ATT&CK在安全運營中的應用研究

◆王海林 顏穎 唐旭玥

（云南電網(wǎng)有限責任公司信息中心 云南 650000）

隨著互聯(lián)網(wǎng)5G技術、人工智能和云計算等新型先進技術的不斷涌入，越來越多的資產(chǎn)設備信息暴露在未知的威脅下，世界級安全風險呈明顯指數(shù)形式增長，高級持續(xù)威脅APT（Advanced and Persistent Threat，APT）的出現(xiàn)便是這一趨勢的鐵證，互聯(lián)網(wǎng)安全技術受到了前所未有的嚴峻挑戰(zhàn)。如此復雜的新型技術背景之下，以威脅情報驅動的新型網(wǎng)絡安全防御機制也應運而生，對于高級持續(xù)威脅的研究，眾多學者對于威脅情報的定義也不盡相同，但總結歸納都可以概括為包括相關常見威脅指標、含義和可行性建議等決策依據(jù)，同時也有學者提出了新型的金字塔數(shù)字模型，通過該模型分析，將風險將威脅情報數(shù)據(jù)按照收集難易程度以此劃分為哈希、IP地址、域名、網(wǎng)絡或者主機特征、攻擊工具及TTPs等。不同類型的劃分體現(xiàn)出網(wǎng)絡信息安全下持續(xù)復雜變化的現(xiàn)狀。如何利用先進的網(wǎng)絡技術和手段精準、實時且智能的感知網(wǎng)絡空間的安全態(tài)勢，同時捕捉并解除，已經(jīng)成為互聯(lián)網(wǎng)安全防御體系最重要的內容。

ATT&CK（Adversarial Tactics Techniques and Common Knowledge）是誕生于2013年的一套反映網(wǎng)絡安全實時攻擊現(xiàn)狀的模型，該模型自誕生以來引起了領域的眾多學者的關注，越來越多的研究者將其視為一套可靠的具有重要意義的網(wǎng)絡安全攻擊知識模型，已經(jīng)成為互聯(lián)網(wǎng)攻擊事件分析的最新標準，在眾多的APT事件中已經(jīng)得到了非常廣泛的應用，同時也取得了預想的成果。

1 ATT&CK 簡介

MITRE ATT&CK模型是一個基于真實世界觀察的對手戰(zhàn)術和技術的全球可訪問知識庫。在近幾年的發(fā)展中，該框架受到了業(yè)內人士的一致好評和瘋狂追捧。ATT&C是MITRE組織提供的一種由攻擊者在攻擊企業(yè)時會利用的12種戰(zhàn)術和244種企業(yè)技術組成的精選知識庫，我們使用MITER ATT&CK框架來衡量組織識別檢測和防止網(wǎng)絡入侵的能力的有效性的價值。

ATT&CK是誕生于通過分析數(shù)據(jù)對抗而提升APT檢測能力的環(huán)境下，因此在當時ATT&CK歸來的攻擊技術大多來源于公開的APT組織活動，最主要的信息來源有各種大會會議報告、大型社交媒體、威脅情報報告、開源代碼及惡意軟件的部分樣本等。此外ATT&CK不僅統(tǒng)一了互聯(lián)網(wǎng)安全行業(yè)黑客行為的各種規(guī)范描述，使得記錄和行跡更加準確可靠，同時持續(xù)構建豐富了行為知識庫。這種知識庫細節(jié)的來源主要為實戰(zhàn)案例分析的增加和擴充，同時這種擴充和增加的方式為安全防御提供了思路，通過該已知記錄分析未知的情況提供了更加明確的行動指導。

