【摘 要】 ATT&CK威胁框架是基于攻击者视角,从现实世界的网络威胁中提炼并归纳出各种技战术特点的知识库。本文对ATT&CK威胁框架的演进、价值作用、发展难点及应用现状等进行了研究,阐述了ATT&CK威胁框架在国内外网络安全企业的实践落地情况,以期为网络安全人员在防御体系设计、高级威胁分析、安全应急响应等方面提供借鉴。
【关键词】 ATT&CK 威胁框架 技术发展 防御能力评估 安全能力提升
1 引言
随着越来越多的威胁事件和攻击组织被发现、曝光,“曝光”这一手段对于攻击组织的威慑力正在快速下降。同时,各种追溯方法也大量暴露在对手的视野中,现有追溯方法几乎都能够通过技术手段和资源规避或实现仿冒,追溯的有效性也在不断下降。网络安全防御工作的重点逐渐转移到构建有效的积极防御体系及实现防御能力的持续提升等方面。为更好地实现防御目标,使安全人员能够识别对手活动的趋势和变化,系统全面地分析对手入侵的战术、技术、过程(Tactic, Technique and Procedure,TTP),政府部门、研究机构及网络安全企业提出了一系列威胁框架。其中,ATT&CK(Adversary Tactics Techniques Common Knowledge)威胁框架是一个基于真实世界观察对手技战术的知识库,其将已知对手行为转换为结构化列表并能够覆盖对手入侵活动的全生命周期。ATT&CK威胁框架的理论发展及基于实际产业运用角度的应用,可为网络安全人员在防御体系设计、高级威胁分析、防御能力评估、安全应急响应等方面提供清晰的思路。
2 ATT&CK威胁框架概述
2.1 发展历程
美国MITRE公司(The MITRE Corporation)于2013年开始开发ATT&CK威胁框架,于2015年5月正式发布。该威胁框架自发布后迭代更新较快,几乎每隔3—6个月,就会完成1次更新,更新内容主要包括战术、技术、攻击组、软件、缓解措施等内容。
ATT&CK威胁框架刚推出时还较为单薄,但随着MIERE公司不断对其进行丰富,现在该威胁框架涉及的内容已较饱满,逐渐发展成为原子化、高精准的安全知识库。ATT&CK威胁框架目前分为3个模块,包括企业矩阵(Enterprise Matrix)、移动矩阵(Mobile Matrices)、ATT&CK工控系统矩阵(ATT&CK for Industrial Control Systems),其中Enterprise Matrix是针对企业网络环境下对手入侵技战术的知识库。
最初,Enterprise Matrix威胁框架仅包含8个战术阶段,在2016年扩展至10个战术阶段,后续该威胁框架获得网络安全领域的广泛关注并迅速发展。目前,MITRE网站上显示最早的是V3版本(2018年10月23日),该版本包括11个战术阶段,233种技术;V4版本(2019年4月30日)中增加了“影响”战术阶段,战术阶段增至12个;V5版本(2019年7月31日)在介绍界面中加入“缓解”措施;V6版本(2019年10月24日)增加了云、工控领域的相关技术;V7 Beta版本(2020年3月31日)将攻击技术进一步细化至子技术层面,2020年7月8日,MITRE公司发布了V7正式版本;V8版本(2020年10月27日)将PRE ATT&CK威胁框架与Enterprise Matrix威胁框架进行结合,形成能够覆盖网络入侵全生命周期的新威胁框架版本,战术阶段扩展至14个;V9版本(2021年4月29日)对数据源的描述方式发生了变化,增加了容器和谷歌工作区(Google Workspace)平台;V10版本(2021年10月21日)在企业矩阵中添加了一组新的数据源和数组件对象,补充V9版本中数据源名称更改。2022年4月25日发布V11版本,该版本对技术、子技术作了进一步更新细化,其中包含14个战术阶段、191种技术、386个子技术。
从安全知识库体系构建来看,ATT&CK威胁框架包含的技战术逐年细化、覆盖入侵活动的范围逐渐增加,呈现出不断丰富细化的趋势。
2.2 价值作用
ATT&CK威胁框架具有较大的战略价值。MITRE公司收集来自全球安全社区贡献的基于现实世界网络威胁事件的战术、技术、过程,不断充实、更新ATT&CK威胁框架。
