ATT&CK在安全运营中的应用研究

2022-10-14王海林颜颖唐旭玥

网络安全技术与应用 2022年8期

◆王海林颜颖唐旭玥

（云南电网有限责任公司信息中心云南 650000）

随着互联网5G技术、人工智能和云计算等新型先进技术的不断涌入，越来越多的资产设备信息暴露在未知的威胁下，世界级安全风险呈明显指数形式增长，高级持续威胁APT（Advanced and Persistent Threat，APT）的出现便是这一趋势的铁证，互联网安全技术受到了前所未有的严峻挑战。如此复杂的新型技术背景之下，以威胁情报驱动的新型网络安全防御机制也应运而生，对于高级持续威胁的研究，众多学者对于威胁情报的定义也不尽相同，但总结归纳都可以概括为包括相关常见威胁指标、含义和可行性建议等决策依据，同时也有学者提出了新型的金字塔数字模型，通过该模型分析，将风险将威胁情报数据按照收集难易程度以此划分为哈希、IP地址、域名、网络或者主机特征、攻击工具及TTPs等。不同类型的划分体现出网络信息安全下持续复杂变化的现状。如何利用先进的网络技术和手段精准、实时且智能的感知网络空间的安全态势，同时捕捉并解除，已经成为互联网安全防御体系最重要的内容。

ATT&CK（Adversarial Tactics Techniques and Common Knowledge）是诞生于2013年的一套反映网络安全实时攻击现状的模型，该模型自诞生以来引起了领域的众多学者的关注，越来越多的研究者将其视为一套可靠的具有重要意义的网络安全攻击知识模型，已经成为互联网攻击事件分析的最新标准，在众多的APT事件中已经得到了非常广泛的应用，同时也取得了预想的成果。

1 ATT&CK 简介

MITRE ATT&CK模型是一个基于真实世界观察的对手战术和技术的全球可访问知识库。在近几年的发展中，该框架受到了业内人士的一致好评和疯狂追捧。ATT&C是MITRE组织提供的一种由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库，我们使用MITER ATT&CK框架来衡量组织识别检测和防止网络入侵的能力的有效性的价值。

ATT&CK是诞生于通过分析数据对抗而提升APT检测能力的环境下，因此在当时ATT&CK归来的攻击技术大多来源于公开的APT组织活动，最主要的信息来源有各种大会会议报告、大型社交媒体、威胁情报报告、开源代码及恶意软件的部分样本等。此外ATT&CK不仅统一了互联网安全行业黑客行为的各种规范描述，使得记录和行迹更加准确可靠，同时持续构建丰富了行为知识库。这种知识库细节的来源主要为实战案例分析的增加和扩充，同时这种扩充和增加的方式为安全防御提供了思路，通过该已知记录分析未知的情况提供了更加明确的行动指导。

2 ATT&CK 基本模型介绍

ATT&CK模型通常而言有三个主要组成部分，分别为预攻击、企业攻击和移动设备攻击，基本包含了常见安全网络攻击的最常见方式，同时对其解决都提供了一定的思路和方法。预攻击包括了攻击者在尝试利用确定、不确定的目标或者系统有漏洞时进行的相关操作和技术，该类型主要确保正常的攻击并没有实现只是一种预先的预防措施，起到了预先保护的作用。企业攻坚主要包括了适用于各种平台的系统技术和战术，该技术主要常见的是用于Windows系统、Linux系统及Mac OS系统等，这些系统基本覆盖目前市面上常见的操作系统，能够最大程度满足不同企业对于网络安全信息攻防的技术需求。移动设备攻击是指通过目前所使用的各种移动设备在里面嵌入安全预防系统，最大限度满足了日常可携带方便的需求。ATT&CK 模型库如表1所示。

表1 ATT＆CK模型框架

在使用ATT&CK进行互联网安全技术分析的过程中，需要构建不同的数据层，通常而言主要有数据采集层、数据分析层、数据识别层和应用层四个层位。

（1）数据采集层：该层主要完成对预防过程中数据的采集和简单的归一化处理等。通过将所采集到的流量、日志、报警信息以及各种威胁情报的数据等进行清洗、标准化、去重等步骤的处理，使得数据成为严格的规范化数据，便于后期处理，此外在设计数据结构时重点考虑库文件的组成，主要完成对数据库进行添加、删除、修改和查询等，使得能实现所收集的数据上传给上一层业务逻辑是进行处理。

（2）数据分析层：该层主要负责对获取的数据信息数据进行分析处理，通常包括特征分析和关联分析，分别从基于特征和基于异常信息的算法模型中发现所采集的数据中可能存在的APT的攻击线索，若发现上传有害文件、病毒、木马或暴力口令等行为时，能够做出及时果断且准确的判断，同时确保拦截该信息。该层最大的作用是确保正确信息继续传递，拦截并分析黑客信息。

