ATT&CK威脅框架發(fā)展及應(yīng)用研究

【摘 要】 ATT&CK威脅框架是基于攻擊者視角，從現(xiàn)實(shí)世界的網(wǎng)絡(luò)威脅中提煉并歸納出各種技戰(zhàn)術(shù)特點(diǎn)的知識(shí)庫。本文對(duì)ATT&CK威脅框架的演進(jìn)、價(jià)值作用、發(fā)展難點(diǎn)及應(yīng)用現(xiàn)狀等進(jìn)行了研究，闡述了ATT&CK威脅框架在國內(nèi)外網(wǎng)絡(luò)安全企業(yè)的實(shí)踐落地情況，以期為網(wǎng)絡(luò)安全人員在防御體系設(shè)計(jì)、高級(jí)威脅分析、安全應(yīng)急響應(yīng)等方面提供借鑒。

【關(guān)鍵詞】 ATT&CK 威脅框架 技術(shù)發(fā)展 防御能力評(píng)估 安全能力提升

1 引言

隨著越來越多的威脅事件和攻擊組織被發(fā)現(xiàn)、曝光，“曝光”這一手段對(duì)于攻擊組織的威懾力正在快速下降。同時(shí)，各種追溯方法也大量暴露在對(duì)手的視野中，現(xiàn)有追溯方法幾乎都能夠通過技術(shù)手段和資源規(guī)避或?qū)崿F(xiàn)仿冒，追溯的有效性也在不斷下降。網(wǎng)絡(luò)安全防御工作的重點(diǎn)逐漸轉(zhuǎn)移到構(gòu)建有效的積極防御體系及實(shí)現(xiàn)防御能力的持續(xù)提升等方面。為更好地實(shí)現(xiàn)防御目標(biāo)，使安全人員能夠識(shí)別對(duì)手活動(dòng)的趨勢(shì)和變化，系統(tǒng)全面地分析對(duì)手入侵的戰(zhàn)術(shù)、技術(shù)、過程（Tactic, Technique and Procedure，TTP），政府部門、研究機(jī)構(gòu)及網(wǎng)絡(luò)安全企業(yè)提出了一系列威脅框架。其中，ATT&CK（Adversary Tactics Techniques Common Knowledge）威脅框架是一個(gè)基于真實(shí)世界觀察對(duì)手技戰(zhàn)術(shù)的知識(shí)庫，其將已知對(duì)手行為轉(zhuǎn)換為結(jié)構(gòu)化列表并能夠覆蓋對(duì)手入侵活動(dòng)的全生命周期。ATT&CK威脅框架的理論發(fā)展及基于實(shí)際產(chǎn)業(yè)運(yùn)用角度的應(yīng)用，可為網(wǎng)絡(luò)安全人員在防御體系設(shè)計(jì)、高級(jí)威脅分析、防御能力評(píng)估、安全應(yīng)急響應(yīng)等方面提供清晰的思路。

2 ATT&CK威脅框架概述

2.1 發(fā)展歷程

美國MITRE公司（The MITRE Corporation）于2013年開始開發(fā)ATT&CK威脅框架，于2015年5月正式發(fā)布。該威脅框架自發(fā)布后迭代更新較快，幾乎每隔3—6個(gè)月，就會(huì)完成1次更新，更新內(nèi)容主要包括戰(zhàn)術(shù)、技術(shù)、攻擊組、軟件、緩解措施等內(nèi)容。

ATT&CK威脅框架剛推出時(shí)還較為單薄，但隨著MIERE公司不斷對(duì)其進(jìn)行豐富，現(xiàn)在該威脅框架涉及的內(nèi)容已較飽滿，逐漸發(fā)展成為原子化、高精準(zhǔn)的安全知識(shí)庫。ATT&CK威脅框架目前分為3個(gè)模塊，包括企業(yè)矩陣（Enterprise Matrix）、移動(dòng)矩陣（Mobile Matrices）、ATT&CK工控系統(tǒng)矩陣（ATT&CK for Industrial Control Systems），其中Enterprise Matrix是針對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境下對(duì)手入侵技戰(zhàn)術(shù)的知識(shí)庫。

