ATT&CK如何落地到安全产品
科普:ATT&CK是什么
ATT&CK的提出是为了解决业界对黑客行为、事件的描述不一致、不直观的问题,换句话说它解决了描述黑客行为 (TTP) 的语言和词库,将描述黑客攻击的语言统一化。
这个模型是MITRE在2013年 主导的 Fort Meade Experiment (FMX) 研究项目中首次被提出,2015 年正式发布,汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述的通用语言和黑客攻击抽象的知识库框架。ATT&CK 经过 5 年左右的发展,到 2018 年开始获得爆发式关注。所有国际安全 头部厂商都迅速的开始在产品中增加针对 ATT&CK 的支持,并且持续将自己看到的黑客手法和攻击 行为贡献 ATT&CK 知识库。2019年Gartner SIEM 魔力象限考核中将其列为重要参考指标。
ATT&CK的安全能力
从视觉角度来看,MITRE ATT&CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部,每列下面列出了单独的技术。一个攻击序列按照战术,至少包含一个技术,并且通过从左侧(初始访问)向右侧(影响)移动,就构建了一个完整的攻击序列:
ATT&CK 知识库主要被应用在模拟攻击、评估和提高防御能 力、威胁情报提取和建模、威胁评估和分析四大方向上。
1、模拟攻击:基于 ATT&CK 进行红蓝攻防演练,进行红蓝军建设;
2、检测分析:基于具体的’’ 技术 ‘‘,有效增强检测能力,用于甲方安全建设; 3、威胁情报:使用 ATT&CK 框架来识别攻击组织,用于安全情报建设; 4、评估改进:将解决方案映射到 ATT&CK 威胁模型,发现并弥补差距,用于评估安全能力。 ATT&CK 框架内整合的知识库为安全行业提供了一个标准,对已知的 TTPs 进行收集,促进安全
产品的优化改进。本文将从 TTPs 的检测、分析提出关于 ATT&CK 框架在提升主机 EDR 检测能力的 探索和思考。
ATT&CK与EDR
ATT&CK 的出现为终端安全产品的 检测能力提供了一个明确的,可衡量,可落地的标准,改变防守方以往对于入侵检测常常会陷入不可 知和不确定的状态中,有效的弥补自己的短板,通过检测攻击的技术,映射到 ATT&CK 的战术,清晰 的了解攻击者所处攻击阶段。
另外如果能让终端安全产品具有针对 TTP 的检测能力,无疑能增强安全产品的核心检测能力,提 高攻击检测的覆盖度和自动处置的精确度,避免被攻击者通过一些简单的变形绕过检测,因为针对 TTP 进行检测,意味着我们是在根据攻击者的行为进行检测。如果攻击者想要躲避检测就需要改变他 们的行为,这需要研究一些新的技术和攻击手段,这意味着更高的难度和付出更大的成本。
而所有的攻击检测都是基于数据源和策略的特征匹配。我们如果需要检测某个攻击技术,首先需 要获取到这项技术所对应的数据,这些数据就是当攻击者执行某项技术攻击主机或网络后,在主机或 网络设备上留下的蛛丝马迹,他们所呈现的形式往往是各种日志,可能是系统或应用内置的日志,也 可能是因为安全需要而特意录制的日志数据。在 MITRE ATT&CK 的每项技术描述中都有对应于该技 术的数据源信息,它告诉我们可以从哪些类型的数据中找到攻击技术实施后所留下的痕迹。
ATT&CK与SOAR
就安全运营本身而言,存在诸多问题,威胁信息和事件数量多、安全技术整合度低,人力不足经验难以固化,使得安全运营面临严峻挑战,其中攻防不对称是驱动安全运营不断优化的一大动力。在日常的运营工作中,威胁的快速发现和响应闭环是非常重要的两点。
