青藤云安全細(xì)述MITRE ATT＆CK框架的實(shí)施和使用方式

青藤在之前的文章——《一文看懂ATT&CK框架以及使用場(chǎng)景實(shí)例。關(guān)注微信公眾號(hào)：青藤云安全資訊》中詳細(xì)介紹了ATT&CK框架的概念和使用場(chǎng)景，相信大家對(duì)ATT&CK框架一定有了初步的了解，都知道了MITRE ATT＆CK框架是用于構(gòu)建檢測(cè)和響應(yīng)步驟的一個(gè)框架模板。下面筆者將介紹如何將 ATT＆CK知識(shí)庫(kù)中的內(nèi)容應(yīng)用于企業(yè)環(huán)境中。這也是很多安全人員所關(guān)注的內(nèi)容。

但是MITRE ATT＆CK框架中有好幾百種技術(shù)，并且會(huì)隨著新技術(shù)的推出以及人工智能和機(jī)器學(xué)習(xí)系統(tǒng)的部署而逐漸擴(kuò)大。那么企業(yè)應(yīng)該從哪里入手？該如何確定優(yōu)先級(jí)？又該如何構(gòu)建和管理已開(kāi)發(fā)的檢測(cè)方案呢？

如何實(shí)施MITRE ATT&CK框架

正如《孫子兵法》中所說(shuō)“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼，不知己，每戰(zhàn)必殆?！蓖?，許多安全計(jì)劃的第一步也是了解自己。

了解自己，建立威脅模型

首先了解公司的業(yè)務(wù)驅(qū)動(dòng)因素、業(yè)務(wù)運(yùn)作方式、公司資產(chǎn)排序、知識(shí)產(chǎn)權(quán)（IP）以及推動(dòng)業(yè)務(wù)和企業(yè)發(fā)展的內(nèi)部系統(tǒng)。了解如果這些業(yè)務(wù)資產(chǎn)、數(shù)據(jù)、IP或系統(tǒng)中的任何一項(xiàng)遭到攻擊，會(huì)產(chǎn)生什么樣的影響?？梢栽O(shè)想一下，如果外部攻擊者獲得了通往企業(yè)的“密道”，他們會(huì)想要什么？他們的目標(biāo)是什么呢？如果知道攻擊者的重要目標(biāo)是什么，那么就可以針對(duì)攻擊者為了獲取最有價(jià)值的資產(chǎn)可能會(huì)采用的技術(shù)，并以此采取針對(duì)性措施。

選擇檢測(cè)方案所使用的技術(shù)

面對(duì)ATT&CK那么多種技術(shù)，該如何選擇制定檢測(cè)方案所用的技術(shù)呢？查看 ATT＆CK 矩陣，可以發(fā)現(xiàn)其架構(gòu)從左到右是按入侵時(shí)間順序排列的，與攻擊者最終采用的步驟順序密切相關(guān)。例如，最左側(cè)是初始訪(fǎng)問(wèn)，它代表攻擊者開(kāi)始對(duì)企業(yè)進(jìn)行攻擊。

當(dāng)企業(yè)在矩陣中向右移動(dòng)時(shí)，攻擊者正在不斷推進(jìn)，并根據(jù)需要使用右側(cè)的這些技術(shù)。安全人員不能只是從最左側(cè)開(kāi)始建立檢測(cè)方案，然后逐步向右移動(dòng)。當(dāng)然，也不能隨機(jī)選擇任何技術(shù)。因此，選擇與公司的敏感數(shù)據(jù)、系統(tǒng)和資產(chǎn)最相關(guān)的技術(shù)才是根本。

了解不同技術(shù)的攻擊難度

企業(yè)如何進(jìn)一步縮小ATT&CK技術(shù)范圍呢？由于MITRE ATT＆CK越來(lái)越受歡迎，并且很多人都愿意共享信息，因此許多開(kāi)源和公共資源都可以作為參考資料。例如，有人按照攻擊難度來(lái)組織ATT＆CK矩陣，如下圖所示ATT&CK框架顏色標(biāo)記的圖例是根據(jù)下表1技術(shù)分類(lèi)制定的。該技術(shù)分類(lèi)表示，從上到下，難度越來(lái)越高。

