国产美女在线免费观看,久久99亚洲精品

Google趨勢顯示，這個(gè)帶著奇怪的“＆”符號的詞語——ATT＆CK非常受歡迎。但是，MITRE ATT＆CK?的內(nèi)涵是什么呢？為什么網(wǎng)絡(luò)安全專家應(yīng)該關(guān)注ATT＆CK呢？

過去12個(gè)月中，對MITRE ATT＆CK的搜索熱度顯著增長

一、ATT&CK框架背景介紹

MITRE是美國政府資助的一家研究機(jī)構(gòu)，該公司于1958年從MIT分離出來，并參與了許多商業(yè)和最高機(jī)密項(xiàng)目。其中包括開發(fā)FAA空中交通管制系統(tǒng)和AWACS機(jī)載雷達(dá)系統(tǒng)。MITRE在美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的資助下從事了大量的網(wǎng)絡(luò)安全實(shí)踐。

MITRE在2013年推出了ATT&CK模型，它是根據(jù)真實(shí)的觀察數(shù)據(jù)來描述和分類對抗行為。ATT&CK將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式（STIX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）來表示。由于此列表相當(dāng)全面地呈現(xiàn)了攻擊者在攻擊網(wǎng)絡(luò)時(shí)所采用的行為，因此對于各種進(jìn)攻性和防御性度量、表示和其他機(jī)制都非常有用。

MITRE ATT&CK的目標(biāo)是創(chuàng)建網(wǎng)絡(luò)攻擊中使用的已知對抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。在過去的一年中，MITRE ATT&CK框架在安全行業(yè)中廣受歡迎。簡單來說，ATT&CK是MITRE提供的“對抗戰(zhàn)術(shù)、技術(shù)和常識”框架，是由攻擊者在攻擊企業(yè)時(shí)會(huì)利用的12種戰(zhàn)術(shù)和244種企業(yè)技術(shù)組成的精選知識庫。

ATT&CK會(huì)詳細(xì)介紹每一種技術(shù)的利用方式，以及為什么了解這項(xiàng)技術(shù)對于防御者來說很重要。這極大地幫助了安全人員更快速地了解不熟悉的技術(shù)。例如，對于甲方企業(yè)而言，平臺和數(shù)據(jù)源非常重要，企業(yè)安全人員需要了解應(yīng)該監(jiān)控哪些系統(tǒng)以及需要從中收集哪些內(nèi)容，才能減輕或檢測由于入侵技術(shù)濫用造成的影響。這時(shí)候，ATT&CK場景示例就派上用場了。針對每種技術(shù)都有具體場景示例，說明攻擊者是如何通過某一惡意軟件或行動(dòng)方案來利用該技術(shù)的。ATT&CK每個(gè)示例都采用Wikipedia的風(fēng)格，引用了許多博客和安全研究團(tuán)隊(duì)發(fā)表的文章。因此如果ATT&CK中沒有直接提供內(nèi)容，通?？梢栽谶@些鏈接的文章中找到。

因此，現(xiàn)在很多企業(yè)都開始研究ATT&CK，在這一過程中通常會(huì)看到企業(yè)組織采用兩種方法。首先是盤點(diǎn)其安全工具，讓安全廠商提供一份對照ATT&CK覆蓋范圍的映射圖。盡管這是最簡單、最快速的方法，但供應(yīng)商提供的覆蓋范圍可能與企業(yè)實(shí)際部署工具的方式并不匹配。此外，也有些企業(yè)組織在按照戰(zhàn)術(shù)逐項(xiàng)進(jìn)行評估企業(yè)安全能力。以持久化戰(zhàn)術(shù)為例，這些技術(shù)可能非常復(fù)雜，而且，僅僅緩解其中一部分技術(shù)，并不意味著攻擊者無法以其它方式濫用這項(xiàng)技術(shù)。

二、MITRE ATT＆CK與Kill Chain的對比

總體來說，ATT&CK模型是在洛克希德-馬丁公司提出的KillChain模型的基礎(chǔ)上，構(gòu)建了一套更細(xì)粒度、更易共享的知識模型和框架。目前ATT&CK模型分為三部分，分別是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK覆蓋Kill Chain模型的前兩個(gè)階段，包含了與攻擊者在嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。ATT&CK for Enterprise覆蓋Kill Chain的后五個(gè)階段，ATT&CK for Enterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術(shù)和戰(zhàn)術(shù)部分。ATT&CK for Mobile包含適用于移動(dòng)設(shè)備的戰(zhàn)術(shù)和技術(shù)。

