ATT&CK如何落地到安全产品

科普：ATT&CK是什么

ATT&CK的提出是为了解决业界对黑客行为、事件的描述不一致、不直观的问题，换句话说它解决了描述黑客行为 (TTP) 的语言和词库，将描述黑客攻击的语言统一化。

这个模型是MITRE在2013年 主导的 Fort Meade Experiment (FMX) 研究项目中首次被提出，2015 年正式发布，汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术，形成了针对黑客行为描述的通用语言和黑客攻击抽象的知识库框架。ATT&CK 经过 5 年左右的发展，到 2018 年开始获得爆发式关注。所有国际安全 头部厂商都迅速的开始在产品中增加针对 ATT&CK 的支持，并且持续将自己看到的黑客手法和攻击 行为贡献 ATT&CK 知识库。2019年Gartner SIEM 魔力象限考核中将其列为重要参考指标。

ATT&CK的安全能力

从视觉角度来看，MITRE ATT＆CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）移动，就构建了一个完整的攻击序列:

ATT&CK 知识库主要被应用在模拟攻击、评估和提高防御能 力、威胁情报提取和建模、威胁评估和分析四大方向上。

1、模拟攻击:基于 ATT&CK 进行红蓝攻防演练，进行红蓝军建设;

2、检测分析:基于具体的’’ 技术 ‘‘，有效增强检测能力，用于甲方安全建设; 3、威胁情报:使用 ATT&CK 框架来识别攻击组织，用于安全情报建设; 4、评估改进:将解决方案映射到 ATT&CK 威胁模型，发现并弥补差距，用于评估安全能力。 ATT&CK 框架内整合的知识库为安全行业提供了一个标准，对已知的 TTPs 进行收集，促进安全

产品的优化改进。本文将从 TTPs 的检测、分析提出关于 ATT&CK 框架在提升主机 EDR 检测能力的 探索和思考。

ATT&CK与EDR

ATT&CK 的出现为终端安全产品的 检测能力提供了一个明确的，可衡量，可落地的标准，改变防守方以往对于入侵检测常常会陷入不可 知和不确定的状态中，有效的弥补自己的短板，通过检测攻击的技术，映射到 ATT&CK 的战术，清晰 的了解攻击者所处攻击阶段。

另外如果能让终端安全产品具有针对 TTP 的检测能力，无疑能增强安全产品的核心检测能力，提 高攻击检测的覆盖度和自动处置的精确度，避免被攻击者通过一些简单的变形绕过检测，因为针对 TTP 进行检测，意味着我们是在根据攻击者的行为进行检测。如果攻击者想要躲避检测就需要改变他 们的行为，这需要研究一些新的技术和攻击手段，这意味着更高的难度和付出更大的成本。

而所有的攻击检测都是基于数据源和策略的特征匹配。我们如果需要检测某个攻击技术，首先需 要获取到这项技术所对应的数据，这些数据就是当攻击者执行某项技术攻击主机或网络后，在主机或 网络设备上留下的蛛丝马迹，他们所呈现的形式往往是各种日志，可能是系统或应用内置的日志，也 可能是因为安全需要而特意录制的日志数据。在 MITRE ATT&CK 的每项技术描述中都有对应于该技 术的数据源信息，它告诉我们可以从哪些类型的数据中找到攻击技术实施后所留下的痕迹。

ATT&CK与SOAR

就安全运营本身而言，存在诸多问题，威胁信息和事件数量多、安全技术整合度低，人力不足经验难以固化，使得安全运营面临严峻挑战，其中攻防不对称是驱动安全运营不断优化的一大动力。在日常的运营工作中，威胁的快速发现和响应闭环是非常重要的两点。

• 加速威胁发现
  
  ATT&CK Framework 是在杀伤链的基础上，构建了一套更为细化、更贴合实战的知识模型和框架。它为威胁发生战术和技术做出了划分，为网络安全提供了威胁分析基准模型。其中，12 种战术包括:访 问初始化、执行、持久化、提权、防御规避、访问凭证、发现、横向移动、收集、命令和控制、数据获 取、危害。每种战术之下，包括多种实现的攻击技术。

ATT&CK提供了丰富的主机数据。丰富的数据源是及时、准确发现威胁的基础，仅仅依靠网络侧的流量很难发现主机内的威胁，并且随着网络流量加密的趋势，基于流量的检测会更加困难。ATT&CK框架可以弥补这方面数据的缺失。

ATT&CK提供了多种战术，也为威胁分析提供了检测标准。将安全产品检测能力映射到ATT&CK检测框架中，根据其覆盖度度量的安全产品的检测能力；同时发现哪些检测点未覆盖到，发现不足，然后进行主动完善。通过覆盖更多的攻击类型，降低漏报，减少人工取证的耗时。

ATT&CK框架能够实现关联分析。依靠单点检测不足以发现准确识别威胁事件，告警中混杂的误报等都有可能影响安全人员的判断。攻击者在发起攻击过程中，结合安全事件的命中情况，从 ATT&CK 矩阵可勾勒出攻击者所采用攻 击技术之间的关系，清晰的展现攻击者是如何一步一步入侵成功的。通过不断地攻击溯源分析，抓取 攻击套路，形成给为精确地检测规则。

• 威胁快速响应与闭环
  
  ATT&CK 模型最直观的呈现是一个战术-技术矩阵，其模型的抽象层次被定位在比较中间的阶段。一 些处于高层次的威胁分析模型，比如 Lockheed Martin Cyber Kill Chain 模型，有助于客户理解高维度 攻击过程和攻击者目标，但是对于表达攻击者攻击过程中的详情存在明显不足，如攻击者多个攻击动 作间的关联、攻击动作序列如何与攻击者战术目标联系起来、这些攻击动作涉及哪些数据源、防御措 施、配置等。

处于中间层次的 ATT&CK 模型对一些高级别的概念(如战术)进行更具有描述性的分类(技术)。 给出每种技术，涉及的数据源、进一步的细分以及具体实现方式等。这意味着如果攻击者运用这项技 术实施攻击，就会在数据源(如进程信息、进程命令行参数)中留下痕迹。如果对这些信息进行实时 监控或者把这些信息记录下来，再配以相应的分析匹配机制就可以实现对该技术的检测或防护。这些 更具描述性的攻击技术，建立了底层的数据源、漏洞等信息与上层战术的桥梁，将攻击者行为更有效 的映射到防御。显示攻击者正在进行怎样的攻击，使得防御者更具有针对性的制定处置策略。

结尾

从安全产品的角度思考，ATT&CK不仅仅是目前炙手可热的新新概念，框架为我们提供了一个标准化的知识库，在产品设计中也为提供了新思路。