圖1：使用ATT＆CK導(dǎo)航器應(yīng)用難度色碼后的ATT＆CK框架

查看數(shù)據(jù)源及子數(shù)據(jù)源

當(dāng)確定要在檢測(cè)方案中實(shí)施相關(guān)檢測(cè)技術(shù)時(shí)，需要確保有適當(dāng)?shù)臄?shù)據(jù)源來(lái)實(shí)施針對(duì)該技術(shù)的檢測(cè)方案。如下圖所示，對(duì)于圖片中的“注冊(cè)表中的憑據(jù)”，數(shù)據(jù)源包括“Windows注冊(cè)表”、“0rocess命令行參數(shù)”和“進(jìn)程監(jiān)視”。有一些檢測(cè)候選方案需要一定的數(shù)據(jù)源要求，每個(gè)技術(shù)的步驟都有與之相關(guān)的數(shù)據(jù)源。例如T1214：

圖2：T1214的數(shù)據(jù)源

企業(yè)在使用ATT&CK之前，需要先了解一下在自己企業(yè)環(huán)境中，能夠提供不同的ATT＆CK技術(shù)的通用數(shù)據(jù)源，然后確定要實(shí)施的技術(shù)檢測(cè)方案的優(yōu)先級(jí)。

圖3：ATT&CK技術(shù)和數(shù)據(jù)源

如果企業(yè)可以集成上述三個(gè)數(shù)據(jù)源，就可以最大程度地增加可以創(chuàng)建的檢測(cè)方案。另外，為了更好地了解實(shí)現(xiàn)不同ATT＆CK技術(shù)所需的數(shù)據(jù)源的整體情況，下文將重點(diǎn)介紹了檢測(cè)方案對(duì)數(shù)據(jù)源的要求。

圖4：ATT&CK數(shù)據(jù)源優(yōu)先級(jí)（1）

圖5：ATT&CK數(shù)據(jù)源優(yōu)先級(jí)（2）

此外，ATT＆CK命名的幾乎每個(gè)高級(jí)數(shù)據(jù)源都包含子數(shù)據(jù)源（該數(shù)據(jù)源的不同形式）。重要的是要了解，可以訪(fǎng)問(wèn)哪些數(shù)據(jù)源以及這些子數(shù)據(jù)源提供哪些內(nèi)容。僅找到其中一項(xiàng)子數(shù)據(jù)源是遠(yuǎn)遠(yuǎn)不夠的。需要了解自己還缺少哪些內(nèi)容，才能彌合自身在檢測(cè)功能方面的差距。

實(shí)施不同的相關(guān)技術(shù)檢測(cè)方案，例如通過(guò)Mimikatz或Rubeus進(jìn)行哈希傳遞時(shí)，可以分析哪些技術(shù)與自身組織更相關(guān)，從而減少檢測(cè)特定技術(shù)所需的子數(shù)據(jù)源數(shù)量。例如，有66種不同的技術(shù)都需要文件和進(jìn)程監(jiān)視數(shù)據(jù)源。

圖6：文件與進(jìn)程檢測(cè)（66種技術(shù)）

但是，企業(yè)相關(guān)技術(shù)可能只需要子數(shù)據(jù)源的一個(gè)子集。

圖7：文件與進(jìn)程檢測(cè)（技術(shù)變化）

例如，可以使用兩種不同的方法（Mimikatz和Rubeus）來(lái)執(zhí)行和檢測(cè)一種技術(shù)（哈希傳遞）。

圖8：Mimikatz數(shù)據(jù)映射——哈希傳遞——T1075

圖9：Rubeus數(shù)據(jù)映射——哈希傳遞——T1075

顯示子數(shù)據(jù)源子集的目的是，如果威脅情報(bào)表明某個(gè)版本與公司的環(huán)境相關(guān)性更大，則企業(yè)可以專(zhuān)注于這個(gè)版本，這會(huì)可以提高檢測(cè)方案的效率。

選擇合適工具進(jìn)行數(shù)據(jù)整合

在了解數(shù)據(jù)源的物理來(lái)源以及事件與這些物理數(shù)據(jù)源的關(guān)系之后，需要有一個(gè)信息存儲(chǔ)庫(kù)及相應(yīng)的查詢(xún)方式。可以使用圖形數(shù)據(jù)庫(kù)，并根據(jù)數(shù)據(jù)字典和公共信息模型中的信息實(shí)現(xiàn)類(lèi)似于以下圖表的內(nèi)容：

