网络安全参考框架二--MITRE ATT&CK框架

概述

MITRE在2013年推出了ATT&CK模型，它是根据真实的观察数据来描述和分类对抗行为。

目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。

此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。

ATT＆CK矩阵顶部为攻击战术，每列包含多项技术

综述

ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。

ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。

详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要

企业组织采用两种方法。首先是盘点其安全工具，让安全厂商提供一份对照ATT&CK覆盖范围的映射图。尽管这是最简单、最快速的方法，但供应商提供的覆盖范围可能与企业实际部署工具的方式并不匹配。此外，也有些企业组织在按照战术逐项进行评估企业安全能力。以持久化战术为例，这些技术可能非常复杂，而且，仅仅缓解其中一部分技术，并不意味着攻击者无法以其它方式滥用这项技术。

对标kill chain

ATT&CK模型分为三部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。

PRE-ATT&CK覆盖Kill Chain模型的前两个阶段，包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。

ATT&CK for Enterprise覆盖Kill Chain的后五个阶段

ATT&CK for Enterprise由适用于Windows、Linux和MacOS系统的技术和战术部分

ATT&CK for Mobile包含适用于移动设备的战术和技术

12种战术

01、初始访问

初始访问是攻击者在企业环境中的立足点

使用不同技术来实现初始访问技术

将ATT&CK和CIS控制措施相结合

三项CIS控制措施能发挥极大作用

（1）控制措施4：控制管理员权限的使用。如果攻击者可以成功使用有效帐户或让管理员打开spearphishing附件，后续攻击将变得更加轻松。

（2）控制措施7：电子邮件和Web浏览器保护。由于这些技术中的许多技术都涉及电子邮件和、Web浏览器的使用，因此，控制措施7中的子控制措施将非常有用。

（3）控制措施16：帐户监视和控制。充分了解帐户应执行的操作并锁定权限，不仅有助于限制数据泄露造成的损害，还可以发挥检测网络中有效帐户滥用的功能。

02、执行

攻击者在考虑现成的恶意软件、勒索软件或APT攻击时，他们都会选择“执行”。由于恶意软件必须运行，因此防御者就有机会阻止或检测到它。

命令行界面或PowerShell对于攻击者而言非常有用。许多无文件恶意软件都专门利用了其中一种技术或综合使用这两种技术。

ATT&CK中的缓解控制措施甚至声明了，这些控制措施也无法删除上述技术，只能对其进行审计。

应用白名单是缓解恶意软件攻击时最有用的控制措施。

该战术与控制措施2——已授权和未授权软件清单非常匹配。

企业不仅需要深入了解已安装的应用程序。还要清楚内置工具或附加组件会给企业组织带来的额外风险。

03、持久化

攻击者希望尽可能减少工作量，持久化仍然可以让计算机再次感染病毒或维护其现有连接。

还有使用“镜像劫持（IFEO）注入”等技术来修改文件的打开方式，在注册表中创建一个辅助功能的注册表项，并根据镜像劫持的原理添加键值，实现系统在未登录状态下，通过快捷键运行自己的程序。

如果企业在终端上发现恶意软件并将其删除，很有可能它还会重新出现。这可能是因为有漏洞还未修补，但也可能是因为攻击者已经在此或网络上的其它地方建立了持久化。

04、提升权限

利用系统漏洞达到root级访问权是攻击者核心目标之一。

应重点防止对抗工具在活动链中的早期阶段运行，并重点识别随后的恶意行为。

利用纵深防御来防止感染病毒，例如终端的外围防御或应用白名单。

对于超出ATT&CK建议范围之外的权限升级，一种良好的防止方式是在终端上使用加固基线。例如CIS基线提供了详细的分步指南，指导企业如何加固系统，抵御攻击。

应对此类攻击战术另一个办法是审计日志记录。

针对主机侧的审计，记录服务器的所有运维命令，进行存证以及实时审计。

05、防御绕过

该战术所拥有的技术是MITRE ATT&CK框架所述战术中最多的。该战术的一个有趣之处是某些恶意软件，例如勒索软件，对防御绕过毫不在乎。他们的唯一目标是在设备上执行一次，然后尽快被发现。

