國家保密局網(wǎng)站>>保密科技

ATT&CK威脅框架發(fā)展及應(yīng)用研究

2023年06月07日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 ATT&CK威脅框架是基于攻擊者視角,從現(xiàn)實(shí)世界的網(wǎng)絡(luò)威脅中提煉并歸納出各種技戰(zhàn)術(shù)特點(diǎn)的知識庫。本文對ATT&CK威脅框架的演進(jìn)、價(jià)值作用、發(fā)展難點(diǎn)及應(yīng)用現(xiàn)狀等進(jìn)行了研究,闡述了ATT&CK威脅框架在國內(nèi)外網(wǎng)絡(luò)安全企業(yè)的實(shí)踐落地情況,以期為網(wǎng)絡(luò)安全人員在防御體系設(shè)計(jì)、高級威脅分析、安全應(yīng)急響應(yīng)等方面提供借鑒。

【關(guān)鍵詞】 ATT&CK 威脅框架 技術(shù)發(fā)展 防御能力評估 安全能力提升

1 引言

隨著越來越多的威脅事件和攻擊組織被發(fā)現(xiàn)、曝光,“曝光”這一手段對于攻擊組織的威懾力正在快速下降。同時(shí),各種追溯方法也大量暴露在對手的視野中,現(xiàn)有追溯方法幾乎都能夠通過技術(shù)手段和資源規(guī)避或?qū)崿F(xiàn)仿冒,追溯的有效性也在不斷下降。網(wǎng)絡(luò)安全防御工作的重點(diǎn)逐漸轉(zhuǎn)移到構(gòu)建有效的積極防御體系及實(shí)現(xiàn)防御能力的持續(xù)提升等方面。為更好地實(shí)現(xiàn)防御目標(biāo),使安全人員能夠識別對手活動(dòng)的趨勢和變化,系統(tǒng)全面地分析對手入侵的戰(zhàn)術(shù)、技術(shù)、過程(Tactic, Technique and Procedure,TTP),政府部門、研究機(jī)構(gòu)及網(wǎng)絡(luò)安全企業(yè)提出了一系列威脅框架。其中,ATT&CK(Adversary Tactics Techniques Common Knowledge)威脅框架是一個(gè)基于真實(shí)世界觀察對手技戰(zhàn)術(shù)的知識庫,其將已知對手行為轉(zhuǎn)換為結(jié)構(gòu)化列表并能夠覆蓋對手入侵活動(dòng)的全生命周期。ATT&CK威脅框架的理論發(fā)展及基于實(shí)際產(chǎn)業(yè)運(yùn)用角度的應(yīng)用,可為網(wǎng)絡(luò)安全人員在防御體系設(shè)計(jì)、高級威脅分析、防御能力評估、安全應(yīng)急響應(yīng)等方面提供清晰的思路。

2 ATT&CK威脅框架概述

2.1 發(fā)展歷程

美國MITRE公司(The MITRE Corporation)于2013年開始開發(fā)ATT&CK威脅框架,于2015年5月正式發(fā)布。該威脅框架自發(fā)布后迭代更新較快,幾乎每隔3—6個(gè)月,就會(huì)完成1次更新,更新內(nèi)容主要包括戰(zhàn)術(shù)、技術(shù)、攻擊組、軟件、緩解措施等內(nèi)容。

ATT&CK威脅框架剛推出時(shí)還較為單薄,但隨著MIERE公司不斷對其進(jìn)行豐富,現(xiàn)在該威脅框架涉及的內(nèi)容已較飽滿,逐漸發(fā)展成為原子化、高精準(zhǔn)的安全知識庫。ATT&CK威脅框架目前分為3個(gè)模塊,包括企業(yè)矩陣(Enterprise Matrix)、移動(dòng)矩陣(Mobile Matrices)、ATT&CK工控系統(tǒng)矩陣(ATT&CK for Industrial Control Systems),其中Enterprise Matrix是針對企業(yè)網(wǎng)絡(luò)環(huán)境下對手入侵技戰(zhàn)術(shù)的知識庫。