最初，Enterprise Matrix威脅框架僅包含8個(gè)戰(zhàn)術(shù)階段，在2016年擴(kuò)展至10個(gè)戰(zhàn)術(shù)階段，后續(xù)該威脅框架獲得網(wǎng)絡(luò)安全領(lǐng)域的廣泛關(guān)注并迅速發(fā)展。目前，MITRE網(wǎng)站上顯示最早的是V3版本（2018年10月23日），該版本包括11個(gè)戰(zhàn)術(shù)階段，233種技術(shù)；V4版本（2019年4月30日）中增加了“影響”戰(zhàn)術(shù)階段，戰(zhàn)術(shù)階段增至12個(gè)；V5版本（2019年7月31日）在介紹界面中加入“緩解”措施；V6版本（2019年10月24日）增加了云、工控領(lǐng)域的相關(guān)技術(shù)；V7 Beta版本（2020年3月31日）將攻擊技術(shù)進(jìn)一步細(xì)化至子技術(shù)層面，2020年7月8日，MITRE公司發(fā)布了V7正式版本；V8版本（2020年10月27日）將PRE ATT&CK威脅框架與Enterprise Matrix威脅框架進(jìn)行結(jié)合，形成能夠覆蓋網(wǎng)絡(luò)入侵全生命周期的新威脅框架版本，戰(zhàn)術(shù)階段擴(kuò)展至14個(gè)；V9版本（2021年4月29日）對(duì)數(shù)據(jù)源的描述方式發(fā)生了變化，增加了容器和谷歌工作區(qū)（Google Workspace）平臺(tái)；V10版本（2021年10月21日）在企業(yè)矩陣中添加了一組新的數(shù)據(jù)源和數(shù)組件對(duì)象，補(bǔ)充V9版本中數(shù)據(jù)源名稱更改。2022年4月25日發(fā)布V11版本，該版本對(duì)技術(shù)、子技術(shù)作了進(jìn)一步更新細(xì)化，其中包含14個(gè)戰(zhàn)術(shù)階段、191種技術(shù)、386個(gè)子技術(shù)。

從安全知識(shí)庫體系構(gòu)建來看，ATT&CK威脅框架包含的技戰(zhàn)術(shù)逐年細(xì)化、覆蓋入侵活動(dòng)的范圍逐漸增加，呈現(xiàn)出不斷豐富細(xì)化的趨勢(shì)。

2.2 價(jià)值作用

ATT&CK威脅框架具有較大的戰(zhàn)略價(jià)值。MITRE公司收集來自全球安全社區(qū)貢獻(xiàn)的基于現(xiàn)實(shí)世界網(wǎng)絡(luò)威脅事件的戰(zhàn)術(shù)、技術(shù)、過程，不斷充實(shí)、更新ATT&CK威脅框架。

網(wǎng)絡(luò)安全人員利用ATT&CK威脅框架有機(jī)會(huì)從對(duì)手視角看待入侵事件，并從入侵行為角度進(jìn)行分析。ATT&CK威脅框架不僅為網(wǎng)絡(luò)安全人員分析對(duì)手入侵策略、行為等提供理論基礎(chǔ)，還為網(wǎng)絡(luò)安全防御部署提供指導(dǎo)，而且可作為一種可行的通用網(wǎng)絡(luò)語言。ATT&CK威脅框架能夠提供更易于共享上下文的行動(dòng)和潛在對(duì)策，簡化威脅情報(bào)創(chuàng)建過程。網(wǎng)絡(luò)安全對(duì)抗模式已演進(jìn)為全面體系化對(duì)抗，安全人員能夠基于ATT&CK威脅框架進(jìn)行威脅對(duì)抗行為研究，有利于將對(duì)手入侵行為進(jìn)行原子化拆解、為網(wǎng)絡(luò)紅隊(duì)提供入侵知識(shí)和工具、方便進(jìn)行滲透測(cè)試、開發(fā)更全面的應(yīng)急響應(yīng)機(jī)制。安全人員還可據(jù)此為主要場(chǎng)景制定有針對(duì)性的行為分析方案、評(píng)估攻防差距、構(gòu)建安全部署、提升防御能力等。