防御者可以通过监视终端上的更改并收集关键系统的日志将会让入侵无处遁形

06、凭据访问

攻击者最想要的凭据，尤其是管理凭据。

任何攻击者进入企业都希望保持一定程度的隐身。他们将希望窃取尽可能多的凭据。

攻击者入侵一个系统、窃取本地哈希密码并破解本地管理员密码并不鲜见。

应对凭据访问最简单办法就是采用复杂密码。

最后一步就是监视有效帐户的使用情况。在很多情况下，是通过有效账户发生的数据泄露。

最稳妥办法办法就是启用多因素验证。

07、发现

“发现”战术是一种难以防御的策略。

与洛克希德·马丁网络Kill Chain的侦察阶段有很多相似之处

最常用的是应用白名单，可以解决大多数恶意软件。此外，欺骗防御也是一个很好方法。

理解哪些操作属于正常现象，并为预期行为设定基准时，会在尝试使用这一战术时有所帮助。

在各种干扰中筛选出恶意活动

08、横向移动

攻击者在利用单个系统漏洞后，通常会尝试在网络内进行横向移动。

攻击者通常会先寻找一个落脚点，然后开始在各个系统中移动，寻找更高的访问权限，以期达成最终目标。

将关键系统放置在一个子网中，将通用用户放置在另一个子网中，将系统管理员放置在第三个子网中，有助于快速隔离较小网络中的横向移动。

在终端和交换机级别都设置防火墙也将有助于限制横向移动。

遵循CIS 控制措施 14——基于需要了解受控访问是一个很好的切入点。

遵循控制措施4——控制管理员权限的使用。

攻击者寻求的是管理员凭据

记录管理凭据的使用情况

发现异常行为可能表明攻击者正在滥用有效凭据。

除了监视身份验证日志外，审计日志也很重要。

域控制器上的事件ID 4769表示，Kerberos黄金票证密码已重置两次，这可能表明存在票据传递攻击。

09、收集

概述了攻击者为了发现和收集实现目标所需的数据而采取的技术。

企业可以使用该战术中的各种技术，了解更多有关恶意软件是如何处理组织机构中数据的信息。

遵循CIS控制措施14——基于需要了解受控访问,可以帮助防止数据落入敌手。

了解企业存储敏感数据的位置，并采用适当的控制措施加以保护。

10、命令和控制

大多数恶意软件都有一定程度的命令和控制权。黑客可以通过命令和控制权来渗透数据、告诉恶意软件下一步执行什么指令。对于每种命令和控制，攻击者都是从远程位置访问网络。

因此了解网络上发生的事情对于解决这些技术至关重要。

一、正确配置防火墙可以起到一定作用。

二、将防火墙或边界日志发送到日志服务处理中心，安全引擎服务器可以对该级别数据进行深入分析。

11、数据渗漏

攻击者获得访问权限后，会四处搜寻相关数据，然后开始着手数据渗透。

与“收集”战术一样，该战术对于如何缓解攻击者获取公司数据，几乎没有提供指导意见。

在数据通过网络渗漏的情况下，建立网络入侵检测或预防系统有助于识别何时传输数据，尤其是在攻击者窃取大量数据（如客户数据库）的情况下。

DLP可以确定敏感数据何时会泄露出去。IDS、IPS和DLP都不是100%准确的，所以部署一个纵深防御体系结构以确保机密数据保持机密。

如果企业组织机构要处理高度敏感的数据，那么应重点关注限制外部驱动器的访问权限

要正确地解决这个战术，首先需要知道组织机构的关键数据所在的位置。

如果这些数据还在，可以按照CIS 控制措施14——基于需要了解受控访问，来确保数据安全。

之后，按照CIS控制措施13——数据保护中的说明了解如何监视试图访问数据的用户。

12、影响

攻击者试图操纵、中断或破坏企业的系统和数据。

用于影响的技术包括破坏或篡改数据。

。在某些情况下，业务流程可能看起来很好，但可能已经更改为有利于对手的目标。这些技术可能被对手用来完成他们的最终目标，或者为机密泄露提供掩护。

攻击者可能破坏特定系统数据和文件，从而中断系统服务和网络资源的可用性。

数据销毁可能会通过覆盖本地或远程驱动器上的文件或数据使存储的数据无法恢复。

使用场景

（1）对抗模拟

ATT＆CK可用于创建对抗性模拟场景，测试和验证针对常见对抗技术的防御方案。

（2）红队/渗透测试活动

红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT＆CK，以便防御者和报告接收者以及其内部之间有一个通用语言。

（3）制定行为分析方案

ATT＆CK可用于构建和测试行为分析方案，以检测环境中的对抗行为。

（4）防御差距评估

ATT＆CK可以用作以行为为核心的常见对抗模型，以评估组织企业内现有防御方案中的工具、监视和缓解措施。

大多数安全团队都倾向于为Enterprise矩阵中的每种技术尝试开发某种检测或预防控制措施。

阻止或检测执行这些技术的一种方法并不一定意味着涵盖了执行该技术的所有可能方法。

攻击者仍然可以成功地采用其他方式来采用该技术，但防御者却没有任何检测或预防措施。

（5）SOC成熟度评估

ATT＆CK可用作一种度量，确定SOC在检测、分析和响应入侵方面的有效性。

SOC团队可以参考ATT＆CK已检测到或未涵盖的技术和战术。

有助于了解防御优势和劣势在哪里，并验证缓解和检测控制措施，并可以发现配置错误和其他操作问题。

（6）网络威胁情报收集

ATT＆CK是在用一种标准方式描述对抗行为。

根据攻击者已知利用的ATT＆CK中的技术和战术来跟踪攻击主体。

为防御者提供了一个路线图，让他们可以对照他们的操作控制措施，查看对某些攻击主体而言，他们在哪些方面有弱点，在哪些方面有优势。

针对特定的攻击主体，创建MITRE ATT＆CK 导航工具内容，是一种观察环境中对这些攻击主体或团体的优势和劣势的好方法。

ATT＆CK还可以为STIX 和 TAXII 2.0提供内容，从而可以很容易地将支持这些技术的现有工具纳入中。

提供了将近70个攻击主体和团体的详细信息，包括根据开放源代码报告显示，已知他们所使用的技术和工具。使用ATT＆CK的通用语言，为情报创建过程提供了便利。