鑒于ATT＆CK在網(wǎng)絡(luò)安全領(lǐng)域的巨大潛力和應(yīng)用價(jià)值，許多企業(yè)也想將其應(yīng)用在安全運(yùn)營中，但是卻面臨兩個(gè)問題：如何利用ATT&CK提高安全運(yùn)營能力？如何快速實(shí)現(xiàn)ATT&CK在安全運(yùn)營中的價(jià)值？本文將圍繞這兩個(gè)問題展開，介紹在安全運(yùn)營中如何有效地應(yīng)用ATT&CK。

一、利用ATT&CK提高企業(yè)安全運(yùn)營能力

首先，我們將詳細(xì)講述企業(yè)如何利用 ATT&CK 來提高安全運(yùn)營能力。概括來說，企業(yè)可以通過ATT&CK的應(yīng)用做到知己知彼，并進(jìn)行安全運(yùn)營實(shí)踐。

1.知彼：收集網(wǎng)絡(luò)威脅情報(bào)

ATT&CK 的一個(gè)主要目標(biāo)是實(shí)現(xiàn)威脅防御，因此，將威脅情報(bào)映射到ATT&CK框架中是企業(yè)利用該框架的一項(xiàng)主要工作。

防守方主要有兩種方式利用 ATT&CK 獲取威脅情報(bào)：作為數(shù)據(jù)的消費(fèi)者和作為數(shù)據(jù)的生產(chǎn)者。作為數(shù)據(jù)的消費(fèi)者（每個(gè)企業(yè)都應(yīng)該這樣做），就是利用已經(jīng)創(chuàng)建的數(shù)據(jù)來改進(jìn)防御決策。第二種方式是獲取額外的信息，并以此為基礎(chǔ)提供額外的情報(bào)，有能力的團(tuán)隊(duì)也考慮以這種方式利用ATT&CK。

作為數(shù)據(jù)消費(fèi)者，利用已創(chuàng)建的數(shù)據(jù)改進(jìn)防御決策

作為 ATT&CK 信息的消費(fèi)者，首先要將威脅范圍縮小到可能對企業(yè)數(shù)據(jù)、資產(chǎn)感興趣的特定潛在威脅組織。為了縮小威脅范圍，可以研究與自己類似的企業(yè)和同行曾遭受的攻擊以及原因。確定潛在的威脅組織后，就可以利用ATT&CK框架中“攻擊組織”相關(guān)信息來查看這些組織的 TTP。通過研究企業(yè)潛在威脅組織中常用的 TTP，企業(yè)就可以著手編制安全運(yùn)營團(tuán)隊(duì)必須具備的檢測和預(yù)防功能的優(yōu)先級列表。這是利用 MITRE 團(tuán)隊(duì)已創(chuàng)建數(shù)據(jù)的基本方法，無論企業(yè)規(guī)模大小都可以使用，并體會(huì)到它在威脅防御中發(fā)揮的巨大價(jià)值。

作為數(shù)據(jù)的生產(chǎn)者，獲取額外信息提供額外情報(bào)

推薦的第二種做法是，在獲得潛在威脅組織信息的基礎(chǔ)上，生成自己的威脅情報(bào)信息，并添加到ATT&CK數(shù)據(jù)集中。這種做法需要企業(yè)為分析人員提供充足的時(shí)間和培訓(xùn)，讓他們對現(xiàn)有的事件報(bào)告（包括內(nèi)外部的閉源代碼和開源代碼）進(jìn)行分析，并提取分析數(shù)據(jù)將其映射到 ATT&CK 框架中。分析人員在實(shí)際操作中要逐字逐句地研究現(xiàn)有報(bào)告；標(biāo)注出工具、技術(shù)、戰(zhàn)術(shù)和威脅組織名稱等信息；將這些信息提供給團(tuán)隊(duì)人員，讓他們掌握相關(guān)攻擊組織的所有信息。有了更多的額外信息，安全防御決策就會(huì)得到進(jìn)一步改進(jìn)。