但是，ATT&CK的戰(zhàn)術(shù)跟洛克希德·馬丁的網(wǎng)絡(luò)殺傷鏈不一樣，并沒有遵循任何線性順序。相反，攻擊者可以隨意切換戰(zhàn)術(shù)來實(shí)現(xiàn)最終目標(biāo)。沒有一種戰(zhàn)術(shù)比其它戰(zhàn)術(shù)更重要。企業(yè)組織必須對當(dāng)前覆蓋范圍進(jìn)行分析，評估組織面臨的風(fēng)險(xiǎn)，并采用有意義措施來彌合差距。

除了在Kill Chain戰(zhàn)術(shù)上更加細(xì)化之外，ATT＆CK還描述了可以在每個(gè)階段使用的技術(shù)，而Kill Chain則沒有這些內(nèi)容。

三、ATT＆CK框架的使用

從視覺角度來看，MITRE ATT＆CK矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術(shù)和技術(shù)進(jìn)行排列。攻擊戰(zhàn)術(shù)展示在矩陣頂部，每列下面列出了單獨(dú)的技術(shù)。一個(gè)攻擊序列按照戰(zhàn)術(shù)，至少包含一個(gè)技術(shù)，并且通過從左側(cè)（初始訪問）向右側(cè)（影響）移動(dòng)，就構(gòu)建了一個(gè)完整的攻擊序列。一種戰(zhàn)術(shù)可能使用多種技術(shù)。例如，攻擊者可能同時(shí)嘗試魚叉式網(wǎng)絡(luò)釣魚攻擊中的釣魚附件和釣魚鏈接。

ATT＆CK矩陣頂部為攻擊戰(zhàn)術(shù)，每列包含多項(xiàng)技術(shù)

ATT＆CK戰(zhàn)術(shù)按照邏輯分布在多個(gè)矩陣中，并以“初始訪問”戰(zhàn)術(shù)開始。例如：發(fā)送包含惡意附件的魚叉式網(wǎng)絡(luò)釣魚郵件就是該戰(zhàn)術(shù)下的一項(xiàng)技術(shù)。ATT＆CK中的每種技術(shù)都有唯一的ID號碼，例如，此處所使用的技術(shù)T1193。矩陣中的下一個(gè)戰(zhàn)術(shù)是“執(zhí)行”。在該戰(zhàn)術(shù)下，有“用戶執(zhí)行/ T1204”技術(shù)。該技術(shù)描述了在用戶執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣中后面的階段中，您將遇到“提升特權(quán)”、“橫向移動(dòng)”和“滲透”之類的戰(zhàn)術(shù)。

攻擊者無需使用矩陣頂部所示的所有12項(xiàng)戰(zhàn)術(shù)。相反，攻擊者會(huì)使用最少數(shù)量的戰(zhàn)術(shù)來實(shí)現(xiàn)其目標(biāo)，因?yàn)檫@可以提高效率并且降低被發(fā)現(xiàn)的幾率。例如，對手使用電子郵件中傳遞的魚叉式網(wǎng)絡(luò)釣魚鏈接對CEO行政助理的憑據(jù)進(jìn)行“初始訪問”。獲得管理員的憑據(jù)后，攻擊者將在“發(fā)現(xiàn)”階段尋找遠(yuǎn)程系統(tǒng)。接下來可能是在Dropbox文件夾中尋找敏感數(shù)據(jù)，管理員對此也有訪問權(quán)限，因此無需提升權(quán)限。然后攻擊者通過將文件從Dropbox下載到攻擊者的計(jì)算機(jī)來完成收集。

攻擊示例（攻擊中使用了不同戰(zhàn)術(shù)中的技術(shù)）

ATT＆CK 導(dǎo)航工具是一個(gè)很有用的工具，可用于映射針對ATT＆CK技術(shù)的控制措施?？梢蕴砑硬煌膶?，來顯示特定的檢測控制措施、預(yù)防控制措施甚至觀察到的行為。導(dǎo)航工具可以在線使用，快速搭建模型或場景，也可以下載下來，進(jìn)行內(nèi)部設(shè)置，作為一個(gè)持久化的解決方案。

下文，筆者將針對ATT&CK框架中的12種戰(zhàn)術(shù)的中心思想以及如何緩解和檢測戰(zhàn)術(shù)中的某些技術(shù)進(jìn)行一些解讀。

01、初始訪問

盡管ATT&CK并不是按照任何線性順序排列的，但初始訪問是攻擊者在企業(yè)環(huán)境中的立足點(diǎn)。對于企業(yè)來說，該戰(zhàn)術(shù)是從PRE-ATT&CK到ATT&CK的理想過渡點(diǎn)。攻擊者會(huì)使用不同技術(shù)來實(shí)現(xiàn)初始訪問技術(shù)。