圖10：信息存儲(chǔ)庫(kù)模型

數(shù)據(jù)整合工作量非常大，這個(gè)過(guò)程可以選擇一些開(kāi)源工具輔助進(jìn)行，例如Osquery等。OSquery可以收集環(huán)境中各主機(jī)的信息，并將數(shù)據(jù)聚合到表格中。可以使用類(lèi)似SQL的查詢(xún)來(lái)訪(fǎng)問(wèn)表格中的數(shù)據(jù)并編寫(xiě)檢測(cè)方案，因此對(duì)于接觸過(guò)關(guān)系型數(shù)據(jù)庫(kù)的人來(lái)說(shuō)難度并不大。

此外，OSquery可以創(chuàng)建查詢(xún)集合，映射到ATT＆CK中的目標(biāo)TTP，進(jìn)行威脅捕獲。安全人員可以即時(shí)創(chuàng)建和執(zhí)行在線(xiàn)實(shí)時(shí)查詢(xún)。有些查詢(xún)可以識(shí)別網(wǎng)絡(luò)攻擊者，這些查詢(xún)可以集成到安全信息和事件管理（SIEM）系統(tǒng)中來(lái)。

當(dāng)然企業(yè)也可以購(gòu)買(mǎi)一些商用的平臺(tái)，當(dāng)然在購(gòu)買(mǎi)這些工具時(shí)，需要考慮以下幾點(diǎn)：

①支持哪些數(shù)據(jù)源？

該工具在多大程度上支持特定數(shù)據(jù)源？該工具使用哪種子數(shù)據(jù)源來(lái)支持特定數(shù)據(jù)源？

涵蓋哪些技術(shù)，涵蓋范圍有多大？

②了解不同工具的功能和局限性

確保該工具支持自己企業(yè)環(huán)境中的特定數(shù)據(jù)源，可以檢測(cè)不同的MITRE ATT＆CK技術(shù)。

③了解該工具提供何種級(jí)別的子數(shù)據(jù)源支持

如果該工具聲稱(chēng)支持Windows注冊(cè)表，它是否支持創(chuàng)建、刪除、修改和訪(fǎng)問(wèn)注冊(cè)表鍵值？同時(shí)，企業(yè)也需要驗(yàn)證、審核或測(cè)試工具供應(yīng)商提供的各種功能。查看該工具是否能夠與企業(yè)現(xiàn)有的SIEM和安全編排、自動(dòng)化和響應(yīng)（SOAR）基礎(chǔ)結(jié)構(gòu)集成在一起。確保能夠?qū)?shù)據(jù)推送到SIEM和SOAR基礎(chǔ)架構(gòu)，或從中抽取數(shù)據(jù)來(lái)豐富調(diào)查結(jié)果，減少誤報(bào)。

④在檢查產(chǎn)品時(shí)，了解不同類(lèi)型警告之間的差異

例如，可以通過(guò)工具提供一些與檢測(cè)方案有關(guān)的不同級(jí)別的信息。一些工具提供信息類(lèi)型的事件，其他工具提供有關(guān)MITRE ATT＆CK技術(shù)的特定參照信息，并對(duì)有關(guān)事件進(jìn)行更深入的說(shuō)明。當(dāng)然提供的信息越豐富，后期進(jìn)行事件分類(lèi)時(shí)所需的工作就越少。

寫(xiě)在最后

當(dāng)然，ATT&CK也不是一家獨(dú)有的秘籍，所有攻擊者與防守者一樣，都有MITRE ATT＆CK框架的訪(fǎng)問(wèn)權(quán)限，因此攻擊者知道企業(yè)將會(huì)使用哪種數(shù)據(jù)源以及如何檢測(cè)這些數(shù)據(jù)源的。因此，企業(yè)也需要了解攻擊者采用了哪些技術(shù)來(lái)繞過(guò)自己的檢測(cè)和防御措施。例如，攻擊者可能會(huì)創(chuàng)建錯(cuò)誤和誤導(dǎo)性信息，讓終端檢測(cè)和響應(yīng)解決方案失去作用。例如，暫停一個(gè)最初創(chuàng)建的進(jìn)行，并進(jìn)行日志記錄，然后修改其運(yùn)行時(shí)命令和參數(shù)，然后繼續(xù)執(zhí)行該進(jìn)程，讓攻擊者提供的命令得以執(zhí)行而不被記錄下來(lái)。然后將命令改寫(xiě)回其合法版本，騙過(guò)運(yùn)行時(shí)分析工具。

因此，安全人員也需要與時(shí)俱進(jìn)，了解攻擊者的“欺騙手段”，才能讓ATT&CK發(fā)揮更大價(jià)值。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。