（3）数据识别层：该层基于数据分析层获得的分析结果，将其获取的APT攻击线索分别从攻击技术和攻击战术不同的维度进行识别和关联，将获得的识别结果以攻击团队的身份生成APT攻击线索，确保尽可能获取和识别所得结果，同时确保结果的准确性与可靠性。

（4）应用层：跟依据前面基层的基础，将获得结果进行了APT攻击的可视化呈现，以大局的角度发布安全态势的现状和安全预警，以及对安全设备进行联动处置，确保获得的分析结果最大限度地展现出来，同时为解决如何应对提供措施。

3 ATT&CK 实践应用研究

ATT＆CK 在各种日常环境中都很有价值，ATT&CK 的四个主要应用场景，即威胁情报、检测与分析、模拟红蓝对抗以及工程评估。

3.1 威胁情报

近些年众多学者关于威胁情报的研究，重点关注IOC的提取时间和利用方式，通过自动化生成IOC，威胁情报可以实现威胁检测的分析。但是IOC生命周期的长短对于威胁检测的风险会有不同的影响，绝大多数情况下当生命周期短的时候所获得的威胁效率相对较低。在ATT＆CK 威胁情报的实际表现主要在两方面，其一为Valid Account 攻击，这是一种攻击者使用漏洞获取凭证访问权限而窃取特定用户登录名称和密码的一种方式，然后利用其他方式获取的账号和密码构架一个虚拟用户，然后了利用该账号实现持久化管理，通过使用该技术，能最大限度降低该类风险的产生。其二为水坑攻击，攻击者通过攻陷保存情报信息的主要网站，一旦受害者再次登录该情报系统，就会成为攻击的目标对象。这种攻击已经成为APT攻击的一种常用手段，相比于鱼叉连接、附件攻击，水坑攻击根据隐蔽性，受害者往往警惕性较低，难以觉察网站异常，导致情报泄露。

3.2 检测与分析

构建分析与检测ATT&CK技术与您通常使用的检测方式不尽相同。基于ATT&CK的分析主要涉及收集关于系统上发生事情的日志和事件数据，并使用这些数据来识别ATT&CK中描述的可疑行为，而不是识别已知的坏事情并阻止它们。首先了解所拥有的数据库和检索功能，以此确定可能存在疑点的行为记录，以便查看发生了什么，通常的获取方式是查看每个ATT&CK技术所列出的数据源，这些数据源描述了可以了解给定技术的数据类型。其次，通过编写自己的分析来扩大覆盖面，这是一个更复杂的过程，需要理解攻击如何工作，以及它们如何反映在数据中。该过程最重要的是查看ATT&CK的技术描述和示例中链接的威胁情报报告。若获得结检测效果不好，ATT&CK页面将列出此次获取使用的几种不同变体，分析变体和实体之间的本质区别。

3.3 模拟红蓝对抗

对手模拟是红队参与的一种类型，它通过混合威胁情报来模拟一个组织的已知威胁，以定义红队使用的行动和行为。这也是对手模拟不同于渗透测试和其他形式的红队的最主要原因。在此过程中，通过对手模拟器构造一个场景来测试对手的战术、技术和过程等某方面。红队在目标网络上操作时跟踪场景，以测试防御系统如何对抗仿真对手。对抗过程主要分为五个步骤，首先收集威胁情报，即根据组织面临的威胁选择对手，并与CTI团队合作分析情报，了解对手的所作所为。结合基于组织所知道的信息以及公开的信息来记录对手的行为、目标等。其次是提取技术，即以同样的方式，把红队的操作映射到ATT&CK技术，把自己的情报映射到情报团队的特定技术。第三分析和组织，即现在所拥有的一堆关于对手和他们如何运作的情报，把这些信息以一种容易制定具体计划的方式对标到对手的运作流程中。第四开发工具和过程，即现在自己已经知道了希望红队做什么，那么就弄清楚如何实现这些行为。主要通过分析威胁集团使用的技术、是否会根据使用背景改变技术及可以通过使用什么工具获得这些TTPs三个方面考虑。最后，模拟对手，即根据制定的计划，红队现在具备能力执行模拟交战。通过红队与蓝队密切合作，深入了解蓝队可见性中的空白在哪里，以及它们存在的原因。

3.4 工程评估

ATT&CK工程评估是一个很宏大的项目，也是一个很长的过程，它为安全工程师和架构师提供有用的数据，通过评估防御系统与ATT&CK中的技术、确定当前覆盖范围中优先级最高的缺口并修改或者获得新的防御来解决这些缺陷。工程评估的级别是相互累积的，在此过程中两者之间互相影响。此外可以通过实施更多的缓解措施来减少对工具和分析的依赖，提高项目评估的客观性。查看ATT&CK中的缓解措施，可以判断是否可以实际执行这些方法。