例如，假設(shè)攻擊者使用Spearphishing（魚叉式）附件。附件本身將利用某種類型的漏洞來實(shí)現(xiàn)該級別的訪問，例如PowerShell或其它腳本技術(shù)。如果執(zhí)行成功，可以讓攻擊者采用其它策略和技術(shù)來實(shí)現(xiàn)其最終目標(biāo)。幸運(yùn)的是，由于這些技術(shù)眾所周知，因此有許多技術(shù)和方法可用于減輕和檢測每種技術(shù)的濫用情況。

此外，安全人員也可以將ATT&CK和CIS控制措施相結(jié)合，這將發(fā)揮更大作用。對于初始訪問這種戰(zhàn)術(shù)，我認(rèn)為其中三項(xiàng)CIS控制措施能發(fā)揮極大作用。

（1）控制措施4：控制管理員權(quán)限的使用。如果攻擊者可以成功使用有效帳戶或讓管理員打開spearphishing附件，后續(xù)攻擊將變得更加輕松。

（2）控制措施7：電子郵件和Web瀏覽器保護(hù)。由于這些技術(shù)中的許多技術(shù)都涉及電子郵件和、Web瀏覽器的使用，因此，控制措施7中的子控制措施將非常有用。

（3）控制措施16：帳戶監(jiān)視和控制。充分了解帳戶應(yīng)執(zhí)行的操作并鎖定權(quán)限，不僅有助于限制數(shù)據(jù)泄露造成的損害，還可以發(fā)揮檢測網(wǎng)絡(luò)中有效帳戶濫用的功能。

初始訪問是攻擊者將在企業(yè)環(huán)境中的落腳點(diǎn)。想要盡早終止攻擊，那么“初始訪問”將是一個(gè)很合適的起點(diǎn)。此外，如果企業(yè)已經(jīng)采用了CIS控制措施并且正在開始采用ATT&CK的方法，這將會(huì)很有用。

02、執(zhí)行

在對手在進(jìn)攻中所采取的所有戰(zhàn)術(shù)中，應(yīng)用最廣泛的戰(zhàn)術(shù)莫過于“執(zhí)行”。攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時(shí)，他們都會(huì)選擇“執(zhí)行”。由于惡意軟件必須運(yùn)行，因此防御者就有機(jī)會(huì)阻止或檢測到它。但是，并非所有惡意軟件都是可以用殺毒軟件輕松查找其惡意可執(zhí)行文件。

此外，對于命令行界面或PowerShell對于攻擊者而言非常有用。許多無文件惡意軟件都專門利用了其中一種技術(shù)或綜合使用這兩種技術(shù)。這些類型的技術(shù)對攻擊者的威力在于，終端上已經(jīng)安裝了上述技術(shù)，而且很少會(huì)刪除。系統(tǒng)管理員和高級用戶每天都依賴其中一些內(nèi)置工具。ATT&CK中的緩解控制措施甚至聲明了，這些控制措施也無法刪除上述技術(shù)，只能對其進(jìn)行審計(jì)。而攻擊者所依賴的就是，終端上安裝采用了這些技術(shù)，因此要獲得對攻擊者的優(yōu)勢，只能對這些技術(shù)進(jìn)行審計(jì)，然后將它們相關(guān)數(shù)據(jù)收集到中央位置進(jìn)行審核。

最后，應(yīng)用白名單是緩解惡意軟件攻擊時(shí)最有用的控制措施。但和任何技術(shù)一樣，這不是解決所有問題的靈丹妙藥。但是，應(yīng)用白名單會(huì)降低攻擊者的速度，并且還可能迫使他們逃離舒適區(qū)，嘗試其它策略和技術(shù)。當(dāng)攻擊者被迫離開自己的舒適區(qū)之外時(shí)，他們就有可能犯錯(cuò)。

如果企業(yè)當(dāng)前正在應(yīng)用CIS關(guān)鍵安全控制措施，該戰(zhàn)術(shù)與控制措施2——已授權(quán)和未授權(quán)軟件清單非常匹配。從緩解的角度來看，企業(yè)無法防護(hù)自己未知的東西，因此，第一步是要了解自己的財(cái)產(chǎn)。要正確利用ATT&CK，企業(yè)不僅需要深入了解已安裝的應(yīng)用程序。還要清楚內(nèi)置工具或附加組件會(huì)給企業(yè)組織帶來的額外風(fēng)險(xiǎn)。在這個(gè)環(huán)節(jié)中，可以采用一些安全廠商的資產(chǎn)清點(diǎn)工具，例如青藤等主機(jī)安全廠商都能提供詳細(xì)的軟件資產(chǎn)清單。