- 加速威胁发现
ATT&CK Framework 是在杀伤链的基础上,构建了一套更为细化、更贴合实战的知识模型和框架。它为威胁发生战术和技术做出了划分,为网络安全提供了威胁分析基准模型。其中,12 种战术包括:访 问初始化、执行、持久化、提权、防御规避、访问凭证、发现、横向移动、收集、命令和控制、数据获 取、危害。每种战术之下,包括多种实现的攻击技术。
ATT&CK提供了丰富的主机数据。丰富的数据源是及时、准确发现威胁的基础,仅仅依靠网络侧的流量很难发现主机内的威胁,并且随着网络流量加密的趋势,基于流量的检测会更加困难。ATT&CK框架可以弥补这方面数据的缺失。
ATT&CK提供了多种战术,也为威胁分析提供了检测标准。将安全产品检测能力映射到ATT&CK检测框架中,根据其覆盖度度量的安全产品的检测能力;同时发现哪些检测点未覆盖到,发现不足,然后进行主动完善。通过覆盖更多的攻击类型,降低漏报,减少人工取证的耗时。
ATT&CK框架能够实现关联分析。依靠单点检测不足以发现准确识别威胁事件,告警中混杂的误报等都有可能影响安全人员的判断。攻击者在发起攻击过程中,结合安全事件的命中情况,从 ATT&CK 矩阵可勾勒出攻击者所采用攻 击技术之间的关系,清晰的展现攻击者是如何一步一步入侵成功的。通过不断地攻击溯源分析,抓取 攻击套路,形成给为精确地检测规则。
- 威胁快速响应与闭环
ATT&CK 模型最直观的呈现是一个战术-技术矩阵,其模型的抽象层次被定位在比较中间的阶段。一 些处于高层次的威胁分析模型,比如 Lockheed Martin Cyber Kill Chain 模型,有助于客户理解高维度 攻击过程和攻击者目标,但是对于表达攻击者攻击过程中的详情存在明显不足,如攻击者多个攻击动 作间的关联、攻击动作序列如何与攻击者战术目标联系起来、这些攻击动作涉及哪些数据源、防御措 施、配置等。
处于中间层次的 ATT&CK 模型对一些高级别的概念(如战术)进行更具有描述性的分类(技术)。 给出每种技术,涉及的数据源、进一步的细分以及具体实现方式等。这意味着如果攻击者运用这项技 术实施攻击,就会在数据源(如进程信息、进程命令行参数)中留下痕迹。如果对这些信息进行实时 监控或者把这些信息记录下来,再配以相应的分析匹配机制就可以实现对该技术的检测或防护。这些 更具描述性的攻击技术,建立了底层的数据源、漏洞等信息与上层战术的桥梁,将攻击者行为更有效 的映射到防御。显示攻击者正在进行怎样的攻击,使得防御者更具有针对性的制定处置策略。
结尾
从安全产品的角度思考,ATT&CK不仅仅是目前炙手可热的新新概念,框架为我们提供了一个标准化的知识库,在产品设计中也为提供了新思路。
ATT&CK如何落地到安全产品的更多相关文章
- 攻击链路识别——CAPEC(共享攻击模式的公共标准)、MAEC(恶意软件行为特征)和ATT&CK(APT攻击链路上的子场景非常细)
结合知识图谱对网络威胁建模分析,并兼容MITRE组织的CAPEC(共享攻击模式的公共标准).MAEC和ATT&CK(APT攻击链路上的子场景非常细)等模型的接入,并从情报中提取关键信息对知识图 ...
- ATT&CK框架学习
ATT&CK模型 ATT&CK是分析攻击者行为(即TTPs)的威胁分析框架.ATT&CK框架核心就是以矩阵形式展现的TTPs,即Tactics, Techniques and ...
- 理解MITRE ATT&CK矩阵
最近准备学习一下关于ATT&CK的知识,这里面先来理解一下什么是ATT&CK(通过对ATT&CK的学习,可以很快的对安全领域有一个比较全面的认识). 什么是MITRE MITR ...