2.3 發(fā)展難點(diǎn)

ATT&CK威脅框架是一個(gè)由MITRE公司打造并持續(xù)進(jìn)行迭代更新的知識(shí)庫，其發(fā)展難點(diǎn)主要體現(xiàn)在多種平臺(tái)覆蓋、全生命周期入侵行為枚舉等方面。

首先，形成一套能夠應(yīng)對(duì)包括云平臺(tái)、移動(dòng)平臺(tái)、工業(yè)控制平臺(tái)等多種平臺(tái)，且被業(yè)內(nèi)認(rèn)可的通用技術(shù)表達(dá)體系和通用術(shù)語并不容易。威脅框架已經(jīng)發(fā)展成為系統(tǒng)認(rèn)知網(wǎng)絡(luò)威脅、構(gòu)建有效防御的方法與工具體系。除ATT&CK威脅框架外，還有洛克希德·馬丁公司的殺傷鏈框架（Cyber-Kill-Chain）、美國國家情報(bào)總監(jiān)辦公室的公共網(wǎng)絡(luò)威脅框架（Common Cyber Threat Framework，CCTF）、美國國家安全局的技術(shù)性網(wǎng)絡(luò)威脅框架（Technical Cyber Threat Framework，TCTF）等。這些威脅框架均沒有像ATT&CK威脅框架這樣細(xì)粒度的技術(shù)刻畫，也未對(duì)多種平臺(tái)進(jìn)行覆蓋。雖然ATT&CK威脅框架對(duì)研究分析、產(chǎn)品開發(fā)、威脅對(duì)抗等方面具有更實(shí)際的指導(dǎo)作用，但這也成為其面臨的現(xiàn)實(shí)挑戰(zhàn)的來源。

其次，高級(jí)威脅及未知漏洞發(fā)現(xiàn)較為困難，甚至可能威脅已經(jīng)在受害者網(wǎng)絡(luò)環(huán)境中造成實(shí)際后果，而用戶仍未感知，更無從調(diào)查取證。網(wǎng)絡(luò)威脅不斷發(fā)展變化，不斷出現(xiàn)未被感知到的高級(jí)威脅，因此ATT&CK威脅框架如何更全面枚舉入侵技戰(zhàn)術(shù)是其面臨的又一發(fā)展難點(diǎn)。盡管ATT&CK威脅框架已經(jīng)對(duì)入侵活動(dòng)進(jìn)行原子化拆解，但因?yàn)闊o法完全枚舉威脅、入侵手段過于復(fù)雜等因素，也可能導(dǎo)致其不能發(fā)揮應(yīng)有作用。

3 ATT&CK威脅框架技術(shù)產(chǎn)業(yè)落地情況

3.1 威脅框架應(yīng)用場(chǎng)景

ATT&CK威脅框架得到網(wǎng)絡(luò)安全領(lǐng)域的廣泛認(rèn)可，在技術(shù)服務(wù)中也取得較好實(shí)際效果。此外，隨著網(wǎng)絡(luò)威脅的不斷演變和進(jìn)化，MITRE公司也積極推動(dòng)ATT&CK威脅框架的迭代更新，以適應(yīng)不斷變化的入侵環(huán)境。ATT&CK威脅框架主要包括威脅情報(bào)收集、高級(jí)威脅檢測(cè)、防御能力評(píng)估、安全能力提升等應(yīng)用場(chǎng)景。