2.知己：分析現(xiàn)有數(shù)據(jù)源缺口

使用 ATT&CK 框架映射網(wǎng)絡(luò)威脅情報(bào)，是企業(yè)在研究外部威脅環(huán)境，但ATT&CK 框架另一個(gè)常見用途是深度挖掘企業(yè)自身的情況。由于ATT&CK中每種技術(shù)都列出了安全運(yùn)營團(tuán)隊(duì)該如何識(shí)別、檢測和緩解該技術(shù)的信息，因此，獲取這些信息對于安全運(yùn)營團(tuán)隊(duì)了解和改善自身防御能力很有幫助。

確定重要的缺失數(shù)據(jù)

要確定安全團(tuán)隊(duì)缺失哪些重要數(shù)據(jù)源，首先需要使用 MITRE 提供的 API 或 GitHub 上的其他開源工具，提取有用的技術(shù)或整個(gè)框架的數(shù)據(jù)源信息。在此基礎(chǔ)上，再去了解安全團(tuán)隊(duì)有權(quán)訪問的數(shù)據(jù)源，以及有權(quán)訪問這些數(shù)據(jù)源的用戶組和系統(tǒng)，這樣可以發(fā)現(xiàn)對于關(guān)鍵攻擊技術(shù)在數(shù)據(jù)收集和數(shù)據(jù)可見性方面存在的差距。例如，收集的威脅情報(bào)表明，計(jì)劃任務(wù)技術(shù)是攻擊組織使用的主要技術(shù)，想要知道安全團(tuán)隊(duì)是否可以檢測到它，在ATT&CK框架中列出的該技術(shù)的數(shù)據(jù)源——文件監(jiān)控、進(jìn)程監(jiān)控、進(jìn)程命令行參數(shù)和 Windows 事件日志可以提供答案，如下圖展示了計(jì)劃任務(wù)技術(shù)的數(shù)據(jù)源。如果安全團(tuán)隊(duì)沒有這些數(shù)據(jù)源，或者只有環(huán)境中的部分系統(tǒng)有這些數(shù)據(jù)源，那么安全團(tuán)隊(duì)需要優(yōu)先考慮改善這個(gè)重要數(shù)據(jù)源缺失的問題。

找到合適的安全分析工具

收集所需的數(shù)據(jù)源非常重要，但這僅僅是第一步。在獲取數(shù)據(jù)并將其發(fā)送到收集系統(tǒng)（例如 SIEM）后，下一步是找到一個(gè)合適的分析工具來分析攻擊者何時(shí)會(huì)使用某項(xiàng)技術(shù)。MITRE預(yù)先編寫的網(wǎng)絡(luò)分析存儲(chǔ)庫（CAR）簡化了許多技術(shù)的分析步驟，甚至提供了開源分析方案，例如 BZAR 項(xiàng)目，其中包含一組用于檢測某些 ATT&CK 技術(shù)的 Zeek/Bro 腳本。雖然并非所有技術(shù)都有 CAR，但當(dāng)安全運(yùn)營團(tuán)隊(duì)開始實(shí)施新的檢測功能時(shí)，它是一個(gè)尋找指導(dǎo)的好地方，因?yàn)榇嬖诘脑S多實(shí)例都有用偽代碼，以及特定于 EQL、Sysmon、Splunk 和其他產(chǎn)品語言編寫的分析邏輯。下面這段代碼展示了用于捕獲未從 explorer.exe 交互式啟動(dòng)PowerShell 進(jìn)程的偽代碼示例。

process = search Process : Create

powershell = filter process where

(exe == “powershell.exe”AND parent_exe != “explorer.exe” )

output powershell

當(dāng)然，這些分析也可以內(nèi)置到安全廠商的工具中。如果安全廠商提供的解決方案中有預(yù)先創(chuàng)建的分析方案，可以保證在使用過程中標(biāo)示出攻擊技術(shù)（前提是要有正確的數(shù)據(jù)），那么采購這樣的解決方案也是快速進(jìn)入分析流程的簡單方法。

