(luò)安全專家的經(jīng)驗(yàn)、知識(shí)有效轉(zhuǎn)化為可復(fù)制可擴(kuò)展的數(shù)據(jù)分析能力。

（青藤云安全COO程度）

青藤云安全COO程度在演講中系統(tǒng)介紹了ATT&CK高頻攻擊技術(shù)TOP5、以CARET為代表的攻擊檢測(cè)技術(shù)方法論等干貨。同時(shí)，結(jié)合自身研究和實(shí)踐經(jīng)驗(yàn)，總結(jié)了ATT&CK框架中最高頻和最具代表性五大攻擊技術(shù)(Valid Account、Powershell、Masquerading、Credential Dumping、Scheduled Task)，通過對(duì)攻擊技術(shù)概念、攻擊技術(shù)復(fù)現(xiàn)和檢測(cè)分析三個(gè)維度的講解，使大家全面了解針對(duì)ATT&CK攻擊研究的三大常規(guī)步驟。

以Valid Account 攻擊介紹為例，程度指出攻擊者會(huì)使?利?漏洞獲取憑證訪問的權(quán)限技術(shù)來竊取?個(gè)特定?戶或服務(wù)賬戶的?戶名密碼或憑證，或者是通過社會(huì)?程學(xué)偵查獲得特定?戶或服務(wù)賬戶的?戶名密碼或證書，從?獲得初始訪問的權(quán)限。攻擊者可能使?的賬戶分為三類：默認(rèn)賬戶、本地賬戶和域賬戶。他基于一個(gè)Valid Account攻擊過程復(fù)現(xiàn)，向大家展示了如何針對(duì)此類攻擊，收集“異常登錄”、“賬號(hào)變更”等數(shù)據(jù)源，追蹤異常黑客的異?；顒?dòng)，檢測(cè)潛在威脅。

程度總結(jié)，要實(shí)現(xiàn)ATT&CK高頻攻擊技術(shù)的檢測(cè)，需要利用一些平臺(tái)工具方可實(shí)現(xiàn)。首先，需要能夠收集到高質(zhì)量的數(shù)據(jù);其次，還需要能夠解決異構(gòu)數(shù)據(jù)源頭的連接問題。最后，還需要一個(gè)強(qiáng)大分析引擎，能夠支持復(fù)雜的分析算法，此外還需要一個(gè)靈活的分析員。

（360政企安全能力評(píng)估中心負(fù)責(zé)人林聚偉）

360政企安全能力評(píng)估中心負(fù)責(zé)人林聚偉基于ATT&CK的安全能力評(píng)估與改進(jìn)實(shí)踐展開演講，林聚偉表示，安全運(yùn)營(yíng)面臨一些挑戰(zhàn)，例如當(dāng)前安全防御體系有效性如何;如何確定安全投資建設(shè)的優(yōu)先級(jí);能否將攻防演練的實(shí)戰(zhàn)經(jīng)驗(yàn)用以持續(xù)提升安全防御系統(tǒng)，在“戰(zhàn)時(shí)”運(yùn)維人力和廠商安全服務(wù)回歸“平時(shí)”后依然能有效應(yīng)對(duì)“常態(tài)化”攻擊。這些挑戰(zhàn)，本質(zhì)是無法衡量。那么，究竟有沒有辦法衡量防御體系應(yīng)對(duì)攻擊的有效性?實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)，相信大家的第一個(gè)想法就是攻防演練。確實(shí)，不少企業(yè)也組織了紅藍(lán)對(duì)抗，但這樣的對(duì)抗是否全面?是否覆蓋了當(dāng)前流行的攻擊行為?對(duì)于未覆蓋的點(diǎn)是否有記錄并持續(xù)推動(dòng)縱深防御體系改進(jìn)?相信能做到的很少，其根源是缺乏框架和標(biāo)準(zhǔn)。MITRE ATT&CK 模型和知識(shí)庫解決了這個(gè)問題。