03、持久化

除了勒索軟件以外，持久化是最受攻擊者追捧的技術(shù)之一。攻擊者希望盡可能減少工作量，包括減少訪問攻擊對象的時(shí)間。即便運(yùn)維人員采取重啟、更改憑據(jù)等措施后，持久化仍然可以讓計(jì)算機(jī)再次感染病毒或維護(hù)其現(xiàn)有連接。例如注冊表Run鍵、啟動(dòng)文件夾是最常用的技術(shù)，這些注冊表鍵或文件系統(tǒng)位置在每次啟動(dòng)計(jì)算機(jī)時(shí)都會(huì)執(zhí)行。因此攻擊者在啟動(dòng)諸如Web瀏覽器或Microsoft Office等常用應(yīng)用時(shí)開始獲得持久化。

此外，還有使用“鏡像劫持（IFEO）注入”等技術(shù)來修改文件的打開方式，在注冊表中創(chuàng)建一個(gè)輔助功能的注冊表項(xiàng)，并根據(jù)鏡像劫持的原理添加鍵值，實(shí)現(xiàn)系統(tǒng)在未登錄狀態(tài)下，通過快捷鍵運(yùn)行自己的程序。

在所有ATT&CK戰(zhàn)術(shù)中，筆者認(rèn)為持久化是最應(yīng)該關(guān)注的戰(zhàn)術(shù)之一。如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除，很有可能它還會(huì)重新出現(xiàn)。這可能是因?yàn)橛新┒催€未修補(bǔ)，但也可能是因?yàn)楣粽咭呀?jīng)在此或網(wǎng)絡(luò)上的其它地方建立了持久化。與使用其它一些戰(zhàn)術(shù)和技術(shù)相比，使用持久化攻擊應(yīng)該相對容易一些。

04、提升權(quán)限

所有攻擊者都會(huì)對提權(quán)愛不釋手，利用系統(tǒng)漏洞達(dá)到root級訪問權(quán)是攻擊者核心目標(biāo)之一。其中一些技術(shù)需要系統(tǒng)級的調(diào)用才能正確使用，Hooking和進(jìn)程注入就是兩個(gè)示例。該戰(zhàn)術(shù)中的許多技術(shù)都是針對被攻擊的底層操作系統(tǒng)而設(shè)計(jì)，要緩解可能很困難。

ATT&CK提出“應(yīng)重點(diǎn)防止對抗工具在活動(dòng)鏈中的早期階段運(yùn)行，并重點(diǎn)識別隨后的惡意行為?！边@意味著需要利用縱深防御來防止感染病毒，例如終端的外圍防御或應(yīng)用白名單。對于超出ATT&CK建議范圍之外的權(quán)限升級，一種良好的防止方式是在終端上使用加固基線。例如CIS基線提供了詳細(xì)的分步指南，指導(dǎo)企業(yè)如何加固系統(tǒng)，抵御攻擊。

應(yīng)對此類攻擊戰(zhàn)術(shù)另一個(gè)辦法是審計(jì)日志記錄。當(dāng)攻擊者采用其中某些技術(shù)時(shí)，它們將留下蛛絲馬跡，暴露他們的目的。尤其是針對主機(jī)側(cè)的日志，如果能夠記錄服務(wù)器的所有運(yùn)維命令，進(jìn)行存證以及實(shí)時(shí)審計(jì)。例如，實(shí)時(shí)審計(jì)運(yùn)維人員在服務(wù)器上操作步驟，一旦發(fā)現(xiàn)不合規(guī)行為可以進(jìn)行實(shí)時(shí)告警，也可以作為事后審計(jì)存證。也可以將數(shù)據(jù)信息對接給SOC、態(tài)勢感知等產(chǎn)品，也可以對接給編排系統(tǒng)。

05、防御繞過

到目前為止，該戰(zhàn)術(shù)所擁有的技術(shù)是MITRE ATT&CK框架所述戰(zhàn)術(shù)中最多的。該戰(zhàn)術(shù)的一個(gè)有趣之處是某些惡意軟件，例如勒索軟件，對防御繞過毫不在乎。他們的唯一目標(biāo)是在設(shè)備上執(zhí)行一次，然后盡快被發(fā)現(xiàn)。