3.實(shí)踐：分析測試

在完成外部威脅環(huán)境的分析，并對內(nèi)部的數(shù)據(jù)收集能力和ATT&CK 技術(shù)的覆蓋范圍評估后，就該開始進(jìn)行測試了。安全運(yùn)營團(tuán)隊(duì)?wèi)?yīng)該按照不同的抽象層次進(jìn)行多次測試。對于企業(yè)來說，需要清楚地知道自身不能進(jìn)行某項(xiàng)分析或者當(dāng)前缺失某項(xiàng)關(guān)鍵分析，這一點(diǎn)很重要。因?yàn)楣粽呖赡軐⑵髽I(yè)漏掉的項(xiàng)目串聯(lián)在一起進(jìn)行漏洞利用，這可能會(huì)使攻擊者入侵成功。因此，企業(yè)可以根據(jù)存儲(chǔ)在 ATT&CK 知識(shí)庫中的情報(bào)，進(jìn)行紅隊(duì)和藍(lán)隊(duì)演習(xí)，并使用 ATT&CK 作為指導(dǎo)進(jìn)行攻擊模擬，在更高的抽象層次上進(jìn)行測試。

原子測試

安全運(yùn)營團(tuán)隊(duì)可能有自以為可行的分析，但它實(shí)際上卻不能正常發(fā)揮作用。警報(bào)測試的第一步也是關(guān)鍵的一步，是對分析進(jìn)行原子測試。大多數(shù)安全運(yùn)營中心的分析人員都知道，操作環(huán)境中不斷變化的狀態(tài)，再加上為減少誤報(bào)而進(jìn)行的一致調(diào)整，意味著多年運(yùn)行的分析規(guī)則可能會(huì)突然失效，而原子測試是解決這個(gè)問題的有效方法。

原子測試通常采用運(yùn)行單個(gè)命令行的命令或單個(gè)動(dòng)作的形式，這些命令或動(dòng)作可以在 SIEM、IDS 或 EDR 中觸發(fā)警報(bào)，商業(yè)和開源工具都有助于這些測試。無論以何種方式實(shí)現(xiàn)測試，最重要的是對武器庫中與特定技術(shù)或子技術(shù)相對應(yīng)的分析進(jìn)行持續(xù)、可靠的測試，以確保其仍正常發(fā)揮作用。在一個(gè)理想的系統(tǒng)中，每當(dāng)發(fā)生可能影響分析功能的變更時(shí)，就要啟動(dòng)一個(gè)原子測試，驗(yàn)證分析功能沒有受影響。

紅隊(duì)評估、紫隊(duì)評估與攻擊模擬

在原子測試的基礎(chǔ)上，聯(lián)合使用多種測試方法，會(huì)讓測試更加接近真實(shí)攻擊?，F(xiàn)在介紹幾種最常用的模擬攻擊測試方法。

大多數(shù)安全團(tuán)隊(duì)采用的初始測試方法是紫隊(duì)評估，它通常以合作、交互和迭代的方式進(jìn)行。紫隊(duì)評估通常使用與原子測試不同的方法，逐步檢查武器庫中的每種攻擊技術(shù)。其目標(biāo)是評估安全分析是否可以通過多種不同的方法觸發(fā)，例如發(fā)送帶有10種不同類型惡意附件的釣魚郵件。通過紫隊(duì)評估讓滲透測試人員在分析中使用最新、最隱蔽的方法，可能會(huì)發(fā)現(xiàn)未知的漏洞，并確保分析如預(yù)期的那樣可靠。

