ATT&CK是基于黑客攻击实际结果的网络攻击策略和技术知识体系。它描述了网络攻击的行为模型,反映了整个攻击周期的阶段。ATT&CK由三个核心部分组成,即战术、技术和流程(TTPs)。战术代表攻击者的目标,技术代表攻击者实现战术目标的方法和手段,流程代表攻击者如何执行某种技术。今年7月,在技术中加入了“子技术”的概念,是指比技术低一级并达到目的的具体方法。上表共有12个战术目标,156项技术,272项子技术。随着人工智能、机器学习等新技术的发展,ATT&CK将变得越来越复杂。这就是著名的痛苦金字塔,每一层代表不同类型的攻击指标。它可用于检测攻击活动与指标之间的关系,以及攻击者拒绝这些指标的痛苦程度。越靠近金字塔顶端,攻击者的痛苦指数越大。最顶层的TTP反映了攻击者的行为,调整TTP需要付出高昂的时间和金钱成本。当我们在此级别进行检测和响应时,我们是在直接操纵攻击者的行为,而不是他们的工具。利用ATT&CK检测攻击者的行为习惯,迫使其重新学习和训练新的行为,可以大大提高攻击门槛。总体而言,ATT&CK模型是在洛克希德·马丁公司提出的KillChain模型基础上构建的一套更细粒度、更易于共享的知识模型和框架。从上图可以看出,PRE-ATT&CK涵盖了侦察跟踪和武器构建两个阶段。在攻击之前,攻击者首先要侦察网络,根据具体环境定制相应的武器。EnterpriseATT&CK涵盖有效载荷传递、漏洞利用、安装植入、指挥控制、目标达成五个阶段,重点关注攻击者如何入侵网络以及入侵后的行为。过去,业界更注重边界防护,认为只要在边界部署防火墙,就可以阻止攻击者进入。但随着物联网、工业互联网、云计算的发展,物理边界的概念被进一步打破。我们需要监控和检测攻击过程的整个生命周期,即使假设攻击者已经破坏了内部网络。ATT&CK有哪些具体的应用场景?在各种场景下如何更好的使用它?第一个场景是攻击模拟,可以用来验证对特定攻击的检测能力。ATT&CK用作创建攻击场景的工具,以测试和验证针对常见攻击技术的防御措施。二是红队/渗透测试,以ATT&CK为攻击手段,设计红队方案,在运行过程中规避安全监控和防御。三是威胁情报增强。ATT&CK有助于从行为角度理解和记录攻击者的策略,防御者更容易获得共同的威胁行为特征。四是SOC成熟度评估。安全运维中心是企业组织的关键部门,需要对网络威胁进行持续监控。ATT&CK可用作测量工具,以确定SOC在入侵检测、分析和响应方面的有效性。其他两个场景是保护差距评估和行为分析开发,将在下面重点介绍。在安全建设或安全产品开发过程中,安全人员都会有一些疑问:现有的防御是否有效?它可以检测特定类型的APT攻击吗?收集的数据有用吗?新购买或开发的产品工具功能是否重叠,导致预算浪费?新产品是否有助于提高组织的防御能力?从安全运营的角度来看,在对组织的网络环境进行威胁建模之后,ATT&CK可以基于现有的安全解决方案评估覆盖范围,识别差距,并根据优先级缩小差距。首先,ATT&CK可以帮助更好地优化防御解决方案,找出弱点或差距,并确定需要哪些产品或工具来补充解决方案。二是增强风险意识。当发生重大安全事件(如勒索软件)时,您可以更清楚地知道当前的解决方案是否能够有效地检测和缓解风险。最后,ATT&CK可以帮助最大限度地有效利用预算,确定要采购的产品是否可以填补空白,有效提高防御能力。保护差距评估也可以应用于安全产品的开发,使用ATT&CK来评估产品保护能力的覆盖范围,识别差距,并优先考虑差距。ATT&CK为每项技术提供了检测所需的数据源,只有在确定产品能否获得所需的数据源后才能进行测试,然后一一解决差距。数据源是检测的基础,其覆盖范围决定了检测能力的覆盖范围。DeTTECT是一个评估数据源覆盖度的框架,可以对每个数据源的质量进行打分。它将数据映射到ATT&CKNavigator以可视化数据覆盖热图。ATT&CK最后一个使用场景是开发行为分析。威胁检测是通过分析攻击者的行为来进行的,这与IOCs检测有很大的不同。IOC用于检测已知威胁;需要手动搜索威胁的IOC,如威胁情报平台;误报率更低,更有针对性;同时数量非常庞大,每个厂商的威胁情报库都在数以千万计。的。行为分析是行为驱动的检测,发现符合威胁行为的可疑操作。不能100%确定是否是威胁,误报率比IOCs高,但泛化能力更强,可以检测未知威胁。Mitre的Cyber??BehaviorAnalysisRepository(CAR)是一个基于攻击模型的行为分析知识库。它解释了每个行为模型,解释了模型背后的思想,并包括了行为模型可以检测到的所有技术领域的列表。CAR使用伪代码定义数据模型,并提供在产品实现过程中几乎可以直接使用的伪代码逻辑。并给出了测试模型的方法、详细操作或命令触发的相关行为,以验证行为模型的有效性,涵盖了行为模型分析、开发、验证的完整闭环过程。还有其他具有参考价值的行为分析库。比如EQL也提供了很多类CAR的模型,包括伪代码;Sigma可以通过行为规则生成ATT&CKNavigator热图,直观的看到行为模型的覆盖情况。ABT在基于ATT&CK的产品开发方面有一定的实践经验。首先,利用好社区资源,密切跟踪其他组织发布的行为分析方法;其次,根据攻击者的行为建立数据模型;三是加强数据源的收集,不断训练和优化模型,降低误报率;最后,在实际应用场景中对模型进行测试和增强。ABT经过充分实践,自主研发了先进的威胁检测与响应平台,实现安全威胁的检测、分析与自动响应。使用DNS、ICMP和HTTP隧道进行秘密通信;DGA域名、C&C、木马、挖矿、数据泄露等外部威胁;WEB攻击、暴力破解、提权、凭证获取、蠕虫等横向移动行为。该平台的检测证明,该平台能够有效发现高级威胁和未知威胁。ATT&CK的出现,改变了我们对IP地址、域名等低级指标的认识,让我们能够从行为的角度来看待攻击者和防御系统,架起了从“知道攻击”到“知道攻击”的桥梁的防御”。防御者可以将攻击事件转化为针对性的对抗能力,ATT&CK作为一门对抗科学,已经被越来越多的安全专业人士所认识和应用。报告/反馈