一些技術(shù)可以騙過防病毒（AV）產(chǎn)品，讓這些防病毒產(chǎn)品根本無法對其進(jìn)行檢查，或者繞過應(yīng)用白名單技術(shù)。例如，禁用安全工具、文件刪除和修改注冊表都是可以利用的技術(shù)。當(dāng)然防御者可以通過監(jiān)視終端上的更改并收集關(guān)鍵系統(tǒng)的日志將會(huì)讓入侵無處遁形。

06、憑據(jù)訪問

毫無疑問，攻擊者最想要的憑據(jù)，尤其是管理憑據(jù)。如果攻擊者可以登錄，為什么要用0Day或冒險(xiǎn)采用漏洞入侵呢？這就猶如小偷進(jìn)入房子，如果能夠找到鑰匙開門，沒人會(huì)愿意砸破窗戶方式進(jìn)入。

任何攻擊者進(jìn)入企業(yè)都希望保持一定程度的隱身。他們將希望竊取盡可能多的憑據(jù)。他們當(dāng)然可以暴力破解，但這種攻擊方式噪聲太大了。還有許多竊取哈希密碼及哈希傳遞或離線破解哈希密碼的示例。最后，攻擊者最喜歡方式是竊取明文密碼。明文密碼可能存儲(chǔ)在明文文件、數(shù)據(jù)庫甚至注冊表中。攻擊者入侵一個(gè)系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見。

應(yīng)對憑據(jù)訪問最簡單辦法就是采用復(fù)雜密碼。建議使用大小寫、數(shù)字和特殊字符組合，目標(biāo)是讓攻擊者難以破解密碼。最后一步就是監(jiān)視有效帳戶的使用情況。在很多情況下，是通過有效賬戶發(fā)生的數(shù)據(jù)泄露。

當(dāng)然最穩(wěn)妥辦法辦法就是啟用多因素驗(yàn)證。即使存在針對雙重驗(yàn)證的攻擊，有雙重驗(yàn)證（2FA）總比沒有好。通過啟用多因素驗(yàn)證，可以確保破解密碼的攻擊者在訪問環(huán)境中的關(guān)鍵數(shù)據(jù)時(shí)，仍會(huì)遇到另一個(gè)障礙。

07、發(fā)現(xiàn)

“發(fā)現(xiàn)”戰(zhàn)術(shù)是一種難以防御的策略。它與洛克希德·馬丁網(wǎng)絡(luò)Kill Chain的偵察階段有很多相似之處。組織機(jī)構(gòu)要正常運(yùn)營業(yè)務(wù)，肯定會(huì)暴露某些特定方面的內(nèi)容。

最常用的是應(yīng)用白名單，可以解決大多數(shù)惡意軟件。此外，欺騙防御也是一個(gè)很好方法。放置一些虛假信息讓攻擊者發(fā)現(xiàn)，進(jìn)而檢測到對手的活動(dòng)。通過監(jiān)視，可以跟蹤用戶是否正在訪問不應(yīng)訪問的文檔。

由于用戶通常在日常工作中執(zhí)行各種技術(shù)中所述的許多操作，因此，從各種干擾中篩選出惡意活動(dòng)可能非常困難。理解哪些操作屬于正?，F(xiàn)象，并為預(yù)期行為設(shè)定基準(zhǔn)時(shí)，會(huì)在嘗試使用這一戰(zhàn)術(shù)時(shí)有所幫助。

08、橫向移動(dòng)

攻擊者在利用單個(gè)系統(tǒng)漏洞后，通常會(huì)嘗試在網(wǎng)絡(luò)內(nèi)進(jìn)行橫向移動(dòng)。甚至通常一次只針對單個(gè)系統(tǒng)的勒索軟件也試圖在網(wǎng)絡(luò)中移動(dòng)以尋找其它攻擊目標(biāo)。攻擊者通常會(huì)先尋找一個(gè)落腳點(diǎn)，然后開始在各個(gè)系統(tǒng)中移動(dòng)，尋找更高的訪問權(quán)限，以期達(dá)成最終目標(biāo)。

在緩解和檢測對該特定技術(shù)的濫用方面，適當(dāng)?shù)木W(wǎng)絡(luò)分段可以在很大程度上緩解風(fēng)險(xiǎn)。將關(guān)鍵系統(tǒng)放置在一個(gè)子網(wǎng)中，將通用用戶放置在另一個(gè)子網(wǎng)中，將系統(tǒng)管理員放置在第三個(gè)子網(wǎng)中，有助于快速隔離較小網(wǎng)絡(luò)中的橫向移動(dòng)。在終端和交換機(jī)級別都設(shè)置防火墻也將有助于限制橫向移動(dòng)。