最初,Enterprise Matrix威脅框架僅包含8個(gè)戰(zhàn)術(shù)階段,在2016年擴(kuò)展至10個(gè)戰(zhàn)術(shù)階段,后續(xù)該威脅框架獲得網(wǎng)絡(luò)安全領(lǐng)域的廣泛關(guān)注并迅速發(fā)展。目前,MITRE網(wǎng)站上顯示最早的是V3版本(2018年10月23日),該版本包括11個(gè)戰(zhàn)術(shù)階段,233種技術(shù);V4版本(2019年4月30日)中增加了“影響”戰(zhàn)術(shù)階段,戰(zhàn)術(shù)階段增至12個(gè);V5版本(2019年7月31日)在介紹界面中加入“緩解”措施;V6版本(2019年10月24日)增加了云、工控領(lǐng)域的相關(guān)技術(shù);V7 Beta版本(2020年3月31日)將攻擊技術(shù)進(jìn)一步細(xì)化至子技術(shù)層面,2020年7月8日,MITRE公司發(fā)布了V7正式版本;V8版本(2020年10月27日)將PRE ATT&CK威脅框架與Enterprise Matrix威脅框架進(jìn)行結(jié)合,形成能夠覆蓋網(wǎng)絡(luò)入侵全生命周期的新威脅框架版本,戰(zhàn)術(shù)階段擴(kuò)展至14個(gè);V9版本(2021年4月29日)對數(shù)據(jù)源的描述方式發(fā)生了變化,增加了容器和谷歌工作區(qū)(Google Workspace)平臺(tái);V10版本(2021年10月21日)在企業(yè)矩陣中添加了一組新的數(shù)據(jù)源和數(shù)組件對象,補(bǔ)充V9版本中數(shù)據(jù)源名稱更改。2022年4月25日發(fā)布V11版本,該版本對技術(shù)、子技術(shù)作了進(jìn)一步更新細(xì)化,其中包含14個(gè)戰(zhàn)術(shù)階段、191種技術(shù)、386個(gè)子技術(shù)。

從安全知識庫體系構(gòu)建來看,ATT&CK威脅框架包含的技戰(zhàn)術(shù)逐年細(xì)化、覆蓋入侵活動(dòng)的范圍逐漸增加,呈現(xiàn)出不斷豐富細(xì)化的趨勢。

2.2 價(jià)值作用

ATT&CK威脅框架具有較大的戰(zhàn)略價(jià)值。MITRE公司收集來自全球安全社區(qū)貢獻(xiàn)的基于現(xiàn)實(shí)世界網(wǎng)絡(luò)威脅事件的戰(zhàn)術(shù)、技術(shù)、過程,不斷充實(shí)、更新ATT&CK威脅框架。

網(wǎng)絡(luò)安全人員利用ATT&CK威脅框架有機(jī)會(huì)從對手視角看待入侵事件,并從入侵行為角度進(jìn)行分析。ATT&CK威脅框架不僅為網(wǎng)絡(luò)安全人員分析對手入侵策略、行為等提供理論基礎(chǔ),還為網(wǎng)絡(luò)安全防御部署提供指導(dǎo),而且可作為一種可行的通用網(wǎng)絡(luò)語言。ATT&CK威脅框架能夠提供更易于共享上下文的行動(dòng)和潛在對策,簡化威脅情報(bào)創(chuàng)建過程。網(wǎng)絡(luò)安全對抗模式已演進(jìn)為全面體系化對抗,安全人員能夠基于ATT&CK威脅框架進(jìn)行威脅對抗行為研究,有利于將對手入侵行為進(jìn)行原子化拆解、為網(wǎng)絡(luò)紅隊(duì)提供入侵知識和工具、方便進(jìn)行滲透測試、開發(fā)更全面的應(yīng)急響應(yīng)機(jī)制。安全人員還可據(jù)此為主要場景制定有針對性的行為分析方案、評估攻防差距、構(gòu)建安全部署、提升防御能力等。

2.3 發(fā)展難點(diǎn)

ATT&CK威脅框架是一個(gè)由MITRE公司打造并持續(xù)進(jìn)行迭代更新的知識庫,其發(fā)展難點(diǎn)主要體現(xiàn)在多種平臺(tái)覆蓋、全生命周期入侵行為枚舉等方面。

首先,形成一套能夠應(yīng)對包括云平臺(tái)、移動(dòng)平臺(tái)、工業(yè)控制平臺(tái)等多種平臺(tái),且被業(yè)內(nèi)認(rèn)可的通用技術(shù)表達(dá)體系和通用術(shù)語并不容易。威脅框架已經(jīng)發(fā)展成為系統(tǒng)認(rèn)知網(wǎng)絡(luò)威脅、構(gòu)建有效防御的方法與工具體系。除ATT&CK威脅框架外,還有洛克希德·馬丁公司的殺傷鏈框架(Cyber-Kill-Chain)、美國國家情報(bào)總監(jiān)辦公室的公共網(wǎng)絡(luò)威脅框架(Common Cyber Threat Framework,CCTF)、美國國家安全局的技術(shù)性網(wǎng)絡(luò)威脅框架(Technical Cyber Threat Framework,TCTF)等。這些威脅框架均沒有像ATT&CK威脅框架這樣細(xì)粒度的技術(shù)刻畫,也未對多種平臺(tái)進(jìn)行覆蓋。雖然ATT&CK威脅框架對研究分析、產(chǎn)品開發(fā)、威脅對抗等方面具有更實(shí)際的指導(dǎo)作用,但這也成為其面臨的現(xiàn)實(shí)挑戰(zhàn)的來源。