网络安全人员利用ATT&CK威胁框架有机会从对手视角看待入侵事件,并从入侵行为角度进行分析。ATT&CK威胁框架不仅为网络安全人员分析对手入侵策略、行为等提供理论基础,还为网络安全防御部署提供指导,而且可作为一种可行的通用网络语言。ATT&CK威胁框架能够提供更易于共享上下文的行动和潜在对策,简化威胁情报创建过程。网络安全对抗模式已演进为全面体系化对抗,安全人员能够基于ATT&CK威胁框架进行威胁对抗行为研究,有利于将对手入侵行为进行原子化拆解、为网络红队提供入侵知识和工具、方便进行渗透测试、开发更全面的应急响应机制。安全人员还可据此为主要场景制定有针对性的行为分析方案、评估攻防差距、构建安全部署、提升防御能力等。
2.3 发展难点
ATT&CK威胁框架是一个由MITRE公司打造并持续进行迭代更新的知识库,其发展难点主要体现在多种平台覆盖、全生命周期入侵行为枚举等方面。
首先,形成一套能够应对包括云平台、移动平台、工业控制平台等多种平台,且被业内认可的通用技术表达体系和通用术语并不容易。威胁框架已经发展成为系统认知网络威胁、构建有效防御的方法与工具体系。除ATT&CK威胁框架外,还有洛克希德·马丁公司的杀伤链框架(Cyber-Kill-Chain)、美国国家情报总监办公室的公共网络威胁框架(Common Cyber Threat Framework,CCTF)、美国国家安全局的技术性网络威胁框架(Technical Cyber Threat Framework,TCTF)等。这些威胁框架均没有像ATT&CK威胁框架这样细粒度的技术刻画,也未对多种平台进行覆盖。虽然ATT&CK威胁框架对研究分析、产品开发、威胁对抗等方面具有更实际的指导作用,但这也成为其面临的现实挑战的来源。
其次,高级威胁及未知漏洞发现较为困难,甚至可能威胁已经在受害者网络环境中造成实际后果,而用户仍未感知,更无从调查取证。网络威胁不断发展变化,不断出现未被感知到的高级威胁,因此ATT&CK威胁框架如何更全面枚举入侵技战术是其面临的又一发展难点。尽管ATT&CK威胁框架已经对入侵活动进行原子化拆解,但因为无法完全枚举威胁、入侵手段过于复杂等因素,也可能导致其不能发挥应有作用。
3 ATT&CK威胁框架技术产业落地情况
3.1 威胁框架应用场景
ATT&CK威胁框架得到网络安全领域的广泛认可,在技术服务中也取得较好实际效果。此外,随着网络威胁的不断演变和进化,MITRE公司也积极推动ATT&CK威胁框架的迭代更新,以适应不断变化的入侵环境。ATT&CK威胁框架主要包括威胁情报收集、高级威胁检测、防御能力评估、安全能力提升等应用场景。
(1)威胁情报收集
网络威胁情报能够使用户了解威胁并有针对性地应对威胁。虽然威胁情报具有较大价值,但其创建过程却很复杂。ATT&CK威胁框架可作为通用语言提供统一描述标准,为情报创建提供便利条件,对威胁情报进行规整。此外,ATT&CK威胁框架中展示了近130个攻击组织的详细信息,包括其使用的攻击技战术及工具。网络安全工作人员能够基于ATT&CK威胁框架收集网络情报,进而有针对性地跟踪对手,以应对可能出现的威胁。利用ATT&CK威胁框架在化简情报创建过程、缩短分析时间、提高情报质量等方面具有现实意义。
(2)高级威胁检测
已知威胁的猎杀及未知威胁的发现通常是高级威胁检测关注的焦点。针对已知威胁的猎杀,利用ATT&CK威胁框架对对手攻击战术、技术、过程的映射能够获得已知对手的入侵信息,甚至预测对手可能的入侵行为,从而采取相应措施,进行安全防御部署,使网络安全防御价值最大化。针对未知威胁的发现,ATT&CK威胁框架能够实现网络入侵活动全生命周期的覆盖,因此即便对手应用未知威胁入侵,也将处于ATT&CK威胁框架覆盖范围内,使得未知威胁追踪有迹可循并最终发现未知威胁。
(3)防御能力评估
防御能力评估的价值在于能够为安全能力提升奠定基础,但评估中可能出现当前防御能阻止以某种方式采用某种技术的入侵,而其实无法防御其他方式采用该技术的入侵,使防御者产生一种虚假的安全感。因此,需要基于ATT&CK威胁框架利用接近实战化的攻防对抗演练才能精准地评估防御能力。
MITRE为ATT&CK威胁框架提供了原子红队(Atomic Red Team,ART)“原子化攻击仿真”测试集合,能够保障威胁框架武器库中特定技术或子技术正常发挥作用。模拟入侵人员能够在原子测试的基础上,与现实世界入侵事件相结合,根据实际网络环境调整、利用不同入侵技战术,尽可能还原对手真实入侵手段。安全防御人员基于现有网络防御策略及应急响应流程与对手进行对抗,抵御对手的潜在入侵行为,确定现有防御部署中存在的防御不足或可见性缺失的部分。网络威胁不断发展变化,因此打造一支能力可靠的蓝队参加常态化的攻防对抗演练,并基于ATT&CK威胁框架对网络防御能力进行评估,能够最大程度地为测试网络安全解决方案、提升安全防御能力提供真实的参考依据。
