ATT&CK是一個基于黑客攻擊實(shí)戰(zhàn)結(jié)果建立的網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)和技術(shù)的知識體系，它描述了網(wǎng)絡(luò)攻擊的行為模型，反映出整個攻擊周期的各個階段。

ATT&CK包含三個核心部分，即戰(zhàn)術(shù)、技術(shù)和過程(TTPs)，戰(zhàn)術(shù)表示攻擊者的目標(biāo)，技術(shù)表示攻擊者達(dá)成戰(zhàn)術(shù)目標(biāo)的方法與手段，過程顯示攻擊者如何執(zhí)行某項(xiàng)技術(shù)。今年7月，技術(shù)中新增了“子技術(shù)”概念，表示比技術(shù)低一級別、達(dá)成目標(biāo)的特定方法。

上圖的表格里共有12個戰(zhàn)術(shù)目標(biāo)、156項(xiàng)技術(shù)和272項(xiàng)子技術(shù)。隨著人工智能、機(jī)器學(xué)習(xí)等新技術(shù)的發(fā)展，ATT&CK會越來越龐雜。

這是著名的痛苦金字塔，每一層表示不同類型的攻擊指標(biāo)。它可以用來檢測攻擊活動與指標(biāo)之間的關(guān)系，以及拒絕這些指標(biāo)時給攻擊者帶來的痛苦程度。越接近金字塔尖，攻擊者的痛苦指數(shù)越大。

最頂層的TTPs反映了攻擊者的行為，調(diào)整TTPs需要付出很高的時間和金錢成本。當(dāng)我們在這一級別檢測和響應(yīng)時，就是在直接操作攻擊者的行為，而不是針對他們的工具。利用ATT&CK檢測攻擊者的行為習(xí)慣，迫使他們重新學(xué)習(xí)訓(xùn)練新的行為，能夠極大提高攻擊門檻。

總體來說，ATT&CK模型是在洛馬公司提出的KillChain模型的基礎(chǔ)上，構(gòu)建的一套更細(xì)粒度、更易共享的知識模型和框架。

從上圖可以看出，PRE-ATT&CK覆蓋了偵查跟蹤和武器構(gòu)建兩個階段。攻擊者進(jìn)行攻擊之前，必須先偵查網(wǎng)絡(luò)，根據(jù)特定環(huán)境定制對應(yīng)的武器。Enterprise ATT&CK覆蓋了載荷投遞、漏洞利用、安裝植入、命令與控制和目標(biāo)達(dá)成五個階段，主要關(guān)注攻擊者怎樣入侵網(wǎng)絡(luò)及入侵后他們會做什么。

以往，業(yè)界關(guān)注較多的是邊界防護(hù)，認(rèn)為只要在邊界部署防火墻就可以阻止攻擊者的進(jìn)入。但隨著物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算的發(fā)展，更進(jìn)一步打破了物理邊界的概念。我們需要監(jiān)控并檢測攻擊過程的整個生命周期，甚至假設(shè)攻擊者已經(jīng)入侵內(nèi)部網(wǎng)絡(luò)。

ATT&CK有哪些具體的應(yīng)用場景?我們可以怎樣更好地在各個場景中使用它呢?

第一個場景是攻擊模擬，可用于驗(yàn)證對特定攻擊的檢測能力。ATT&CK作為工具來創(chuàng)造攻擊場景，以測試和驗(yàn)證對通用攻擊技術(shù)的防御能力。

第二個是紅隊(duì)/滲透測試，用ATT&CK作為攻擊來設(shè)計(jì)紅隊(duì)計(jì)劃，以及在操作過程中避過安全監(jiān)控和防御措施。

第三個是威脅情報增強(qiáng)，ATT&CK有助于從行為角度理解和記錄攻擊者的策略，防御者更容易獲取共有的威脅行為特征。

第四個是SOC成熟度評估，安全運(yùn)維中心是企業(yè)機(jī)構(gòu)的關(guān)鍵部門，需要持續(xù)監(jiān)控網(wǎng)絡(luò)威脅。ATT&CK可作為度量工具，確定SOC在入侵檢測、分析和響應(yīng)方面的有效性。

另外兩個場景是防護(hù)差距評估和行為分析開發(fā)，下面來重點(diǎn)介紹一下。

在進(jìn)行安全建設(shè)或安全產(chǎn)品研發(fā)過程中，安全人會產(chǎn)生一些疑問：

現(xiàn)有的防御是否有效?

是否能檢測某一類特定的APT攻擊?

采集到的數(shù)據(jù)是否有用?

新購買的產(chǎn)品或開發(fā)的工具能力是否重疊，導(dǎo)致浪費(fèi)預(yù)算?

新產(chǎn)品是否有助于提高企業(yè)機(jī)構(gòu)的防御能力?