結(jié)合 ATT&CK 框架中每個(gè)戰(zhàn)術(shù)的原子測試設(shè)計(jì)紫隊(duì)活動(dòng)，紫隊(duì)評估可以發(fā)現(xiàn)攻擊技術(shù)鏈，當(dāng)這些攻擊技術(shù)一起使用時(shí)，可能導(dǎo)致入侵成功。這些評估基于網(wǎng)絡(luò)和主機(jī)的數(shù)據(jù)源，可以說明攻擊者是如何成功地完成最初的載荷投遞和漏洞利用，以及漏洞利用后如何指揮控制和使用滲透技術(shù)。針對 SOC 預(yù)期進(jìn)行的分析，以及其他不可檢測的技術(shù)進(jìn)行紫隊(duì)測試，以便發(fā)現(xiàn)存在哪些重大安全缺口。通過紫隊(duì)測試保證安全運(yùn)營團(tuán)隊(duì)的分析對真實(shí)攻擊有效。如果安全運(yùn)營團(tuán)隊(duì)在紫隊(duì)評估中表現(xiàn)很好，就該轉(zhuǎn)向第二種類型的測試了——紅隊(duì)測試。

紅隊(duì)測試是以攻擊者戰(zhàn)術(shù)和技術(shù)的威脅模型驅(qū)動(dòng)的評估，其目標(biāo)是驗(yàn)證攻擊者是否可能在不被發(fā)現(xiàn)的情況下，訪問環(huán)境中最重要的數(shù)據(jù)或資產(chǎn)。要測試藍(lán)隊(duì)的 ATT&CK 覆蓋和檢測能力，紅隊(duì)?wèi)?yīng)該選擇以前用原子或紫隊(duì)形式測試過，并且 SOC 有信心在真實(shí)場景中可以有效抵擋攻擊的項(xiàng)目，這是從紅隊(duì)評估中獲得價(jià)值的關(guān)鍵點(diǎn)。紅隊(duì)測試通常是一種突襲攻擊，所以它相比原子和紫隊(duì)測試更接近真實(shí)攻擊。而且紅隊(duì)測試不僅測試藍(lán)隊(duì)的分析情況，還測試他們評估和及時(shí)響應(yīng)真實(shí)警報(bào)的能力。

最接近真實(shí)攻擊情況的是攻擊模擬測試，它旨在盡可能真實(shí)地模擬威脅組織的攻擊。同時(shí)，在規(guī)劃攻擊模擬測試的方法時(shí)，也可以按照ATT&CK的規(guī)則來維護(hù)威脅情報(bào)。紅隊(duì)可以參考這些威脅情報(bào)信息來調(diào)整他們的攻擊，讓自己看起來更像真實(shí)的攻擊組織。

在許多方面，這些類型的測試，例如滲透測試或紅隊(duì)測試，它們只限于最高威脅攻擊者所使用的攻擊技術(shù)。作為藍(lán)隊(duì)，最好的表現(xiàn)就是能夠快速、準(zhǔn)確地響應(yīng)攻擊模擬測試，這表明安全團(tuán)隊(duì)已經(jīng)優(yōu)化了檢測方法，并制定了必要的響應(yīng)流程，以應(yīng)對來自最高威脅攻擊組織的潛在入侵。如下圖基于 ATT&CK 的測試類型圖譜，圖中總結(jié)了各種測試類型的關(guān)鍵內(nèi)容。

在安排這些類型的測試頻次時(shí)，我們建議每季度或每六個(gè)月安排一次評估，這具體取決于安全團(tuán)隊(duì)的規(guī)模和團(tuán)隊(duì)職責(zé)。對于原子測試而言，威脅環(huán)境、技術(shù)、工具或數(shù)據(jù)源的任何變化都會(huì)給攻擊方創(chuàng)造隱藏的機(jī)會(huì)。因此，應(yīng)該頻繁進(jìn)行復(fù)雜測試，以確保安全團(tuán)隊(duì)的能力。在這方面，若有任何工具可以縮短計(jì)劃和執(zhí)行這些測試所需的時(shí)間，都值得采購，因?yàn)楣ぞ叩牟少彸杀臼强梢暂p松收回的。對于原子測試和更接近真實(shí)攻擊的測試來說，將潛在破壞性事件的發(fā)現(xiàn)與重新測試特定分析的觸發(fā)因素聯(lián)系起來，讓安全運(yùn)營團(tuán)隊(duì)的能力始終領(lǐng)先于攻擊者。通過頻繁、持續(xù)開展各種測試，打造一支能力可靠的藍(lán)隊(duì)來檢測和應(yīng)對攻擊者的攻擊。