其次,高級威脅及未知漏洞發(fā)現(xiàn)較為困難,甚至可能威脅已經(jīng)在受害者網(wǎng)絡(luò)環(huán)境中造成實(shí)際后果,而用戶仍未感知,更無從調(diào)查取證。網(wǎng)絡(luò)威脅不斷發(fā)展變化,不斷出現(xiàn)未被感知到的高級威脅,因此ATT&CK威脅框架如何更全面枚舉入侵技戰(zhàn)術(shù)是其面臨的又一發(fā)展難點(diǎn)。盡管ATT&CK威脅框架已經(jīng)對入侵活動(dòng)進(jìn)行原子化拆解,但因?yàn)闊o法完全枚舉威脅、入侵手段過于復(fù)雜等因素,也可能導(dǎo)致其不能發(fā)揮應(yīng)有作用。

3 ATT&CK威脅框架技術(shù)產(chǎn)業(yè)落地情況

3.1 威脅框架應(yīng)用場景

ATT&CK威脅框架得到網(wǎng)絡(luò)安全領(lǐng)域的廣泛認(rèn)可,在技術(shù)服務(wù)中也取得較好實(shí)際效果。此外,隨著網(wǎng)絡(luò)威脅的不斷演變和進(jìn)化,MITRE公司也積極推動(dòng)ATT&CK威脅框架的迭代更新,以適應(yīng)不斷變化的入侵環(huán)境。ATT&CK威脅框架主要包括威脅情報(bào)收集、高級威脅檢測、防御能力評估、安全能力提升等應(yīng)用場景。

(1)威脅情報(bào)收集

網(wǎng)絡(luò)威脅情報(bào)能夠使用戶了解威脅并有針對性地應(yīng)對威脅。雖然威脅情報(bào)具有較大價(jià)值,但其創(chuàng)建過程卻很復(fù)雜。ATT&CK威脅框架可作為通用語言提供統(tǒng)一描述標(biāo)準(zhǔn),為情報(bào)創(chuàng)建提供便利條件,對威脅情報(bào)進(jìn)行規(guī)整。此外,ATT&CK威脅框架中展示了近130個(gè)攻擊組織的詳細(xì)信息,包括其使用的攻擊技戰(zhàn)術(shù)及工具。網(wǎng)絡(luò)安全工作人員能夠基于ATT&CK威脅框架收集網(wǎng)絡(luò)情報(bào),進(jìn)而有針對性地跟蹤對手,以應(yīng)對可能出現(xiàn)的威脅。利用ATT&CK威脅框架在化簡情報(bào)創(chuàng)建過程、縮短分析時(shí)間、提高情報(bào)質(zhì)量等方面具有現(xiàn)實(shí)意義。

(2)高級威脅檢測

已知威脅的獵殺及未知威脅的發(fā)現(xiàn)通常是高級威脅檢測關(guān)注的焦點(diǎn)。針對已知威脅的獵殺,利用ATT&CK威脅框架對對手攻擊戰(zhàn)術(shù)、技術(shù)、過程的映射能夠獲得已知對手的入侵信息,甚至預(yù)測對手可能的入侵行為,從而采取相應(yīng)措施,進(jìn)行安全防御部署,使網(wǎng)絡(luò)安全防御價(jià)值最大化。針對未知威脅的發(fā)現(xiàn),ATT&CK威脅框架能夠?qū)崿F(xiàn)網(wǎng)絡(luò)入侵活動(dòng)全生命周期的覆蓋,因此即便對手應(yīng)用未知威脅入侵,也將處于ATT&CK威脅框架覆蓋范圍內(nèi),使得未知威脅追蹤有跡可循并最終發(fā)現(xiàn)未知威脅。

(3)防御能力評估

防御能力評估的價(jià)值在于能夠?yàn)榘踩芰μ嵘於ɑA(chǔ),但評估中可能出現(xiàn)當(dāng)前防御能阻止以某種方式采用某種技術(shù)的入侵,而其實(shí)無法防御其他方式采用該技術(shù)的入侵,使防御者產(chǎn)生一種虛假的安全感。因此,需要基于ATT&CK威脅框架利用接近實(shí)戰(zhàn)化的攻防對抗演練才能精準(zhǔn)地評估防御能力。