(4)安全能力提升
基于ATT&CK威胁框架的威胁情报、防御能力评估,网络安全人员能够认识到攻防双方差距,发现安全防御薄弱环节,有针对性地提升安全能力。安全人员可以利用ATT&CK威胁框架构建体系化防御,还可以主动构建欺骗环境,扰乱对手判断,塑造诱饵环境、诱饵对象、仿真行为等,诱骗对手实施入侵,从而触发攻击告警。基于告警信息不断加强网络安全防御复杂度,强化网络系统弹性,提升对手攻击难度,增加对手攻击成本。网络安全人员能够利用ATT&CK威胁框架改变被动的防御态势,充分发挥能够基于自身网络架构主动部署防御体系的先天优势,扭转网络威胁对抗双方不对等的情况,真正实现网络安全积极防御。企业基于ATT&CK威胁框架有针对性地进行安全防御部署,可提高安全防御能力,使网络安全防御价值最大化。
3.2 威胁框架产业落地
(1)国内产业落地情况
ATT&CK威胁框架为应对日益复杂的网络威胁,提供了有力的技术支撑。国内网络安全企业纷纷利用ATT&CK威胁框架来覆盖其技术分析报告以及产品实现过程,积极推动该框架在安全产品侧的落地。
目前主要技术报告的分析成果如下:总结出最常见的十大ATT&CK攻击技术,即供应链失陷、创建或更改系统进程、进程注入、命令和脚本解释、系统凭证提取、远程服务、利用C2通道渗漏数据、协议通道、软件探测、执行流劫持等;应用ATT&CK威胁框架示意图直观展示攻击组织利用哪些技战术完成入侵;从攻击战术、技术、过程、标签、分析溯源、红蓝知识库等方面对ATT&CK威胁框架进行研究。
主要产品可实现的功能包括以下3个方面:一是将ATT&CK威胁框架应用到终端产品的研发与能力验证工作中,不仅使产品在威胁防御和异常事件捕获方面的能力大幅度提升,还可以支持以ATT&CK威胁框架的形式展现网内威胁事件,并能对事件进行关联分析;二是结合企业自身对威胁知识、经验的积累,基于ATT&CK威胁框架构建网络安全知识图谱,进行高级持续性威胁(Advanced Persistent Threat,APT)组织追踪、内部威胁识别、攻击模拟及知识扩展等相关研究;三是对标ATT&CK威胁框架输出精准的告警研判信息。
(2)国外产业落地情况
国外众多领先的网络安全公司都采用了ATT&CK威胁框架。2021年4月,MITRE公司基于ATT&CK威胁框架对29个不同网络安全企业的产品进行评估,但不会产生分数和排名。安全产品防御能力的评估结果,不仅取决于与ATT&CK威胁框架的映射覆盖度,更取决于是否满足最终用户的关键需求。
除MITRE官方应用之外,还有如下应用方式:将端点检测与响应(Endpoint Detection & Response,EDR)产品与ATT&CK威胁框架相互映射,并利用该框架丰富其APT情报报告;应用ATT&CK威胁框架检测产品覆盖范围,找出产品能力与攻击者应用技术间的差距,由应急响应团队缩小差距;在分析2020年12月的“太阳风”(SolarWinds)软件供应链攻击事件中,全面采用ATT&CK威胁框架映射、分析该攻击事件,并认为至少应用了17种技术手段;将ATT&CK威胁框架应用于网络威胁检测、描述攻击者入侵目标网络行为等方面,并为受害者提供预防和缓解网络安全威胁的工具;开发公开的剧本查看器(Playbook Viewer),其显示了ATT&CK威胁框架的部分入侵组织的已知入侵行为。
网络安全人员是ATT&CK威胁框架实践的主体,该框架被国内外网络安全企业广泛应用,一方面体现在网络安全的研究分析过程中,另一方面体现在网络安全产品的开发实践过程中。国内外网络安全企业将ATT&CK威胁框架作为分析高级威胁的技术表达体系和分析框架,应用于检测已知威胁、识别潜在威胁、干扰反制对手行为、提高入侵成本等方面,从而提升安全产品功能,强化用户网络安全防御能力。因此,对于网络安全防御工作来说,ATT&CK威胁框架具有重要的现实意义。
4 结语
本文主要对ATT&CK威胁框架的发展及应用进行梳理和分析。在网络安全防御领域应用ATT&CK威胁框架,一方面能够发现现有防御能力的不足,通过评估、分析差距,指导防御能力提升;另一方面能够通过威胁事件与威胁框架的关联映射,帮助防御人员直观地理解已发现威胁事件的战术、技术或目标、行为,辅助决策,提升威胁检测、响应与分析处置能力。此外,国内外众多网络安全研究人员和安全企业都纷纷采用ATT&CK威胁框架,进行技术分析研究或产品落地实践,实现用户网络安全防御能力的持续提升。未来,随着ATT&CK威胁框架不断发展和完善,其将得到更加广泛的应用。
(原载于《保密科学技术》杂志2022年8月刊)