從安全運(yùn)營角度看，對企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境進(jìn)行威脅建模后，可根據(jù)現(xiàn)有的安全解決方案利用ATT&CK覆蓋評估、識別差距，再根據(jù)優(yōu)先級來彌補(bǔ)差距。

首先，ATT&CK能夠幫助更好地優(yōu)化防御方案，找出弱點(diǎn)或差距，確定需要什么產(chǎn)品或工具來補(bǔ)充方案。其次是增強(qiáng)對風(fēng)險的認(rèn)知，出現(xiàn)重大安全事件時(如勒索病毒)，可以更清晰地知道當(dāng)前方案能否有效檢測和緩解風(fēng)險。最后，ATT&CK可幫助最大化有效利用預(yù)算，確定要購買的產(chǎn)品能否補(bǔ)充差距，并有效提升防御能力。

防護(hù)差距評估還可應(yīng)用于安全產(chǎn)品的開發(fā)，利用ATT&CK評估產(chǎn)品防護(hù)能力的覆蓋范圍并識別差距，對差距進(jìn)行優(yōu)先級排序。

ATT&CK對每一項(xiàng)技術(shù)都提供檢測所需的數(shù)據(jù)源，確定產(chǎn)品能否獲取所需的數(shù)據(jù)源后，才能進(jìn)行檢測，接著再逐個解決差距。數(shù)據(jù)源是檢測的基礎(chǔ)，它的覆蓋度決定了檢測能力的覆蓋度。

DeTTECT是一個評估數(shù)據(jù)源覆蓋的框架，能夠?qū)γ恳粋€數(shù)據(jù)源的質(zhì)量進(jìn)行打分。它可映射數(shù)據(jù)到ATT&CK Navigator，從而以直觀方式看到數(shù)據(jù)覆蓋熱力圖。

最后一個ATT&CK的使用場景是開發(fā)行為分析，通過分析攻擊者的行為進(jìn)行威脅檢測，與IOCs檢測有較大區(qū)別。

IOCs用來檢測已知威脅;需要人工搜索威脅的IOCs，比如威脅情報平臺;具有更低的誤報率，且更具針對性;同時數(shù)量非常龐大，各個廠家的威脅情報庫都是千萬級別的。

行為分析是行為驅(qū)動檢測，去發(fā)現(xiàn)滿足威脅行為的可疑操作。它并不能100%確定是否為威脅，相比IOCs存在更高的誤報率，但泛化性更強(qiáng)，能夠檢測未知威脅。

Mitre的網(wǎng)絡(luò)行為分析庫(CAR)是一個基于攻擊模型的行為分析知識庫。它對每一個行為模型進(jìn)行了解釋，說明模型背后的想法，其中包含了行為模型能夠檢測的所有技術(shù)領(lǐng)域列表。

CAR利用偽代碼定義了數(shù)據(jù)模型，在產(chǎn)品實(shí)現(xiàn)過程中，提供了幾乎可以直接使用的偽代碼邏輯。它還給出了測試模型的方法，詳細(xì)的操作或命令觸發(fā)的相關(guān)行為，用來驗(yàn)證行為模型的有效性，涵蓋行為模型的分析、開發(fā)、驗(yàn)證完整閉環(huán)流程。

還有其他一些具有參考價值的行為分析庫，比如EQL也給出很多類CAR模型，包括偽代碼;Sigma可以通過行為規(guī)則生成ATT&CK Navigator熱力圖，直觀看到行為模型的覆蓋程度。

安博通在基于ATT&CK進(jìn)行產(chǎn)品研發(fā)時，有一些實(shí)踐體會。首先要利用好社區(qū)資源，緊密跟蹤其他組織發(fā)布的行為分析方法;其次根據(jù)攻擊者行為建立數(shù)據(jù)模型;第三步加強(qiáng)數(shù)據(jù)源的收集，不斷訓(xùn)練優(yōu)化模型以降低誤報率;最后在實(shí)際應(yīng)用場景中測試和增強(qiáng)模型。

經(jīng)過充分實(shí)踐，安博通自主研發(fā)了高級威脅檢測與響應(yīng)平臺，實(shí)現(xiàn)安全威脅的檢測、分析和自動響應(yīng)。

利用DNS、ICMP、HTTP隧道進(jìn)行隱蔽通信的行為;DGA域名、C&C、木馬、挖礦、數(shù)據(jù)泄露等外聯(lián)威脅;WEB攻擊、暴力破解、提權(quán)、憑證獲取、蠕蟲等橫向移動行為都逃不過平臺的檢測，實(shí)踐證明平臺能夠有效發(fā)現(xiàn)高級威脅和未知威脅。

ATT&CK的出現(xiàn)改變了我們對IP地址和域名等低級指標(biāo)的認(rèn)知，讓我們從行為視角來看待攻擊者和防御體系，建立了“知攻”通向“知防”的橋梁。防守方得以將攻擊事件轉(zhuǎn)化為針對性的對抗能力，ATT&CK作為對抗性科學(xué)被越來越多的安全人認(rèn)知并應(yīng)用。

舉報/反饋