MITRE為ATT&CK威脅框架提供了原子紅隊(duì)(Atomic Red Team,ART)“原子化攻擊仿真”測試集合,能夠保障威脅框架武器庫中特定技術(shù)或子技術(shù)正常發(fā)揮作用。模擬入侵人員能夠在原子測試的基礎(chǔ)上,與現(xiàn)實(shí)世界入侵事件相結(jié)合,根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境調(diào)整、利用不同入侵技戰(zhàn)術(shù),盡可能還原對手真實(shí)入侵手段。安全防御人員基于現(xiàn)有網(wǎng)絡(luò)防御策略及應(yīng)急響應(yīng)流程與對手進(jìn)行對抗,抵御對手的潛在入侵行為,確定現(xiàn)有防御部署中存在的防御不足或可見性缺失的部分。網(wǎng)絡(luò)威脅不斷發(fā)展變化,因此打造一支能力可靠的藍(lán)隊(duì)參加常態(tài)化的攻防對抗演練,并基于ATT&CK威脅框架對網(wǎng)絡(luò)防御能力進(jìn)行評估,能夠最大程度地為測試網(wǎng)絡(luò)安全解決方案、提升安全防御能力提供真實(shí)的參考依據(jù)。

(4)安全能力提升

基于ATT&CK威脅框架的威脅情報(bào)、防御能力評估,網(wǎng)絡(luò)安全人員能夠認(rèn)識到攻防雙方差距,發(fā)現(xiàn)安全防御薄弱環(huán)節(jié),有針對性地提升安全能力。安全人員可以利用ATT&CK威脅框架構(gòu)建體系化防御,還可以主動(dòng)構(gòu)建欺騙環(huán)境,擾亂對手判斷,塑造誘餌環(huán)境、誘餌對象、仿真行為等,誘騙對手實(shí)施入侵,從而觸發(fā)攻擊告警;诟婢畔⒉粩嗉訌(qiáng)網(wǎng)絡(luò)安全防御復(fù)雜度,強(qiáng)化網(wǎng)絡(luò)系統(tǒng)彈性,提升對手攻擊難度,增加對手攻擊成本。網(wǎng)絡(luò)安全人員能夠利用ATT&CK威脅框架改變被動(dòng)的防御態(tài)勢,充分發(fā)揮能夠基于自身網(wǎng)絡(luò)架構(gòu)主動(dòng)部署防御體系的先天優(yōu)勢,扭轉(zhuǎn)網(wǎng)絡(luò)威脅對抗雙方不對等的情況,真正實(shí)現(xiàn)網(wǎng)絡(luò)安全積極防御。企業(yè)基于ATT&CK威脅框架有針對性地進(jìn)行安全防御部署,可提高安全防御能力,使網(wǎng)絡(luò)安全防御價(jià)值最大化。

3.2 威脅框架產(chǎn)業(yè)落地

(1)國內(nèi)產(chǎn)業(yè)落地情況

ATT&CK威脅框架為應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)威脅,提供了有力的技術(shù)支撐。國內(nèi)網(wǎng)絡(luò)安全企業(yè)紛紛利用ATT&CK威脅框架來覆蓋其技術(shù)分析報(bào)告以及產(chǎn)品實(shí)現(xiàn)過程,積極推動(dòng)該框架在安全產(chǎn)品側(cè)的落地。

目前主要技術(shù)報(bào)告的分析成果如下:總結(jié)出最常見的十大ATT&CK攻擊技術(shù),即供應(yīng)鏈?zhǔn)、?chuàng)建或更改系統(tǒng)進(jìn)程、進(jìn)程注入、命令和腳本解釋、系統(tǒng)憑證提取、遠(yuǎn)程服務(wù)、利用C2通道滲漏數(shù)據(jù)、協(xié)議通道、軟件探測、執(zhí)行流劫持等;應(yīng)用ATT&CK威脅框架示意圖直觀展示攻擊組織利用哪些技戰(zhàn)術(shù)完成入侵;從攻擊戰(zhàn)術(shù)、技術(shù)、過程、標(biāo)簽、分析溯源、紅藍(lán)知識庫等方面對ATT&CK威脅框架進(jìn)行研究。