（1）威脅情報(bào)收集

網(wǎng)絡(luò)威脅情報(bào)能夠使用戶了解威脅并有針對(duì)性地應(yīng)對(duì)威脅。雖然威脅情報(bào)具有較大價(jià)值，但其創(chuàng)建過程卻很復(fù)雜。ATT&CK威脅框架可作為通用語言提供統(tǒng)一描述標(biāo)準(zhǔn)，為情報(bào)創(chuàng)建提供便利條件，對(duì)威脅情報(bào)進(jìn)行規(guī)整。此外，ATT&CK威脅框架中展示了近130個(gè)攻擊組織的詳細(xì)信息，包括其使用的攻擊技戰(zhàn)術(shù)及工具。網(wǎng)絡(luò)安全工作人員能夠基于ATT&CK威脅框架收集網(wǎng)絡(luò)情報(bào)，進(jìn)而有針對(duì)性地跟蹤對(duì)手，以應(yīng)對(duì)可能出現(xiàn)的威脅。利用ATT&CK威脅框架在化簡情報(bào)創(chuàng)建過程、縮短分析時(shí)間、提高情報(bào)質(zhì)量等方面具有現(xiàn)實(shí)意義。

（2）高級(jí)威脅檢測(cè)

已知威脅的獵殺及未知威脅的發(fā)現(xiàn)通常是高級(jí)威脅檢測(cè)關(guān)注的焦點(diǎn)。針對(duì)已知威脅的獵殺，利用ATT&CK威脅框架對(duì)對(duì)手攻擊戰(zhàn)術(shù)、技術(shù)、過程的映射能夠獲得已知對(duì)手的入侵信息，甚至預(yù)測(cè)對(duì)手可能的入侵行為，從而采取相應(yīng)措施，進(jìn)行安全防御部署，使網(wǎng)絡(luò)安全防御價(jià)值最大化。針對(duì)未知威脅的發(fā)現(xiàn)，ATT&CK威脅框架能夠?qū)崿F(xiàn)網(wǎng)絡(luò)入侵活動(dòng)全生命周期的覆蓋，因此即便對(duì)手應(yīng)用未知威脅入侵，也將處于ATT&CK威脅框架覆蓋范圍內(nèi)，使得未知威脅追蹤有跡可循并最終發(fā)現(xiàn)未知威脅。

（3）防御能力評(píng)估

防御能力評(píng)估的價(jià)值在于能夠?yàn)榘踩�能力提升奠定基礎(chǔ)，但評(píng)估中可能出現(xiàn)當(dāng)前防御能阻止以某種方式采用某種技術(shù)的入侵，而其實(shí)無法防御其他方式采用該技術(shù)的入侵，使防御者產(chǎn)生一種虛假的安全感。因此，需要基于ATT&CK威脅框架利用接近實(shí)戰(zhàn)化的攻防對(duì)抗演練才能精準(zhǔn)地評(píng)估防御能力。

MITRE為ATT&CK威脅框架提供了原子紅隊(duì)（Atomic Red Team，ART）“原子化攻擊仿真”測(cè)試集合，能夠保障威脅框架武器庫中特定技術(shù)或子技術(shù)正常發(fā)揮作用。模擬入侵人員能夠在原子測(cè)試的基礎(chǔ)上，與現(xiàn)實(shí)世界入侵事件相結(jié)合，根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境調(diào)整、利用不同入侵技戰(zhàn)術(shù)，盡可能還原對(duì)手真實(shí)入侵手段。安全防御人員基于現(xiàn)有網(wǎng)絡(luò)防御策略及應(yīng)急響應(yīng)流程與對(duì)手進(jìn)行對(duì)抗，抵御對(duì)手的潛在入侵行為，確定現(xiàn)有防御部署中存在的防御不足或可見性缺失的部分。網(wǎng)絡(luò)威脅不斷發(fā)展變化，因此打造一支能力可靠的藍(lán)隊(duì)參加常態(tài)化的攻防對(duì)抗演練，并基于ATT&CK威脅框架對(duì)網(wǎng)絡(luò)防御能力進(jìn)行評(píng)估，能夠最大程度地為測(cè)試網(wǎng)絡(luò)安全解決方案、提升安全防御能力提供真實(shí)的參考依據(jù)。