2 ATT&CK 基本模型介紹

ATT&CK模型通常而言有三個主要組成部分，分別為預攻擊、企業(yè)攻擊和移動設備攻擊，基本包含了常見安全網(wǎng)絡攻擊的最常見方式，同時對其解決都提供了一定的思路和方法。預攻擊包括了攻擊者在嘗試利用確定、不確定的目標或者系統(tǒng)有漏洞時進行的相關操作和技術，該類型主要確保正常的攻擊并沒有實現(xiàn)只是一種預先的預防措施，起到了預先保護的作用。企業(yè)攻堅主要包括了適用于各種平臺的系統(tǒng)技術和戰(zhàn)術，該技術主要常見的是用于Windows系統(tǒng)、Linux系統(tǒng)及Mac OS系統(tǒng)等，這些系統(tǒng)基本覆蓋目前市面上常見的操作系統(tǒng)，能夠最大程度滿足不同企業(yè)對于網(wǎng)絡安全信息攻防的技術需求。移動設備攻擊是指通過目前所使用的各種移動設備在里面嵌入安全預防系統(tǒng)，最大限度滿足了日?？蓴y帶方便的需求。ATT&CK 模型庫如表1所示。

表1 ATT＆CK模型框架

在使用ATT&CK進行互聯(lián)網(wǎng)安全技術分析的過程中，需要構建不同的數(shù)據(jù)層，通常而言主要有數(shù)據(jù)采集層、數(shù)據(jù)分析層、數(shù)據(jù)識別層和應用層四個層位。

（1）數(shù)據(jù)采集層：該層主要完成對預防過程中數(shù)據(jù)的采集和簡單的歸一化處理等。通過將所采集到的流量、日志、報警信息以及各種威脅情報的數(shù)據(jù)等進行清洗、標準化、去重等步驟的處理，使得數(shù)據(jù)成為嚴格的規(guī)范化數(shù)據(jù)，便于后期處理，此外在設計數(shù)據(jù)結構時重點考慮庫文件的組成，主要完成對數(shù)據(jù)庫進行添加、刪除、修改和查詢等，使得能實現(xiàn)所收集的數(shù)據(jù)上傳給上一層業(yè)務邏輯是進行處理。

（2）數(shù)據(jù)分析層：該層主要負責對獲取的數(shù)據(jù)信息數(shù)據(jù)進行分析處理，通常包括特征分析和關聯(lián)分析，分別從基于特征和基于異常信息的算法模型中發(fā)現(xiàn)所采集的數(shù)據(jù)中可能存在的APT的攻擊線索，若發(fā)現(xiàn)上傳有害文件、病毒、木馬或暴力口令等行為時，能夠做出及時果斷且準確的判斷，同時確保攔截該信息。該層最大的作用是確保正確信息繼續(xù)傳遞，攔截并分析黑客信息。

（3）數(shù)據(jù)識別層：該層基于數(shù)據(jù)分析層獲得的分析結果，將其獲取的APT攻擊線索分別從攻擊技術和攻擊戰(zhàn)術不同的維度進行識別和關聯(lián)，將獲得的識別結果以攻擊團隊的身份生成APT攻擊線索，確保盡可能獲取和識別所得結果，同時確保結果的準確性與可靠性。

（4）應用層：跟依據(jù)前面基層的基礎，將獲得結果進行了APT攻擊的可視化呈現(xiàn)，以大局的角度發(fā)布安全態(tài)勢的現(xiàn)狀和安全預警，以及對安全設備進行聯(lián)動處置，確保獲得的分析結果最大限度地展現(xiàn)出來，同時為解決如何應對提供措施。

3 ATT&CK 實踐應用研究

ATT＆CK 在各種日常環(huán)境中都很有價值，ATT&CK 的四個主要應用場景，即威脅情報、檢測與分析、模擬紅藍對抗以及工程評估。

3.1 威脅情報

近些年眾多學者關于威脅情報的研究，重點關注IOC的提取時間和利用方式，通過自動化生成IOC，威脅情報可以實現(xiàn)威脅檢測的分析。但是IOC生命周期的長短對于威脅檢測的風險會有不同的影響，絕大多數(shù)情況下當生命周期短的時候所獲得的威脅效率相對較低。在ATT＆CK 威脅情報的實際表現(xiàn)主要在兩方面，其一為Valid Account 攻擊，這是一種攻擊者使用漏洞獲取憑證訪問權限而竊取特定用戶登錄名稱和密碼的一種方式，然后利用其他方式獲取的賬號和密碼構架一個虛擬用戶，然后了利用該賬號實現(xiàn)持久化管理，通過使用該技術，能最大限度降低該類風險的產(chǎn)生。其二為水坑攻擊，攻擊者通過攻陷保存情報信息的主要網(wǎng)站，一旦受害者再次登錄該情報系統(tǒng)，就會成為攻擊的目標對象。這種攻擊已經(jīng)成為APT攻擊的一種常用手段，相比于魚叉連接、附件攻擊，水坑攻擊根據(jù)隱蔽性，受害者往往警惕性較低，難以覺察網(wǎng)站異常，導致情報泄露。

