背景介紹
網絡防禦傳統上側重於使用縱深防禦技術來抵擋攻擊者訪問組織的網絡或關鍵網絡資產。如果,當一名防禦者(defenders)引入了欺騙性的工件(artifacts)和系統,這會立刻增加攻擊者的懷疑:我剛剛訪問的系統合法嗎?我剛剛竊取的數據是真的嗎?這無疑會提高巨額的攻擊成本並降低攻擊者網絡行動的價值。但是同時,這樣的做法也會提高防禦者的運營成本。
美國國防部將積極防禦定義為「利用受限的進攻性行動和反擊,以拒止敵手進入有爭議的地區或陣地。」積極防禦的範圍從基本的網絡防禦能力到網絡阻斷、網絡欺騙和對手交戰行動。這些防禦措施的組合,使一個組織不僅能夠抵制當前的攻擊,而且能夠更多地了解對手,更好地為將來的新攻擊做好準備。
Mitre一直希望在積極防禦方面給予防禦者幫助,同時在防禦者(defenders)、供應商(vendors)和決策者(decision-makers)之間的架設一道橋樑。在這種背景下, 2021年9月 Mitre 推出了Engage框架,同時取代了 MITRE Shield知識庫(積極防禦知識庫)。在積極防禦方面給予防禦者指導。在防禦範圍內進一步控制攻擊者,主動在內部網絡環境與之互動及抗衡,是MITRE對於積極防禦的一大重點。
前言
2022年2月28日,全新改版的MITRE Engage網站上線。距離2021年9月,Mitre發布Engage 不到半年的時間,Engage框架迎來了又一重大動作。
1
本次更新,MITRE 發布了Engage框架的V1.0版,並且公開了一系列指導文件,對Engage框架落地進行了一些可實際操作的指導;
2
本次發布了對手交戰的10步流程,可幫助防禦者完成從計劃到交戰再到分析的操作過程;同時增強了Engage與ATT&CK的關聯性。
3
但是我們也要看到,本次Engage框架V1.0中活動的具體內容描述還有缺失,網站的內容更新還在持續,指導文件的實際可操作性還需要實踐檢驗。
01 什麼是Mitre Engage
MITRE Engage主要用於規劃和討論對手交戰行動。
建立之初,創建Engage框架是為了幫助企業、政府、網絡安全產品和服務社區進行對手交戰戰略計劃,執行對手交戰技術。這次的新版的Engage,再次明確Engage 矩陣是防禦者(defenders)、供應商(vendors)和決策者(decision-makers)之間的橋樑,協助制定阻斷、欺騙和對手交戰等活動的協同作戰計劃。
防禦者通過規劃和分析的視角看待阻斷和欺騙活動,可以發現對手交戰的更多機會
對手交戰的目標
對手交戰的目標包括:檢測網絡上的攻擊者;獲取情報以了解攻擊者及其TTP;通過提高成本影響攻擊者,同時降低其網絡行動的價值。當對手交戰與縱深防禦技術搭配使用時,防禦者能夠主動地與網絡攻擊者「互動」,以實現防禦者的戰略目標。整個對手交戰行動是一個不斷迭代的、目標驅動的過程,而不僅僅是技術堆棧的部署,絕不是部署一個誘餌就能取得成功的。相反,用戶必須認真思考防禦目標是什麼,以及如何利用阻斷、欺騙和對手交戰來推動這些目標的進展。
使用MITRE Engage循環將Engage整合到你的網絡防禦戰略中
對手交戰成功要素
一個成功的對手交戰行動包括四個主要要素:敘述故事、交戰環境、監控和分析。每個組成部分都扮演着特定的角色,為一項行動的既定目標貢獻着特定的目標。
敘事故事是在交戰行動中向攻擊者描述的整個欺騙故事。
交戰環境是指交戰活動進行的環境系統。這個環境是精心定製的,高度儀器化的環境。這個環境可能是完全隔離的,獨立部署的,也可能是在生產環境中集成的。
運營的監控是對手交戰活動成功的重要要素。交戰的操作員在環境中對攻擊者各種行動的可視化至關重要。
分析利用現有的網絡威脅情報(CTI)和來自前面提到的監控數據可以對環境中的攻擊者行為進行分類、理解和學習,形成分析情報。
開展對手交戰行動時應考慮的問題
02對手交戰框架(Engage Matrix)V1.0
對手交戰框架V1.0
MITRE Engage的一個核心產品是Engage Matrix,它基於MITRE在對手交戰方面的專業知識以及MITRE對現實世界中觀察到的攻擊方行為的了解而構建。
