歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

淺談ATT&CK對提升主機EDR檢測能力的探索

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

一、前言
ATT&CK是今年國內安全行業的一個備受矚目的火熱概念,很多組織和廠商發布了文章闡釋各自對于它的理解,甚至連不少甲方單位也開始關心起ATT&CK,不僅向安全廠商咨詢其在這方面的研究成果,似乎也有意將其當做衡量廠商產品能力的一個維度——安全圈一時間頗有些“平生不識此概念,縱做安全也枉然”的氛圍。
當然,這個現象很正常,ATT&CK作為一項來自國外的新技術概念,安全行業理所應當對其進行研究分析。但另一方面,當前業內對于ATT&CK的研究分析存在很多誤解和片面的地方,因此我們從自己的角度出發對ATT&CK進行了一些探討,希望能夠還原其本來面目、消除過度的“神秘感”,重新審視這一技術的真正價值。當然作為一家之言,我們肯定也存在不客觀的地方,是非對錯,盡付公論。
二、ATT&CK
1、ATT&CK框架介紹
ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是MITRE公司開發的、基于真實環境觀察攻方戰術和技術的知識庫。
MITRE是由美國政府資助的一個非盈利研發機構,向美國政府提供系統工程、研究開發和信息技術的支撐。并和美國國家標準與技術研究所(NIST)標準化組織合作制定相關安全標準,比如漏洞缺陷CVE、CWE編號規則以及威脅情報格式STIX。
MITRE ATT&CK框架內系統性的收集整合了整個攻擊過程完整生命周期的攻擊手法的知識庫,并且這些攻擊手法均來自于對真實安全事件的洞察。該框架把攻擊者所采用的TTP(戰術Tactics,技術Techniques,過程Procedures)系統性地組織起來。在每個戰術項內又包含實現該戰術目的的各種已知的攻擊技術,同時在每項技術中詳細描述了運用該技術的具體步驟和流程。
ATT&CK模型是在洛克希德-馬丁公司提出的Kill Chain模型的基礎上,構建了一套更細粒度、更易共享的知識模型和框架,F在經過幾年的發展,整個矩陣內容變得豐富,被拆分為PRE-ATT&CK和ATT&CK for Enterprise,其中PRE-ATT&CK覆蓋了Kill Chain模型的前兩個階段,包含了與攻擊者嘗試利用特定目標網絡或系統漏洞進行相關操作有關的戰術和技術。ATT&CK for Enterprise覆蓋了Kill Chain的后五個階段。

ATT&CK for Enterprise將網絡安全事件劃分為12個階段。初始訪問階段、執行階段、持久化階段、提權階段、防御規避階段、憑證訪問階段、發現階段、橫向移動階段、采集階段、命令與控制階段、滲出階段、影響階段。攻擊手法和各階段的映射關系如下圖所示:

2、ATT&CK的能力
ATT&CK知識庫被用作在政府以及網絡安全產品和安全服務中開發特定威脅模型和方法的基礎。同時也可用來檢測EDR產品是否具備偵測APT的能力,F在主要被應用在模擬攻擊、評估和提高防御能力、威脅情報提取和建模、威脅評估和分析四大方向上。
1、模擬攻擊:基于ATT&CK進行紅藍攻防演練,進行紅藍軍建設 ;
2、檢測分析:基于具體的”技術“,有效增強檢測能力,用于甲方安全建設;
3、威脅情報:使用ATT&CK框架來識別攻擊組織,用于安全情報建設;
4、評估改進:將解決方案映射到ATT&CK威脅模型,發現并彌補差距,用于評估安全能力。
ATT&CK框架內整合的知識庫為安全行業提供了一個標準,對已知的TTPs進行收集,促進安全產品的優化改進。本文將從 TTPs 的檢測、分析提出關于 ATT&CK 框架在提升主機EDR檢測能力的探索和思考。
3、ATT&CK落地環境
本文將要探討的是ATT&CK框架在終端安全產品的落地和應用。ATT&CK的出現為終端安全產品的檢測能力提供了一個明確的,可衡量,可落地的標準,改變防守方以往對于入侵檢測常常會陷入不可知和不確定的狀態中,有效的彌補自己的短板,通過檢測攻擊的技術,映射到ATT&CK的戰術,清晰的了解攻擊者所處攻擊階段。
另外如果能讓終端安全產品具有針對TTP的檢測能力,無疑能增強安全產品的核心檢測能力,提高攻擊檢測的覆蓋度和自動處置的精確度,避免被攻擊者通過一些簡單的變形繞過檢測,因為針對TTP進行檢測,意味著我們是在根據攻擊者的行為進行檢測。如果攻擊者想要躲避檢測就需要改變他們的行為,這需要研究一些新的技術和攻擊手段,這意味著更高的難度和付出更大的成本。
而所有的攻擊檢測都是基于數據源和策略的特征匹配。我們如果需要檢測某個攻擊技術,首先需要獲取到這項技術所對應的數據,這些數據就是當攻擊者執行某項技術攻擊主機或網絡后,在主機或網絡設備上留下的蛛絲馬跡,他們所呈現的形式往往是各種日志,可能是系統或應用內置的日志,也可能是因為安全需要而特意錄制的日志數據。在MITRE ATT&CK的每項技術描述中都有對應于該技術的數據源信息,它告訴我們可以從哪些類型的數據中找到攻擊技術實施后所留下的痕跡。

4、數據分類
通過在STIX 2.0 GitHub存儲庫中,調用與ATT&CK對象和屬性映射的STIX對象和屬性,對數據源進行分析統計,共有59種。

下圖是通過對每個數據源能檢測的技術數量進行統計,并獲取檢測數量前十的數據源排行。

5、技術選擇

[1] [2] [3] [4] [5]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 香港挂牌彩图正版2019 pk10最牛计划网站 有玩快乐8的吗 排列三专家预测 时时彩前二组选包胆 三码中特期期准资料 股票配资平台选哪个 后三组选包胆必中 云南十一选五前三组最大遗漏 宁夏十一选五彩票平台