遵循CIS 控制措施 14——基于需要了解受控訪問是一個(gè)很好的切入點(diǎn)。除此之外，還應(yīng)遵循控制措施4——控制管理員權(quán)限的使用。攻擊者尋求的是管理員憑據(jù)，因此，嚴(yán)格控制管理員憑據(jù)的使用方式和位置，將會(huì)提高攻擊者竊取管理員憑據(jù)的難度。此控制措施的另一部分是記錄管理憑據(jù)的使用情況。即使管理員每天都在使用其憑據(jù)，但他們應(yīng)該遵循其常規(guī)模式。發(fā)現(xiàn)異常行為可能表明攻擊者正在濫用有效憑據(jù)。

除了監(jiān)視身份驗(yàn)證日志外，審計(jì)日志也很重要。域控制器上的事件ID 4769表示，Kerberos黃金票證密碼已重置兩次，這可能表明存在票據(jù)傳遞攻擊?；蛘?，如果攻擊者濫用遠(yuǎn)程桌面協(xié)議，審計(jì)日志將提供有關(guān)攻擊者計(jì)算機(jī)的信息。

09、收集

ATT&CK “收集”戰(zhàn)術(shù)概述了攻擊者為了發(fā)現(xiàn)和收集實(shí)現(xiàn)目標(biāo)所需的數(shù)據(jù)而采取的技術(shù)。該戰(zhàn)術(shù)中列出的許多技術(shù)都沒有關(guān)于如何減輕這些技術(shù)的實(shí)際指導(dǎo)。實(shí)際上，大多數(shù)都是含糊其辭，稱使用應(yīng)用白名單，或者建議在生命周期的早期階段阻止攻擊者。

但是，企業(yè)可以使用該戰(zhàn)術(shù)中的各種技術(shù)，了解更多有關(guān)惡意軟件是如何處理組織機(jī)構(gòu)中數(shù)據(jù)的信息。攻擊者會(huì)嘗試竊取有關(guān)當(dāng)前用戶的信息，包括屏幕上有什么內(nèi)容、用戶在輸入什么內(nèi)容、用戶討論的內(nèi)容以及用戶的外貌特征。除此之外，他們還會(huì)尋求本地系統(tǒng)上的敏感數(shù)據(jù)以及網(wǎng)絡(luò)上其它地方的數(shù)據(jù)。

了解企業(yè)存儲(chǔ)敏感數(shù)據(jù)的位置，并采用適當(dāng)?shù)目刂拼胧┘右员Ｗo(hù)。這個(gè)過程遵循CIS控制措施14——基于需要了解受控訪問,可以幫助防止數(shù)據(jù)落入敵手。對于極其敏感的數(shù)據(jù)，可查看更多的日志記錄，了解哪些人正在訪問該數(shù)據(jù)以及他們正在使用該數(shù)據(jù)做什么。

10、命令和控制

現(xiàn)在大多數(shù)惡意軟件都有一定程度的命令和控制權(quán)。黑客可以通過命令和控制權(quán)來滲透數(shù)據(jù)、告訴惡意軟件下一步執(zhí)行什么指令。對于每種命令和控制，攻擊者都是從遠(yuǎn)程位置訪問網(wǎng)絡(luò)。因此了解網(wǎng)絡(luò)上發(fā)生的事情對于解決這些技術(shù)至關(guān)重要。

在許多情況下，正確配置防火墻可以起到一定作用。一些惡意軟件家族會(huì)試圖在不常見的網(wǎng)絡(luò)端口上隱藏流量，也有一些惡意軟件會(huì)使用80和443等端口來嘗試混入網(wǎng)絡(luò)噪音中。在這種情況下，企業(yè)需要使用邊界防火墻來提供威脅情報(bào)數(shù)據(jù)，識別惡意URL和IP地址。雖然這不會(huì)阻止所有攻擊，但有助于過濾一些常見的惡意軟件。

如果邊界防火墻無法提供威脅情報(bào)，則應(yīng)將防火墻或邊界日志發(fā)送到日志服務(wù)處理中心，安全引擎服務(wù)器可以對該級別數(shù)據(jù)進(jìn)行深入分析。例如Splunk等工具為識別惡意命令和控制流量提供了良好的方案。

11、數(shù)據(jù)滲漏

攻擊者獲得訪問權(quán)限后，會(huì)四處搜尋相關(guān)數(shù)據(jù)，然后開始著手?jǐn)?shù)據(jù)滲透。但并不是所有惡意軟件都能到達(dá)這個(gè)階段。例如，勒索軟件通常對數(shù)據(jù)逐漸滲出沒有興趣。與“收集”戰(zhàn)術(shù)一樣，該戰(zhàn)術(shù)對于如何緩解攻擊者獲取公司數(shù)據(jù)，幾乎沒有提供指導(dǎo)意見。