- ATT&CK 实战 - 红日安全 vulnstack (一) 环境部署
靶场描述: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习.视频教程.博客三位一体学习.另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环.后续也会搭建真实APT实 ...
- 内网横向渗透 之 ATT&CK系列一 之 拿下域控制器
信息收集 信息收集 域控制器的相关信息: 通过arp扫描发现域控制器的ip地址为:192.168.52.138,尝试使用msf的smb_login模块登录smb是否成功 1 search smb_lo ...
- 内网横向渗透 之 ATT&CK系列一 之 信息收集
前言 靶机下载地址:ATT&CK 拓扑图: 通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻击链路进行搭建,形成完整个闭环.虚拟机默认密码为hongrisec@2019. 环境搭 ...
- ATT&CK框架整理(中英文整理)
工作需要了解了一下ATT&CK框架,留个记录.
- ATT&CK实战系列 红队实战(一)————环境搭建
首先感谢红日安全团队分享的靶机实战环境.红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习.视频教程.博客三位一体学习. 靶机下载地址:http://vulnstack.qiyuanxue ...
- ATT&CK实战系列——红队实战(一)
一.环境搭建 1.环境搭建测试 最近想要开始学习内网渗透,搜集了一些教程,准备先实验一个vulnstack靶机,熟悉一下内网渗透操作再学习基础知识. 靶场下载地址:http://vulnstack.q ...
随机推荐
- 无回显命令执行TIPS
DNSlog 出属于, POST DATA HEX 等一些 命令延迟注入 找WEB PATH 将id,pwd,hostname的结果写在js/test1.txt中,命令find . -type ...
- wmic 内网使用
先决条件: 1.远程服务器启动Windows Management Instrumentation服务,开放TCP135端口,防火墙放开对此端口的流量(默认放开): 2.远程服务器的本地安全策略的“网 ...
- uniapp自定义简单省市区联动组件
又双叒一个uniapp组件 最近有一个选择地址的需求,就写了一个省市区联动选择器. 选择日期使用的picker,就照着它简单的整了一个,使用网络请求城市数据,还用到了vuex组件数据共享. 本来自己整 ...
- 【Elasticsearch学习】文档搜索全过程
在ES执行分布式搜索时,分布式搜索操作需要分散到所有相关分片,若一个索引有3个主分片,每个主分片有一个副本分片,那么搜索请求会在这6个分片中随机选择3个分片,这3个分片有可能是主分片也可能是副本分片, ...
- 【Hadoop离线基础总结】Hue与Hadoop集成
目录 1.更改所有hadoop节点的core-site.xml配置 2.更改所有hadoop节点的hdfs-site.xml 3.重启hadoop集群 4.停止hue的服务,并继续配置hue.ini ...
- [hdu4609]计数方法,FFT
题目:给一个数组a,从里面任选三个数,求以这三个数为三条边能构成三角形的概率. 思路:由于每个数只能用一次,所以考虑枚举三边中的最大边.先将a数组排序,然后枚举它的每个数x作为最大边,那么问题就是要求 ...
- [hdu4768]二分
http://acm.hdu.edu.cn/showproblem.php?pid=4768 题意:n个传单分别发给编号为ai, ai + ci, ai + 2 * ci, .. , ai + k * ...
- [whu1564]后缀数组
http://acm.whu.edu.cn/land/problem/detail?problem_id=1564 思路:先把串复制一遍,在末尾补个标记,后缀数组跑一下,扫一遍就ok了(过滤后缀在后半 ...
- thread模块—Python多线程编程
Thread 模块 *注:在实际使用过程中不建议使用 thread 进行多线程编程,本文档只为学习(或熟悉)多线程使用. Thread 模块除了派生线程外,还提供了基本的同步数据结构,称为锁对象(lo ...
- jquery遍历数组、对象
1,for循环: var arr = new Array(13.5,3,4,5,6); for(var i=0;i<arr.length;i++){ arr[i] = arr[i]/2.0; } ...