此次更新,MITRE Engage 發布了對手交戰框架V1.0版。對手交戰框架 V1.0在交戰目標、交戰方法方面保留了原版的內容,在交戰活動(Engage Activities) 方面進行了更新,增加了新的交戰活動。
MITRE Engage V1.0
Engage矩陣
Engage矩陣由以下核心組成部分組成:交戰目標、交戰方法和交戰活動。
矩陣頂部是交戰目標(Engage Goals)。交戰目標是防禦方希望交戰行動實現的高水平成果。這部分主要包括:準備(Prepare)、暴露(Expose)、影響(Affect)、引出(Elicit)和理解(Understand)。
下一行包含交戰方法(Engage Approaches)。方法可以讓用戶朝着選定的目標前進。
矩陣的其餘部分由交戰活動(Engage Activities)組成。活動由真正的對手行為驅動,是用戶在交戰方法中使用的具體技巧。
在矩陣中,對手行動分為兩類。
一類是戰略行動(Strategic actions),矩陣中黃色的部分,主要確保防禦者通過戰略規劃和分析適當地推動交戰行動。
另一類是交戰行動(Engagement actions),矩陣中藍色的部分,它的目標、方法和活動是傳統的網絡阻斷和欺騙活動,用於推動防禦者實現目標。當對手做出特定行為時,他們很容易暴露出無意中的弱點。
在Engage中,通過查看每個ATT&CK®技術,以檢查發現的弱點,並確定一個或多個利用這一弱點的交戰活動。通過將交戰活動映射到ATT&CK,用戶可以更好地規劃哪些活動將使用戶能夠實現自己的戰略目標。
戰略行動
交戰行動
每個目標、方法和活動都有一個獨特的ID。但是在新版的Engage矩陣網站中並沒有給出每個方法和活動的具體定義和ID號碼,估計更新還需要時間。
缺失的定義
03對手交戰的操作性指導
為了幫助從業者「落地」MITRE Engage,MITRE Engage團隊公開其內部運營團隊使用的一些資源,發布了一系列文檔,對對手交戰框架落地進行了務實的可操作性指導。
對手交戰實用指南
提供了一本戰術提示和技巧手冊,可幫助團體開始開展對抗性交戰行動。這本《對手交戰實用指南》介紹了Engage的框架結構、和ATT&CK映射的關係、對手交戰行動的要素、對手交戰行動安全(OPSEC)、對手交戰的10步流程、以及一些操作模板(主要包括團隊培訓和組織、角色和責任、生命周期模板)
基本任務列表 METL
基本任務列表是MITRE Engage Team 的METL操作性模板,用於引導用戶操作。METL是一種用於確定培訓要求和資格、建立團隊目標並推動進展來實現目標的結構。本文檔可作為實施對手交戰團隊的示例性METL。METL由一系列基本任務(MET)組成。每項任務都是一項核心活動,必須在交戰行動的規劃、執行或分析階段完成。這些基本的任務應該推動行動朝着目標結果的方向發展
如何開發對手交戰專業知識
本文檔提供了有關如何使用 METL 結構為您的團隊制定培訓計劃的高級摘要。這是一份簡短的白皮書,介紹如何使用 METL 結構在團隊中開發對手交戰 ( Adversary Engagement 即 AE) 專業知識。
角色檔案工作表
MITRE Engage 團隊改編了 MITRE Innovation Toolkit 的Personas 工具的一個版本,以幫助防禦者在對手交戰過程中虛構一些人員角色。該工具可作為如何在交戰環境中建立一些虛構的帶有欺騙性質的角色的指南。主要包括姓名、出生日期、出生地、頭銜工作時間、休息時間、用戶名和密碼等等一個網絡虛擬角色所需要的內容。根據運營目標和可用資源的區別,角色所需的詳細程度可能會有所不同。
組織欺騙性信息工作表
本表主要用於構建對手交戰中的敘事故事,幫助用戶在交戰行動中更好的描述整個欺騙故事。要講述一個連貫有效的交戰敘事故事,需要考慮一下問題,你需要攻擊者在交戰環境中看到什麼?你希望攻擊者如何看待交戰環境?你希望攻擊者在交戰環境中做什麼?根據對這些問題的回答,防禦者(defender)可以決定透露或隱藏哪些事實和虛構的內容。
為對手交戰行動制定指南
本文件詳細介紹了MITRE Engage ™ 團隊如何為對手交戰行動設置環境。為了進行安全有效的交戰行動,有必要構建兩個不同的環境:用於監控的收集系統(CS)和用於交互的交戰環境(EE)。收集系統是一組系統,用於從交戰中收集工件和其他數據,以監控交戰。交戰環境是一套精心定製的、高度儀器化的系統,以逐個交戰為基礎設計,作為交戰敘事的背景。這是對手交戰行動的實際環境。