二、將ATT&CK應(yīng)用于安全運(yùn)營中的方法

首次將ATT&CK框架用于安全運(yùn)營時(shí)，可以通過下面介紹的三種方式盡快實(shí)現(xiàn)ATT&CK的價(jià)值。

1.利用現(xiàn)有安全工具

在日常的安全運(yùn)營中，許多安全團(tuán)隊(duì)使用安全廠商提供的安全工具和設(shè)備，可以通過這些系統(tǒng)的內(nèi)置功能將 ATT&CK 模型集成到自身環(huán)境中。安全廠商的產(chǎn)品（例如 EDR、IDS、SIEM等）都帶有簽名集，并根據(jù) ATT&CK 相應(yīng)的技戰(zhàn)術(shù)進(jìn)行分類，標(biāo)記不同警報(bào)。這樣就可以輕松地創(chuàng)建指標(biāo)，并根據(jù) ATT&CK 技術(shù)標(biāo)記提醒 SOC 需要警惕的活動(dòng)。

與 ATT&CK 相關(guān)的安全警報(bào)從企業(yè)各種安全設(shè)備中隨其他警報(bào)同時(shí)發(fā)送，如果在一定周期內(nèi)這個(gè)警報(bào)仍然存在，企業(yè)可以輪詢所有已解決事件的信息，并查看攻擊者針對其環(huán)境所采用的ATT&CK技術(shù)。這是威脅情報(bào)的最佳形式——信息來源于組織內(nèi)已經(jīng)發(fā)生的實(shí)際攻擊。此時(shí)通過安全廠商的工具創(chuàng)建這些情報(bào)，讓安全團(tuán)隊(duì)能夠快速果斷地采取行動(dòng)。安全團(tuán)隊(duì)可以根據(jù)已解決的事件，制作攻擊者對其最常用攻擊技術(shù)的可視化地圖。這些信息可以反饋給威脅情報(bào)部門，用于更進(jìn)一步確認(rèn)攻擊者的具體信息。

2.利用多維度數(shù)據(jù)源

ATT&CK 框架中列出了大量數(shù)據(jù)源，這些數(shù)據(jù)主要基于網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)。

從分路器或分光鏡端口拉取的網(wǎng)絡(luò)數(shù)據(jù)源的優(yōu)點(diǎn)是，能夠真實(shí)地反映網(wǎng)絡(luò)上發(fā)生的情況。但由于加密技術(shù)的普及，網(wǎng)絡(luò)數(shù)據(jù)越來越難以使用。雖然一些協(xié)議可以被即時(shí)解密并以明文形式記錄，但許多企業(yè)不使用這些功能，選擇忽略網(wǎng)絡(luò)上正在發(fā)生的事情。

基于可信的主機(jī)數(shù)據(jù)源（如進(jìn)程創(chuàng)建日志、防病毒、EDR工具信息和主機(jī)入侵防御產(chǎn)品）可以了解每個(gè)主機(jī)上發(fā)生情況的詳細(xì)信息。主機(jī)上承載著企業(yè)的核心資產(chǎn)，也是攻擊者的攻擊目標(biāo)和最終的活動(dòng)場所，因此，主機(jī)防護(hù)非常關(guān)鍵。青藤獵鷹基于ATT&CK框架，幫助用戶解決安全數(shù)據(jù)匯集、數(shù)據(jù)挖掘、事件回溯、安全能力整合等各類問題；提供了上百類ATT&CK攻擊場景，用戶可直接對數(shù)據(jù)進(jìn)行深度挖掘，及時(shí)發(fā)現(xiàn)潛在威脅。

