本文摘自:《網絡安全技術和產業動態》2022年第1期,總第19期,作者是安天集團工程師。安天公眾號對此文進行轉載,本文來源於中國網絡安全產業聯盟公眾號」CCIA網安產業聯盟「。ATT&CK威脅框架自2015年由美國MITRE公司開發和維護,作為網絡威脅攻擊行為知識庫,其基於真實的、已發生並被檢測到的網絡攻擊行為,提煉並歸納出了各種戰術、技術特點。國內外眾多安全研究工作者、安全廠商紛紛採用ATT&CK威脅框架進行技術分析研究以及網絡安全產品研發。
2021年10月底,最新版ATT&CK威脅框架10.0版(以下簡稱V10版威脅框架)發布,與9.0版最大不同之處在於量化了「數據源」組件(Data Sources),為技術、戰術的落地實踐提供了更加具體、明確及可操作的威脅情報來源。
數據源(DS)是從V9版威脅框架開始實際使用的概念。數據源(DS)即數據的來源,提供各種原始的數據集合,來自各類網絡和信息安全傳感器的日誌信息、進程以及網絡流量特徵等,其可作為技術或者子技術的具體參數屬性、數值等,為各種技術的實現提供細節支撐,從而增強威脅框架落地實踐的便捷、高效。V10版威脅框架對數據源(DS)進行了量化,給出了38項數據源,標號從DS0001到DS0038。其中,DS0001為固件(Firmware),最後一項DS0038為域名(Domain Name)。目前,V10版威脅框架中共有六類組件,分別是:數據源(DS)、戰術(TA)、技術(T)、減緩措施(M)、組(G)以及軟件(S)。
數據源(DS)必須與其他的組件配合使用,其中最主要的組件是技術(T)。數據源(DS)可以通過系統或者應用程序日誌或者其他客戶端部署的各類傳感器來檢測,這些檢測結果直接反應的是各種不同的技術(T)實現的過程。具體的關係圖如下:
圖1數據源(DS)與戰術(TA)和技術(T)之間的關係從上圖可以看出,攻擊者採用一些特定技術(T)來實現其惡意目的,而這些具體的技術(T)可以通過部署監測手段、裝置來捕獲,38項數據源(DS)單獨或者組合使用可以形成不同的數據組件,以便為檢測攻擊者的技術手段提供支撐。
V10版威脅框架發展難點主要體現在兩個方面:攻擊者的技術變化以及操作系統平台的功能與外延不斷延展。首先,由於V10版威脅框架的主體部分不管是技術(T)、戰術(TA)還是數據源(DS)都來自於攻擊者的實際攻擊案例,因此緊跟攻擊者的發展動向,對於威脅框架的技術發展至關重要。但是攻擊者在暗處,同時一些高級的攻擊者並不像普通攻擊者那樣帶有明顯的外在特徵或者後果。不管是外在表現明顯的勒索攻擊,還是隱藏較深的高級威脅,其技術實現機制和流程往往變化較大,特別是不同的攻擊組織的技術偏好、技術能力和資源儲備不同,造成的實際攻擊效果就會截然不同。但數據源(DS)的引入,使得追蹤這些攻擊者向着自動化防禦、智能化防禦邁進了一大步。其次,除了攻擊者的技術變化外,Windows等操作系統平台的不斷發展變化,也給威脅框架的發展提出了全新的挑戰。V10版威脅框架主要基於的Windows操作系統,其操作系統平台不僅功能上逐步增強,而且在支持的系統類別上不斷延展。Windows 10操作系統開始加入WSL(The Windows Subsystem for Linux)。利用WSL,用戶可以在Windows操作系統平台上執行Linux命令行,相當於在Windows操作系統內開闢了一個專區,來兼容和支持Linux的系統操作,無需單獨安裝虛擬機。WSL給用戶帶來方便的同時,也為攻擊者提供了一個新的攻擊窗口。當前,最新的Windows 11操作系統平台除了支持WSL,還將支持移動操作系統Android平台,這一特性被稱為: Windows Subsystem for Android。雖然目前僅支持部分應用商店,但可以預想,該範圍一定會逐步擴大。