在數(shù)據(jù)通過網(wǎng)絡(luò)滲漏的情況下，建立網(wǎng)絡(luò)入侵檢測或預(yù)防系統(tǒng)有助于識別何時(shí)傳輸數(shù)據(jù)，尤其是在攻擊者竊取大量數(shù)據(jù)（如客戶數(shù)據(jù)庫）的情況下。此外，盡管DLP成本高昂，程序復(fù)雜，但可以確定敏感數(shù)據(jù)何時(shí)會(huì)泄露出去。IDS、IPS和DLP都不是100%準(zhǔn)確的，所以部署一個(gè)縱深防御體系結(jié)構(gòu)以確保機(jī)密數(shù)據(jù)保持機(jī)密。

如果企業(yè)組織機(jī)構(gòu)要處理高度敏感的數(shù)據(jù)，那么應(yīng)重點(diǎn)關(guān)注限制外部驅(qū)動(dòng)器的訪問權(quán)限，例如USB接口，限制其對這些文件的訪問權(quán)限，即可禁用他們裝載外部驅(qū)動(dòng)器的功能。

要正確地解決這個(gè)戰(zhàn)術(shù)，首先需要知道組織機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)所在的位置。如果這些數(shù)據(jù)還在，可以按照CIS 控制措施14——基于需要了解受控訪問，來確保數(shù)據(jù)安全。之后，按照CIS控制措施13——數(shù)據(jù)保護(hù)中的說明了解如何監(jiān)視試圖訪問數(shù)據(jù)的用戶。

12、影響

攻擊者試圖操縱、中斷或破壞企業(yè)的系統(tǒng)和數(shù)據(jù)。用于影響的技術(shù)包括破壞或篡改數(shù)據(jù)。在某些情況下，業(yè)務(wù)流程可能看起來很好，但可能已經(jīng)更改為有利于對手的目標(biāo)。這些技術(shù)可能被對手用來完成他們的最終目標(biāo)，或者為機(jī)密泄露提供掩護(hù)。

例如攻擊者可能破壞特定系統(tǒng)數(shù)據(jù)和文件，從而中斷系統(tǒng)服務(wù)和網(wǎng)絡(luò)資源的可用性。數(shù)據(jù)銷毀可能會(huì)通過覆蓋本地或遠(yuǎn)程驅(qū)動(dòng)器上的文件或數(shù)據(jù)使存儲(chǔ)的數(shù)據(jù)無法恢復(fù)。針對這類破壞可以考慮實(shí)施IT災(zāi)難恢復(fù)計(jì)劃，其中包含用于進(jìn)行可用于還原組織數(shù)據(jù)的常規(guī)數(shù)據(jù)備份的過程。

四、ATT&CK使用場景

ATT＆CK在各種日常環(huán)境中都很有價(jià)值。開展任何防御活動(dòng)時(shí)，可以應(yīng)用ATT＆CK分類法，參考攻擊者及其行為。ATT＆CK不僅為網(wǎng)絡(luò)防御者提供通用技術(shù)庫，還為滲透測試和紅隊(duì)提供了基礎(chǔ)。提到對抗行為時(shí)，這為防御者和紅隊(duì)成員提供了通用語言。企業(yè)組織可以使用多種方式來使用MITRE ATT＆CK。下文是一些常見的主要場景：

（1）對抗模擬

ATT＆CK可用于創(chuàng)建對抗性模擬場景，測試和驗(yàn)證針對常見對抗技術(shù)的防御方案。

（2）紅隊(duì)/滲透測試活動(dòng)

紅隊(duì)、紫隊(duì)和滲透測試活動(dòng)的規(guī)劃、執(zhí)行和報(bào)告可以使用ATT＆CK，以便防御者和報(bào)告接收者以及其內(nèi)部之間有一個(gè)通用語言。

（3）制定行為分析方案

ATT＆CK可用于構(gòu)建和測試行為分析方案，以檢測環(huán)境中的對抗行為。

（4）防御差距評估

ATT＆CK可以用作以行為為核心的常見對抗模型，以評估組織企業(yè)內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。在研究MITRE ATT＆CK時(shí)，大多數(shù)安全團(tuán)隊(duì)都傾向于為Enterprise矩陣中的每種技術(shù)嘗試開發(fā)某種檢測或預(yù)防控制措施。雖然這并不是一個(gè)壞主意，但是ATT＆CK矩陣中的技術(shù)通常可以通過多種方式執(zhí)行。因此，阻止或檢測執(zhí)行這些技術(shù)的一種方法并不一定意味著涵蓋了執(zhí)行該技術(shù)的所有可能方法。由于某種工具阻止了用另一種形式來采用這種技術(shù)，而組織機(jī)構(gòu)已經(jīng)適當(dāng)?shù)夭捎昧诉@種技術(shù)，這可能導(dǎo)致產(chǎn)生一種虛假的安全感。但是，攻擊者仍然可以成功地采用其他方式來采用該技術(shù)，但防御者卻沒有任何檢測或預(yù)防措施。