基于ATT&CK框架和知識(shí)庫設(shè)計(jì)符合自身需求的防御場(chǎng)景，可以有效評(píng)估安全防御體系，入侵者模擬正是基于這樣的思路而設(shè)計(jì)的，可以模擬各種安全場(chǎng)景，以此衡量這些安全挑戰(zhàn)應(yīng)對(duì)的狀態(tài)。入侵者模擬提供自動(dòng)化模擬攻擊與安全設(shè)備評(píng)估，模擬攻擊使用自研無損的payload。這些模擬攻擊既基于ATT&CK自上而下進(jìn)行安全設(shè)備評(píng)估，也基于應(yīng)急響應(yīng)自下而上進(jìn)行安全設(shè)備評(píng)估。

（安天科技集團(tuán)安全研究員侯方勇）

端點(diǎn)是網(wǎng)絡(luò)攻防戰(zhàn)中的主戰(zhàn)場(chǎng)。安天科技集團(tuán)安全研究員侯方勇著重講解了威脅框架的端點(diǎn)安全核心能力，侯方勇表示，以 MITRE ATT&CK 為代表的威脅框架是迄今最有實(shí)用性、最具實(shí)戰(zhàn)價(jià)值的高級(jí)威脅分析手段。

據(jù)侯方勇介紹，端點(diǎn)防護(hù)作為防御的最后一道防線，應(yīng)具有以下能力：第一，應(yīng)具有合理的架構(gòu)安全體系，增強(qiáng)安全運(yùn)維能力，以減少被攻擊面;第二，具有足夠縱深的主動(dòng)防御能力，才能夠在多個(gè)環(huán)節(jié)逐步抵消威脅;第三，具有全面的信息采集與分析能力，以便發(fā)現(xiàn)常規(guī)防御手段無法發(fā)現(xiàn)的威脅。

侯方勇認(rèn)為，威脅框架使我們對(duì)端點(diǎn)主動(dòng)防御和數(shù)據(jù)采集的能力指標(biāo)有了更清晰認(rèn)知和衡量標(biāo)準(zhǔn)，我們應(yīng)以威脅框架為科學(xué)指引，在實(shí)踐中不斷積累經(jīng)驗(yàn)、提高認(rèn)知、優(yōu)化產(chǎn)品，打贏端點(diǎn)主戰(zhàn)場(chǎng)的網(wǎng)絡(luò)攻防戰(zhàn)。

（360靈騰安全實(shí)驗(yàn)室成員戴志斌）

隨著對(duì)抗的升級(jí)，域安全在紅藍(lán)對(duì)抗中越來越重要。360靈騰安全實(shí)驗(yàn)室成員戴志斌表示，域控網(wǎng)絡(luò)權(quán)限廣，網(wǎng)絡(luò)憑據(jù)多，能夠集權(quán)管理機(jī)器，在攻擊眼里即便不是靶標(biāo)也是關(guān)鍵節(jié)點(diǎn)。此外，域控不可或缺，作為信息化設(shè)備的統(tǒng)一管理認(rèn)證，是多數(shù)企業(yè)的必備基礎(chǔ)架構(gòu)。

針對(duì)域內(nèi)的滲透測(cè)試，很多人還停留在打歷史漏洞的階段，相應(yīng)的安全防護(hù)還停留在打補(bǔ)丁上。那么全補(bǔ)丁環(huán)境下的域是否絕對(duì)安全?戴志斌通過從信息收集、橫向移動(dòng)、權(quán)限提升三個(gè)安全維度，針對(duì)在全補(bǔ)丁環(huán)境下域內(nèi)的攻擊方式進(jìn)行講解并相應(yīng)提出其防御方案。

正如醫(yī)療行業(yè)中治療疑難雜癥依賴醫(yī)療專家，網(wǎng)絡(luò)空間高級(jí)威脅的防護(hù)和處置也依賴安全專家的經(jīng)驗(yàn)與知識(shí)?；蛟S這也正是本場(chǎng)ATT&CK安全能力衡量論壇的意義所在，這些經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全從業(yè)者們將最前沿、最先進(jìn)的知識(shí)與理念與大家分享，并試圖將對(duì)抗高級(jí)威脅的技巧逐步升級(jí)為權(quán)威的科學(xué)指南。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）