隨着雲、物聯網和5G等技術的不斷發展,除了以上的兩類技術挑戰和難點外,一定還會延伸出更多種類的新應用場景和威脅挑戰。為了應對這些挑戰,ATT&CK威脅框架必須不斷跟蹤攻擊者的最新技術變化,才能適應不斷變化的網絡安全形勢,為防範者提供技術參考依據。ATT&CK威脅框架是隨着產業不斷落地實踐和應用中發展變化的。當前,根據V10版威脅框架最新發展情況,國內外網絡安全行業研究機構以及安全廠商均已從具體實踐出發,開展了相關工作。美國網絡安全與基礎設施安全局(The Cybersecurity and Infrastructure Security Agency,CISA)經常聯合FBI、NSA等其他政府部門和機構以威脅框架為技術支撐,發布勒索軟件預警、APT攻擊者威脅防範建議、針對美國關鍵信息基礎設施的網絡攻擊預警等指導性文件。2021年9月至10月,CISA連續發布了三份預警文件,分別是Conti勒索軟件預警、APT組織利用漏洞攻擊預警以及針對美國水資源和廢水處理系統的網絡攻擊預警等。國內外主流的網絡安全廠商均在跟蹤並支持V10版威脅框架的落地和實踐。當前主要的最新實踐方向有兩個:特定惡意代碼分析和威脅整體態勢綜合報告。國外廠商包括Microsoft、McAfee、Trendmicro、Checkpoint、AT&T Security、FireEye、IBM以及Cisco等;國內廠商包括安天、啟明星辰和360等。微軟公司威脅響應部門在其具體的個案網絡威脅分析時,積極採用V10版威脅框架來分析其發現的網絡攻擊的具體技術實現。如2021年8月的「採用摩爾電碼的網絡釣魚攻擊分析」以及2021年11月的「如何避免遭受烏克蘭停電的網絡攻擊」等。McAfee公司將V10版威脅框架應用在惡意代碼的分析以及階段性惡意代碼趨勢報告中,2021年10月發布「2021年第二季度高級威脅研究報告」,總結了2021年第二季度的V10版威脅框架的戰術、技術被使用情況的排名。2021年下半年,安天科技以V10版威脅框架為支撐,連續發布九篇惡意代碼技術分析報告,歸納總結各種不同類型的網絡威脅採用的不同戰術編排、技術手段,涉及勒索軟件防護、竊密軟件解析、高級威脅組織攻擊活動動態以及挖礦活動等,並不斷提升安天安全防禦框架質量。隨着數據源(DS)在V10版威脅框架的不斷量化和細化,ATT&CK威脅框架發展進入了一個新的階段,可以預見,這並不是其發展的終點。一方面,攻擊者一定會尋找、挖掘新場景和新技術應用的各種弱點、漏洞並加以利用,形成新的攻擊技術,各種不同的新技術組合成各種不同的戰術打法,因此ATT&CK威脅框架一定會隨攻擊者技戰術的變化而進化改進,以適應最新的攻擊態勢;另一方面,對防守方而言,技術儲備和防禦裝備資源不足的狀況短期很難根本改變,這就需要網絡安全主管部門、用戶單位、安全廠商之間加強合作、分享對抗技術經驗,增強綜合對抗技術實力。綜上,建議網絡安全相關主管部門、行業機構以及網絡安全廠商,根據各自自身的定位和職能,充分研究和利用ATT&CK威脅框架。首先,建議網絡安全相關主管部門和行業機構借鑑ATT&CK威脅框架龐大的知識庫,結合我國自身國情和威脅態勢,形成一套符合我國目前網絡和信息技術發展水平現狀的防禦框架體系,強調動態防禦以及關口前移,增強網絡威脅防禦的有效性和預見性。其次,對於網絡安全廠商,實踐ATT&CK威脅框架是最好的方式。目前,ATT&CK威脅框架大多數的實踐來自於國外網絡安全廠商,整體而言,國內安全廠商在這方面的應用和實踐相對較少,這不僅體現在技術分析,也體現在綜合態勢評估、攻擊對手仿真等應用場景。我們只有具體運用和實踐ATT&CK威脅框架,並逐步形成和鍛造符合自身行業定位和國內安全現狀的安全態勢的威脅框架,才能有效開展威脅檢測、對抗和響應等各項工作,從而為產業營造一個良好的網絡安全環境。
留言列表