ATT CK如何落地到安全產品

2022-08-24 09:18:13 字數 2602 閱讀 7074

att&ck的提出是為了解決業界對黑客行為、事件的描述不一致、不直觀的問題,換句話說它解決了描述黑客行為 (ttp) 的語言和詞庫,將描述黑客攻擊的語言統一化。

這個模型是mitre在2023年 主導的 fort meade experiment (fmx) 研究專案中首次被提出,2015 年正式發布,匯聚來自全球安全社群貢獻的基於歷史實戰的高階威脅攻擊戰術、技術,形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架。att&ck 經過 5 年左右的發展,到 2018 年開始獲得爆發式關注。所有國際安全 頭部廠商都迅速的開始在產品中增加針對 att&ck 的支援,並且持續將自己看到的黑客手法和攻擊 行為貢獻 att&ck 知識庫。2023年gartner siem 魔力象限考核中將其列為重要參考指標。

從視覺角度來看,mitre att&ck矩陣按照一種易於理解的格式將所有已知的戰術和技術進行排列。攻擊戰術展示在矩陣頂部,每列下面列出了單獨的技術。乙個攻擊序列按照戰術,至少包含乙個技術,並且通過從左側(初始訪問)向右側(影響)移動,就構建了乙個完整的攻擊序列:

att&ck 知識庫主要被應用在模擬攻擊、評估和提高防禦能 力、威脅情報提取和建模、威脅評估和分析四大方向上。

1、模擬攻擊:基於 att&ck 進行紅藍攻防演練,進行紅藍軍建設;

2、檢測分析:基於具體的』』 技術 『『,有效增強檢測能力,用於甲方安全建設; 3、威脅情報:使用 att&ck 框架來識別攻擊組織,用於安全情報建設; 4、評估改進:將解決方案對映到 att&ck 威脅模型,發現並彌補差距,用於評估安全能力。 att&ck 框架內整合的知識庫為安全行業提供了乙個標準,對已知的 ttps 進行收集,促進安全

產品的優化改進。本文將從 ttps 的檢測、分析提出關於 att&ck 框架在提公升主機 edr 檢測能力的 探索和思考。

att&ck 的出現為終端安全產品的 檢測能力提供了乙個明確的,可衡量,可落地的標準,改變防守方以往對於入侵檢測常常會陷入不可 知和不確定的狀態中,有效的彌補自己的短板,通過檢測攻擊的技術,對映到 att&ck 的戰術,清晰 的了解攻擊者所處攻擊階段。

另外如果能讓終端安全產品具有針對 ttp 的檢測能力,無疑能增強安全產品的核心檢測能力,提 高攻擊檢測的覆蓋度和自動處置的精確度,避免被攻擊者通過一些簡單的變形繞過檢測,因為針對 ttp 進行檢測,意味著我們是在根據攻擊者的行為進行檢測。如果攻擊者想要躲避檢測就需要改變他 們的行為,這需要研究一些新的技術和攻擊手段,這意味著更高的難度和付出更大的成本。

而所有的攻擊檢測都是基於資料來源和策略的特徵匹配。我們如果需要檢測某個攻擊技術,首先需 要獲取到這項技術所對應的資料,這些資料就是當攻擊者執行某項技術攻擊主機或網路後,在主機或 網路裝置上留下的蛛絲馬跡,他們所呈現的形式往往是各種日誌,可能是系統或應用內建的日誌,也 可能是因為安全需要而特意錄製的日誌資料。在 mitre att&ck 的每項技術描述中都有對應於該技 術的資料來源資訊,它告訴我們可以從哪些型別的資料中找到攻擊技術實施後所留下的痕跡。

就安全運營本身而言,存在諸多問題,威脅資訊和事件數量多、安全技術整合度低,人力不足經驗難以固化,使得安全運營面臨嚴峻挑戰,其中攻防不對稱是驅動安全運營不斷優化的一大動力。在日常的運營工作中,威脅的快速發現和響應閉環是非常重要的兩點。

att&ck提供了豐富的主機資料。豐富的資料來源是及時、準確發現威脅的基礎,僅僅依靠網路側的流量很難發現主機內的威脅,並且隨著網路流量加密的趨勢,基於流量的檢測會更加困難。att&ck框架可以彌補這方面資料的缺失。

att&ck提供了多種戰術,也為威脅分析提供了檢測標準。將安全產品檢測能力對映到att&ck檢測框架中,根據其覆蓋度度量的安全產品的檢測能力;同時發現哪些檢測點未覆蓋到,發現不足,然後進行主動完善。通過覆蓋更多的攻擊型別,降低漏報,減少人工取證的耗時。

att&ck框架能夠實現關聯分析。依靠單點檢測不足以發現準確識別威脅事件,告警中混雜的誤報等都有可能影響安全人員的判斷。攻擊者在發起攻擊過程中,結合安全事件的命中情況,從 att&ck 矩陣可勾勒出攻擊者所採用攻 擊技術之間的關係,清晰的展現攻擊者是如何一步一步入侵成功的。通過不斷地攻擊溯源分析,抓取 攻擊套路,形成給為精確地檢測規則。

處於中間層次的 att&ck 模型對一些高階別的概念(如戰術)進行更具有描述性的分類(技術)。 給出每種技術,涉及的資料來源、進一步的細分以及具體實現方式等。這意味著如果攻擊者運用這項技 術實施攻擊,就會在資料來源(如程序資訊、程序命令列引數)中留下痕跡。如果對這些資訊進行實時 監控或者把這些資訊記錄下來,再配以相應的分析匹配機制就可以實現對該技術的檢測或防護。這些 更具描述性的攻擊技術,建立了底層的資料來源、漏洞等資訊與上層戰術的橋梁,將攻擊者行為更有效 的對映到防禦。顯示攻擊者正在進行怎樣的攻擊,使得防禦者更具有針對性的制定處置策略。

從安全產品的角度思考,att&ck不僅僅是目前炙手可熱的新新概念,框架為我們提供了乙個標準化的知識庫,在產品設計中也為提供了新思路。

關於安全產品和安全服務

1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...

關於安全服務和安全產品

1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...

騰訊雲安全產品介紹第五章 業務安全產品天御

防刷服務 技術原理 地域屬性 業務屬性 惡意屬性 自然人畫像 qq畫像 裝置畫像 防刷服務優勢 銀行卡支付防盜刷 線上營銷風控 天御反欺詐服務 技術原理 技術優勢 應用場景 產品計費方案 活動防刷 按呼叫次數包年 超出 的按次數區間表月結。註冊保護 提供按次呼叫的包年 登入保護 基於每日防護上限次數...