（4）安全能力提升

基于ATT&CK威脅框架的威脅情報(bào)、防御能力評(píng)估，網(wǎng)絡(luò)安全人員能夠認(rèn)識(shí)到攻防雙方差距，發(fā)現(xiàn)安全防御薄弱環(huán)節(jié)，有針對(duì)性地提升安全能力。安全人員可以利用ATT&CK威脅框架構(gòu)建體系化防御，還可以主動(dòng)構(gòu)建欺騙環(huán)境，擾亂對(duì)手判斷，塑造誘餌環(huán)境、誘餌對(duì)象、仿真行為等，誘騙對(duì)手實(shí)施入侵，從而觸發(fā)攻擊告警�；�于告警信息不斷加強(qiáng)網(wǎng)絡(luò)安全防御復(fù)雜度，強(qiáng)化網(wǎng)絡(luò)系統(tǒng)彈性，提升對(duì)手攻擊難度，增加對(duì)手攻擊成本。網(wǎng)絡(luò)安全人員能夠利用ATT&CK威脅框架改變被動(dòng)的防御態(tài)勢(shì)，充分發(fā)揮能夠基于自身網(wǎng)絡(luò)架構(gòu)主動(dòng)部署防御體系的先天優(yōu)勢(shì)，扭轉(zhuǎn)網(wǎng)絡(luò)威脅對(duì)抗雙方不對(duì)等的情況，真正實(shí)現(xiàn)網(wǎng)絡(luò)安全積極防御。企業(yè)基于ATT&CK威脅框架有針對(duì)性地進(jìn)行安全防御部署，可提高安全防御能力，使網(wǎng)絡(luò)安全防御價(jià)值最大化。

3.2 威脅框架產(chǎn)業(yè)落地

（1）國內(nèi)產(chǎn)業(yè)落地情況

ATT&CK威脅框架為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，提供了有力的技術(shù)支撐。國內(nèi)網(wǎng)絡(luò)安全企業(yè)紛紛利用ATT&CK威脅框架來覆蓋其技術(shù)分析報(bào)告以及產(chǎn)品實(shí)現(xiàn)過程，積極推動(dòng)該框架在安全產(chǎn)品側(cè)的落地。

目前主要技術(shù)報(bào)告的分析成果如下：總結(jié)出最常見的十大ATT&CK攻擊技術(shù)，即供應(yīng)鏈?zhǔn)�陷、�?chuàng)建或更改系統(tǒng)進(jìn)程、進(jìn)程注入、命令和腳本解釋、系統(tǒng)憑證提取、遠(yuǎn)程服務(wù)、利用C2通道滲漏數(shù)據(jù)、協(xié)議通道、軟件探測(cè)、執(zhí)行流劫持等；應(yīng)用ATT&CK威脅框架示意圖直觀展示攻擊組織利用哪些技戰(zhàn)術(shù)完成入侵；從攻擊戰(zhàn)術(shù)、技術(shù)、過程、標(biāo)簽、分析溯源、紅藍(lán)知識(shí)庫等方面對(duì)ATT&CK威脅框架進(jìn)行研究。

主要產(chǎn)品可實(shí)現(xiàn)的功能包括以下3個(gè)方面：一是將ATT&CK威脅框架應(yīng)用到終端產(chǎn)品的研發(fā)與能力驗(yàn)證工作中，不僅使產(chǎn)品在威脅防御和異常事件捕獲方面的能力大幅度提升，還可以支持以ATT&CK威脅框架的形式展現(xiàn)網(wǎng)內(nèi)威脅事件，并能對(duì)事件進(jìn)行關(guān)聯(lián)分析；二是結(jié)合企業(yè)自身對(duì)威脅知識(shí)、經(jīng)驗(yàn)的積累，基于ATT&CK威脅框架構(gòu)建網(wǎng)絡(luò)安全知識(shí)圖譜，進(jìn)行高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）組織追蹤、內(nèi)部威脅識(shí)別、攻擊模擬及知識(shí)擴(kuò)展等相關(guān)研究；三是對(duì)標(biāo)ATT&CK威脅框架輸出精準(zhǔn)的告警研判信息。