（5）SOC成熟度評估

ATT＆CK可用作一種度量，確定SOC在檢測、分析和響應(yīng)入侵方面的有效性。SOC團(tuán)隊(duì)可以參考ATT＆CK已檢測到或未涵蓋的技術(shù)和戰(zhàn)術(shù)。這有助于了解防御優(yōu)勢和劣勢在哪里，并驗(yàn)證緩解和檢測控制措施，并可以發(fā)現(xiàn)配置錯(cuò)誤和其他操作問題。

（6）網(wǎng)絡(luò)威脅情報(bào)收集

ATT＆CK對于網(wǎng)絡(luò)威脅情報(bào)很有用，因?yàn)锳TT＆CK是在用一種標(biāo)準(zhǔn)方式描述對抗行為?？梢愿鶕?jù)攻擊者已知利用的ATT＆CK中的技術(shù)和戰(zhàn)術(shù)來跟蹤攻擊主體。這為防御者提供了一個(gè)路線圖，讓他們可以對照他們的操作控制措施，查看對某些攻擊主體而言，他們在哪些方面有弱點(diǎn)，在哪些方面有優(yōu)勢。針對特定的攻擊主體，創(chuàng)建MITRE ATT＆CK 導(dǎo)航工具內(nèi)容，是一種觀察環(huán)境中對這些攻擊主體或團(tuán)體的優(yōu)勢和劣勢的好方法。ATT＆CK還可以為STIX 和 TAXII 2.0提供內(nèi)容，從而可以很容易地將支持這些技術(shù)的現(xiàn)有工具納入中。

ATT＆CK提供了將近70個(gè)攻擊主體和團(tuán)體的詳細(xì)信息，包括根據(jù)開放源代碼報(bào)告顯示，已知他們所使用的技術(shù)和工具。

使用ATT＆CK的通用語言，為情報(bào)創(chuàng)建過程提供了便利。如前所述，這適用于攻擊主體和團(tuán)體，但也適用于從SOC或事件響應(yīng)活動(dòng)中觀察到的行為。也可以通過ATT＆CK介紹惡意軟件的行為。任何支持ATT＆CK的威脅情報(bào)工具都可以簡化情報(bào)創(chuàng)建過程。將ATT＆CK應(yīng)用于任何提及的行為的商業(yè)和開源情報(bào)也有助于保持情報(bào)的一致性。當(dāng)各方圍繞對抗行為使用相同的語言時(shí)，將情報(bào)傳播到運(yùn)維人員或管理人員變得容易得多了。如果運(yùn)營人員確切地知道什么是強(qiáng)制驗(yàn)證，并且在情報(bào)報(bào)告中看到了這一信息，則他們可能確切地知道應(yīng)該對該情報(bào)采取什么措施或已經(jīng)采取了哪些控制措施。以這種方式，實(shí)現(xiàn)ATT＆CK對情報(bào)產(chǎn)品介紹的標(biāo)準(zhǔn)化可以大大提高效率并確保達(dá)成共識。

寫在最后

青藤云安全表示，MITRE為大家提供了ATT＆CK及其相關(guān)工具和資源，為安全界做出了重大貢獻(xiàn)。它的出現(xiàn)恰合時(shí)宜。由于攻擊者正在尋找更隱蔽的方法并避免傳統(tǒng)安全工具的檢測，因此防御者不得不改變檢測和防御方式。ATT＆CK改變了我們對IP地址和域名等低級指標(biāo)的認(rèn)知，并讓我們從行為的視角來看待攻擊者和防御措施。與過去“一勞永逸”的工具相比，檢測和預(yù)防行為之路要困難得多。此外，隨著防御者帶來新的功能，攻擊者肯定會(huì)作出相應(yīng)調(diào)整。ATT＆CK提供了一種方法來描述他們開發(fā)的新技術(shù)，并希望防御者能夠緊隨技術(shù)發(fā)展的新步伐。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

青藤云安全：一文看懂ATT＆CK框架以及使用場景實(shí)例

下一篇