操作數據模板
在對手交戰行動中,小心得存儲交戰數據非常重要。這個模板提供了組織和存儲交戰數據(operational data)的指南。
對手交戰入門工具包
入門工具包是一些降低壁壘有利於進入對手交戰中的資源,是Engage全部的資料集合。
開始使用對手交戰可能會讓人不知所措。為了幫助支持所有防守者(defender)、決策者(decision)和供應商(vendors)的新員工,Mitre創建了Engage Starter工具包。該套件旨在幫助用戶從學習基礎知識到將對手交戰整合為更大防禦網絡戰略的一部分,從而走向成熟。每一步都包含支持您學習的內容和相關資源。
Starterkit-v1.0
04對手交戰的10步流程
對手交戰的10步流程可幫助防禦者完成從計劃到交戰再到分析的操作。
2013 年,Hy Rothstein 和 Barton Whaley 共同編輯了一本名為「軍事欺騙的藝術與科學」的書。這本書包括一章 Whaley 寫的題為「欺騙的過程」的章節,其中他概述了製造軍事欺騙的 10 個步驟。Mitre改進了 Whaley 的方法,為阻斷、欺騙和對手交戰活動創建了一個 10 步流程。
與殺毒軟件等其他防禦技術不同,對手交戰技術不是「開火就忘記」的解決方案。僅僅部署誘餌並宣布成功是不夠的。防禦者必須批判性地思考他們的防禦目標是什麼,以及如何利用阻斷、欺騙和對手交戰活動來推動朝着這些目標前進。
十個步驟
這十個步驟分為三類:準備、交戰和理解,與Engage矩陣的交戰目標對應。
步驟1-6與Engage Prepare目標下的戰略方法和活動相對應。
步驟7對應於「交戰-暴露、影響和引出」目標下的交戰方法和活動。
步驟8-10對應於Engage-Understand目標下的交戰方法和活動。
對於資源有限或網絡安全防禦方案不太成熟的組織來說,10步流程尤為重要。通過明確定義目標,並確定與這些目標緊密一致的交戰範圍,即使是小型組織也可以開始將對手交戰納入其防禦戰略。
對手交戰的10步流程
05Engage與ATT&CK的關聯性
將 ENGAGE 映射到 MITRE ATT&CK
當對手從事特定行為時,很容易暴露出意外的弱點。通過查看每個 ATT&CK 活動,防禦者可以檢查所揭示的弱點並確定利用這些弱點的交戰活動。通過將各種交戰活動映射到 ATT&CK,防禦者可以確保交戰矩陣中的每個活動都由觀察到的對手行為驅動。在對手的交戰行動中,試圖預測對手的行動可能很誘人。然而,如果沒有對具體的威脅有廣泛了解,這種思路可能會導致防禦者做出錯誤或無效的決定。通過映射到 ATT&CK,防禦者可以確保他們選擇的交戰活動適合目標對手。每個映射都包含以下信息:
1
ATT&CK ID & Name – 攻擊者採取的具體行動ATT&CK 技術ID名稱
2
對手漏洞 – 對手在從事此特定行為時暴露的漏洞
3
交戰活動——防禦者可以用來利用對手暴露的漏洞的行動
增加了MITRE ATT&CK到Engage的映射
在Engage矩陣界面,增加了和MITRE ATT&CK的映射對應,通過組織(GROUP)、Tactic(戰術)、Technique(技術)等 MITRE ATT&CK® 過濾條件來進行和Engage的交戰活動進行對應。這些映射是一對多的關係。Group:主要包括ATT&CK框架中命名的一些組織名稱。Tactic(戰術)和Technique(技術)為ATT&CK中的相關內容。
ATT&CK過濾條件
參考
https://engage.mitre.org/
綠盟科技天元實驗室專注於新型實戰化攻防對抗技術研究。
研究目標包括:漏洞利用技術、防禦繞過技術、攻擊隱匿技術、攻擊持久化技術等藍軍技術,以及攻擊技戰術、攻擊框架的研究。涵蓋Web安全、終端安全、AD安全、雲安全等多個技術領域的攻擊技術研究,以及工業互聯網、車聯網等業務場景的攻擊技術研究。通過研究攻擊對抗技術,從攻擊視角提供識別風險的方法和手段,為威脅對抗提供決策支撐。
M01N Team
聚焦高級攻防對抗熱點技術
綠盟科技藍軍技術研究戰隊
留言列表