基于主機(jī)和網(wǎng)絡(luò)的數(shù)據(jù)是互補(bǔ)的，它們從兩種不同的視角關(guān)注攻擊者活動(dòng)。安全團(tuán)隊(duì)可以同時(shí)使用這兩種類型的數(shù)據(jù)來實(shí)現(xiàn)最全面的技術(shù)可見性。此外，也有更好的辦法，例如制定開源的 Community ID 標(biāo)準(zhǔn)（已經(jīng)得到許多安全工具的支持），這有助于防守方在多個(gè)數(shù)據(jù)源查看同一事務(wù)的不同視圖，并將使兩種類型數(shù)據(jù)的利用更加方便。還有一點(diǎn)需要注意的是，有些策略在主機(jī)上更容易被發(fā)現(xiàn)，如持久化、權(quán)限提升和執(zhí)行。如果企業(yè)發(fā)現(xiàn)自身的弱點(diǎn)是ATT&CK框架中的某項(xiàng)戰(zhàn)術(shù)，則可關(guān)注與該戰(zhàn)術(shù)下的技術(shù)最匹配的（網(wǎng)絡(luò)或主機(jī)）數(shù)據(jù)類型，從而更有效地提升針對相應(yīng)戰(zhàn)術(shù)中所有技術(shù)的響應(yīng)能力。

3.進(jìn)行歷史衡量和能力趨勢分析

應(yīng)用 ATT&CK最后一個(gè)關(guān)鍵點(diǎn)在于，跟蹤安全運(yùn)營團(tuán)隊(duì)在一段時(shí)間內(nèi)的進(jìn)步。雖然SOC在人力和技術(shù)層面都很貴，但它能提供額外的保護(hù)，防止業(yè)務(wù)中斷，因而物有所值。然而實(shí)現(xiàn)這種價(jià)值并不容易。幸運(yùn)的是，進(jìn)行基于 MITRE ATT&CK 的測評不僅提供了一種客觀衡量安全團(tuán)隊(duì)能力的方法，而且還可以展示某一階段安全能力提升的效果。以下是一些提高安全防御能力的具體方法：

增加原子和自動(dòng)分析測試可以檢測的技術(shù)數(shù)量。

提高可以檢測到的已知攻擊技術(shù)的百分比。

根據(jù)紫隊(duì)測試的結(jié)果發(fā)現(xiàn)問題——有多少技術(shù)被遺漏、被檢測到和被攔截？

根據(jù)紅隊(duì)測試和攻擊模擬測試的結(jié)果發(fā)現(xiàn)問題——攻擊者被抓住了嗎？用了多久？SOC 的響應(yīng)速度有多快？

藍(lán)隊(duì)如果能夠證明這些指標(biāo)隨著時(shí)間的推移有所改善，就可以證明將ATT&CK應(yīng)用于安全運(yùn)營給企業(yè)帶來的價(jià)值。這種價(jià)值本質(zhì)上會(huì)形成一個(gè)良性循環(huán)，讓安全團(tuán)隊(duì)成員、管理層和企業(yè)都從中受益。

三、寫在最后

近年來，有很多企業(yè)利用ATT&CK提升了威脅防御能力。但是我們也要明白ATT&CK 并不是解決所有企業(yè)安全問題的靈丹妙藥。只有不斷深入地了解它，理解它的價(jià)值所在，并清楚地知道想要通過它解決什么問題，ATT&CK才能成為企業(yè)改善防御能力的有效方法。而且，企業(yè)利用ATT&CK提高安全運(yùn)營能力只是第一步，更深入的應(yīng)用是在了解ATT&CK框架的基礎(chǔ)上，建立企業(yè)自己的ATT&CK，從而在安全運(yùn)營中更好地發(fā)揮它的價(jià)值。

為進(jìn)一步幫助網(wǎng)絡(luò)安全從業(yè)人員更好地了解、認(rèn)識(shí)和使用ATT&CK，學(xué)習(xí)先進(jìn)的理論體系，提升防守方的技術(shù)水平，青藤云安全將于2022年1月13日舉辦“ATT&CK應(yīng)用發(fā)展論壇”，同時(shí)發(fā)布《ATT&CK框架實(shí)踐指南》。觀看直播活動(dòng)，享限時(shí)5折購書優(yōu)惠！

songjy