（2）國外產(chǎn)業(yè)落地情況

國外眾多領(lǐng)先的網(wǎng)絡(luò)安全公司都采用了ATT&CK威脅框架。2021年4月，MITRE公司基于ATT&CK威脅框架對(duì)29個(gè)不同網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品進(jìn)行評(píng)估，但不會(huì)產(chǎn)生分?jǐn)?shù)和排名。安全產(chǎn)品防御能力的評(píng)估結(jié)果，不僅取決于與ATT&CK威脅框架的映射覆蓋度，更取決于是否滿足最終用戶的關(guān)鍵需求。

除MITRE官方應(yīng)用之外，還有如下應(yīng)用方式：將端點(diǎn)檢測(cè)與響應(yīng)（Endpoint Detection & Response，EDR）產(chǎn)品與ATT&CK威脅框架相互映射，并利用該框架豐富其APT情報(bào)報(bào)告；應(yīng)用ATT&CK威脅框架檢測(cè)產(chǎn)品覆蓋范圍，找出產(chǎn)品能力與攻擊者應(yīng)用技術(shù)間的差距，由應(yīng)急響應(yīng)團(tuán)隊(duì)縮小差距；在分析2020年12月的“太陽風(fēng)”（SolarWinds）軟件供應(yīng)鏈攻擊事件中，全面采用ATT&CK威脅框架映射、分析該攻擊事件，并認(rèn)為至少應(yīng)用了17種技術(shù)手段；將ATT&CK威脅框架應(yīng)用于網(wǎng)絡(luò)威脅檢測(cè)、描述攻擊者入侵目標(biāo)網(wǎng)絡(luò)行為等方面，并為受害者提供預(yù)防和緩解網(wǎng)絡(luò)安全威脅的工具；開發(fā)公開的劇本查看器（Playbook Viewer），其顯示了ATT&CK威脅框架的部分入侵組織的已知入侵行為。

網(wǎng)絡(luò)安全人員是ATT&CK威脅框架實(shí)踐的主體，該框架被國內(nèi)外網(wǎng)絡(luò)安全企業(yè)廣泛應(yīng)用，一方面體現(xiàn)在網(wǎng)絡(luò)安全的研究分析過程中，另一方面體現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)實(shí)踐過程中。國內(nèi)外網(wǎng)絡(luò)安全企業(yè)將ATT&CK威脅框架作為分析高級(jí)威脅的技術(shù)表達(dá)體系和分析框架，應(yīng)用于檢測(cè)已知威脅、識(shí)別潛在威脅、干擾反制對(duì)手行為、提高入侵成本等方面，從而提升安全產(chǎn)品功能，強(qiáng)化用戶網(wǎng)絡(luò)安全防御能力。因此，對(duì)于網(wǎng)絡(luò)安全防御工作來說，ATT&CK威脅框架具有重要的現(xiàn)實(shí)意義。

4 結(jié)語

本文主要對(duì)ATT&CK威脅框架的發(fā)展及應(yīng)用進(jìn)行梳理和分析。在網(wǎng)絡(luò)安全防御領(lǐng)域應(yīng)用ATT&CK威脅框架，一方面能夠發(fā)現(xiàn)現(xiàn)有防御能力的不足，通過評(píng)估、分析差距，指導(dǎo)防御能力提升；另一方面能夠通過威脅事件與威脅框架的關(guān)聯(lián)映射，幫助防御人員直觀地理解已發(fā)現(xiàn)威脅事件的戰(zhàn)術(shù)、技術(shù)或目標(biāo)、行為，輔助決策，提升威脅檢測(cè)、響應(yīng)與分析處置能力。此外，國內(nèi)外眾多網(wǎng)絡(luò)安全研究人員和安全企業(yè)都紛紛采用ATT&CK威脅框架，進(jìn)行技術(shù)分析研究或產(chǎn)品落地實(shí)踐，實(shí)現(xiàn)用戶網(wǎng)絡(luò)安全防御能力的持續(xù)提升。未來，隨著ATT&CK威脅框架不斷發(fā)展和完善，其將得到更加廣泛的應(yīng)用。

（原載于《保密科學(xué)技術(shù)》雜志2022年8月刊）