主要產(chǎn)品可實(shí)現(xiàn)的功能包括以下3個(gè)方面:一是將ATT&CK威脅框架應(yīng)用到終端產(chǎn)品的研發(fā)與能力驗(yàn)證工作中,不僅使產(chǎn)品在威脅防御和異常事件捕獲方面的能力大幅度提升,還可以支持以ATT&CK威脅框架的形式展現(xiàn)網(wǎng)內(nèi)威脅事件,并能對事件進(jìn)行關(guān)聯(lián)分析;二是結(jié)合企業(yè)自身對威脅知識、經(jīng)驗(yàn)的積累,基于ATT&CK威脅框架構(gòu)建網(wǎng)絡(luò)安全知識圖譜,進(jìn)行高級持續(xù)性威脅(Advanced Persistent Threat,APT)組織追蹤、內(nèi)部威脅識別、攻擊模擬及知識擴(kuò)展等相關(guān)研究;三是對標(biāo)ATT&CK威脅框架輸出精準(zhǔn)的告警研判信息。

(2)國外產(chǎn)業(yè)落地情況

國外眾多領(lǐng)先的網(wǎng)絡(luò)安全公司都采用了ATT&CK威脅框架。2021年4月,MITRE公司基于ATT&CK威脅框架對29個(gè)不同網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品進(jìn)行評估,但不會(huì)產(chǎn)生分?jǐn)?shù)和排名。安全產(chǎn)品防御能力的評估結(jié)果,不僅取決于與ATT&CK威脅框架的映射覆蓋度,更取決于是否滿足最終用戶的關(guān)鍵需求。

除MITRE官方應(yīng)用之外,還有如下應(yīng)用方式:將端點(diǎn)檢測與響應(yīng)(Endpoint Detection & Response,EDR)產(chǎn)品與ATT&CK威脅框架相互映射,并利用該框架豐富其APT情報(bào)報(bào)告;應(yīng)用ATT&CK威脅框架檢測產(chǎn)品覆蓋范圍,找出產(chǎn)品能力與攻擊者應(yīng)用技術(shù)間的差距,由應(yīng)急響應(yīng)團(tuán)隊(duì)縮小差距;在分析2020年12月的“太陽風(fēng)”(SolarWinds)軟件供應(yīng)鏈攻擊事件中,全面采用ATT&CK威脅框架映射、分析該攻擊事件,并認(rèn)為至少應(yīng)用了17種技術(shù)手段;將ATT&CK威脅框架應(yīng)用于網(wǎng)絡(luò)威脅檢測、描述攻擊者入侵目標(biāo)網(wǎng)絡(luò)行為等方面,并為受害者提供預(yù)防和緩解網(wǎng)絡(luò)安全威脅的工具;開發(fā)公開的劇本查看器(Playbook Viewer),其顯示了ATT&CK威脅框架的部分入侵組織的已知入侵行為。

網(wǎng)絡(luò)安全人員是ATT&CK威脅框架實(shí)踐的主體,該框架被國內(nèi)外網(wǎng)絡(luò)安全企業(yè)廣泛應(yīng)用,一方面體現(xiàn)在網(wǎng)絡(luò)安全的研究分析過程中,另一方面體現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)實(shí)踐過程中。國內(nèi)外網(wǎng)絡(luò)安全企業(yè)將ATT&CK威脅框架作為分析高級威脅的技術(shù)表達(dá)體系和分析框架,應(yīng)用于檢測已知威脅、識別潛在威脅、干擾反制對手行為、提高入侵成本等方面,從而提升安全產(chǎn)品功能,強(qiáng)化用戶網(wǎng)絡(luò)安全防御能力。因此,對于網(wǎng)絡(luò)安全防御工作來說,ATT&CK威脅框架具有重要的現(xiàn)實(shí)意義。

4 結(jié)語

本文主要對ATT&CK威脅框架的發(fā)展及應(yīng)用進(jìn)行梳理和分析。在網(wǎng)絡(luò)安全防御領(lǐng)域應(yīng)用ATT&CK威脅框架,一方面能夠發(fā)現(xiàn)現(xiàn)有防御能力的不足,通過評估、分析差距,指導(dǎo)防御能力提升;另一方面能夠通過威脅事件與威脅框架的關(guān)聯(lián)映射,幫助防御人員直觀地理解已發(fā)現(xiàn)威脅事件的戰(zhàn)術(shù)、技術(shù)或目標(biāo)、行為,輔助決策,提升威脅檢測、響應(yīng)與分析處置能力。此外,國內(nèi)外眾多網(wǎng)絡(luò)安全研究人員和安全企業(yè)都紛紛采用ATT&CK威脅框架,進(jìn)行技術(shù)分析研究或產(chǎn)品落地實(shí)踐,實(shí)現(xiàn)用戶網(wǎng)絡(luò)安全防御能力的持續(xù)提升。未來,隨著ATT&CK威脅框架不斷發(fā)展和完善,其將得到更加廣泛的應(yīng)用。

(原載于《保密科學(xué)技術(shù)》雜志2022年8月刊)