3.2 檢測與分析

構建分析與檢測ATT&CK技術與您通常使用的檢測方式不盡相同。基于ATT&CK的分析主要涉及收集關于系統(tǒng)上發(fā)生事情的日志和事件數(shù)據(jù)，并使用這些數(shù)據(jù)來識別ATT&CK中描述的可疑行為，而不是識別已知的壞事情并阻止它們。首先了解所擁有的數(shù)據(jù)庫和檢索功能，以此確定可能存在疑點的行為記錄，以便查看發(fā)生了什么，通常的獲取方式是查看每個ATT&CK技術所列出的數(shù)據(jù)源，這些數(shù)據(jù)源描述了可以了解給定技術的數(shù)據(jù)類型。其次，通過編寫自己的分析來擴大覆蓋面，這是一個更復雜的過程，需要理解攻擊如何工作，以及它們如何反映在數(shù)據(jù)中。該過程最重要的是查看ATT&CK的技術描述和示例中鏈接的威脅情報報告。若獲得結檢測效果不好，ATT&CK頁面將列出此次獲取使用的幾種不同變體，分析變體和實體之間的本質區(qū)別。

3.3 模擬紅藍對抗

對手模擬是紅隊參與的一種類型，它通過混合威脅情報來模擬一個組織的已知威脅，以定義紅隊使用的行動和行為。這也是對手模擬不同于滲透測試和其他形式的紅隊的最主要原因。在此過程中，通過對手模擬器構造一個場景來測試對手的戰(zhàn)術、技術和過程等某方面。紅隊在目標網(wǎng)絡上操作時跟蹤場景，以測試防御系統(tǒng)如何對抗仿真對手。對抗過程主要分為五個步驟，首先收集威脅情報，即根據(jù)組織面臨的威脅選擇對手，并與CTI團隊合作分析情報，了解對手的所作所為。結合基于組織所知道的信息以及公開的信息來記錄對手的行為、目標等。其次是提取技術，即以同樣的方式，把紅隊的操作映射到ATT&CK技術，把自己的情報映射到情報團隊的特定技術。第三分析和組織，即現(xiàn)在所擁有的一堆關于對手和他們如何運作的情報，把這些信息以一種容易制定具體計劃的方式對標到對手的運作流程中。第四開發(fā)工具和過程，即現(xiàn)在自己已經(jīng)知道了希望紅隊做什么，那么就弄清楚如何實現(xiàn)這些行為。主要通過分析威脅集團使用的技術、是否會根據(jù)使用背景改變技術及可以通過使用什么工具獲得這些TTPs三個方面考慮。最后，模擬對手，即根據(jù)制定的計劃，紅隊現(xiàn)在具備能力執(zhí)行模擬交戰(zhàn)。通過紅隊與藍隊密切合作，深入了解藍隊可見性中的空白在哪里，以及它們存在的原因。

3.4 工程評估

ATT&CK工程評估是一個很宏大的項目，也是一個很長的過程，它為安全工程師和架構師提供有用的數(shù)據(jù)，通過評估防御系統(tǒng)與ATT&CK中的技術、確定當前覆蓋范圍中優(yōu)先級最高的缺口并修改或者獲得新的防御來解決這些缺陷。工程評估的級別是相互累積的，在此過程中兩者之間互相影響。此外可以通過實施更多的緩解措施來減少對工具和分析的依賴，提高項目評估的客觀性。查看ATT&CK中的緩解措施，可以判斷是否可以實際執(zhí)行這些方法。

4 結語

目前對于APT攻擊的檢測當前網(wǎng)絡安全事件檢測技術的難點，此次研究通過介紹ATT&CK基本模型和特征，重點研究了ATT&CK的應用領域，對威脅情報、檢測與分析、模擬紅藍對抗及工程評估進行了深入探討。