在之前的文章——《一文看懂ATT&CK框架以及使用場景實例》中詳細介紹了ATT&CK框架的概念和使用場景,相信大家對ATT&CK框架一定有了初步的了解,都知道了MITRE ATT&CK框架是用於構建檢測和響應步驟的一個框架模板。下面筆者將介紹如何將 ATT&CK知識庫中的內容應用於企業環境中。這也是很多安全人員所關注的內容。
但是MITRE ATT&CK框架中有好幾百種技術,並且會隨着新技術的推出以及人工智能和機器學習系統的部署而逐漸擴大。那么企業應該從哪里入手?該如何確定優先級?又該如何構建和管理已開發的檢測方案呢?
正如《孫子兵法》中所說“知己知彼,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆。”同理,許多安全計划的第一步也是了解自己。
一、了解自己,建立威脅模型
首先了解公司的業務驅動因素、業務運作方式、公司資產排序、知識產權(IP)以及推動業務和企業發展的內部系統。了解如果這些業務資產、數據、IP或系統中的任何一項遭到攻擊,會產生什么樣的影響。可以設想一下,如果外部攻擊者獲得了通往企業的“密道”,他們會想要什么?他們的目標是什么呢?如果知道攻擊者的重要目標是什么,那么就可以針對攻擊者為了獲取最有價值的資產可能會采用的技術,並以此采取針對性措施。
二、選擇檢測方案所使用的技術
面對ATT&CK那么多種技術,該如何選擇制定檢測方案所用的技術呢?查看 ATT&CK 矩陣,可以發現其架構從左到右是按入侵時間順序排列的,與攻擊者最終采用的步驟順序密切相關。例如,最左側是初始訪問,它代表攻擊者開始對企業進行攻擊。
當企業在矩陣中向右移動時,攻擊者正在不斷推進,並根據需要使用右側的這些技術。安全人員不能只是從最左側開始建立檢測方案,然后逐步向右移動。當然,也不能隨機選擇任何技術。因此,選擇與公司的敏感數據、系統和資產最相關的技術才是根本。
三、了解不同技術的攻擊難度
企業如何進一步縮小ATT&CK技術范圍呢?由於MITRE ATT&CK越來越受歡迎,並且很多人都願意共享信息,因此許多開源和公共資源都可以作為參考資料。例如,有人按照攻擊難度來組織ATT&CK矩陣,如下圖所示ATT&CK框架顏色標記的圖例是根據下表1技術分類制定的。該技術分類表示,從上到下,難度越來越高。
表1:技術分類
圖1:使用ATT&CK導航器應用難度色碼后的ATT&CK框架
四、查看數據源及子數據源
當確定要在檢測方案中實施相關檢測技術時,需要確保有適當的數據源來實施針對該技術的檢測方案。如下圖所示,對於圖片中的“注冊表中的憑據”,數據源包括“Windows注冊表”、“0rocess命令行參數”和“進程監視”。有一些檢測候選方案需要一定的數據源要求,每個技術的步驟都有與之相關的數據源。例如T1214:
圖2:T1214的數據源
企業在使用ATT&CK之前,需要先了解一下在自己企業環境中,能夠提供不同的ATT&CK技術的通用數據源,然后確定要實施的技術檢測方案的優先級。
圖3:ATT&CK技術和數據源
如果企業可以集成上述三個數據源,就可以最大程度地增加可以創建的檢測方案。另外,為了更好地了解實現不同ATT&CK技術所需的數據源的整體情況,下文將重點介紹了檢測方案對數據源的要求。
圖4:ATT&CK數據源優先級(1)
圖5:ATT&CK數據源優先級(2)
此外,ATT&CK命名的幾乎每個高級數據源都包含子數據源(該數據源的不同形式)。重要的是要了解,可以訪問哪些數據源以及這些子數據源提供哪些內容。僅找到其中一項子數據源是遠遠不夠的。需要了解自己還缺少哪些內容,才能彌合自身在檢測功能方面的差距。
實施不同的相關技術檢測方案,例如通過Mimikatz或Rubeus進行哈希傳遞時,可以分析哪些技術與自身組織更相關,從而減少檢測特定技術所需的子數據源數量。例如,有66種不同的技術都需要文件和進程監視數據源。
圖6:文件與進程檢測(66種技術)
但是,企業相關技術可能只需要子數據源的一個子集。
圖7:文件與進程檢測(技術變化)
例如,可以使用兩種不同的方法(Mimikatz和Rubeus)來執行和檢測一種技術(哈希傳遞)。
圖8:Mimikatz數據映射——哈希傳遞——T1075
圖9:Rubeus數據映射——哈希傳遞——T1075
顯示子數據源子集的目的是,如果威脅情報表明某個版本與公司的環境相關性更大,則企業可以專注於這個版本,這會可以提高檢測方案的效率。
五、選擇合適工具進行數據整合
在了解數據源的物理來源以及事件與這些物理數據源的關系之后,需要有一個信息存儲庫及相應的查詢方式。可以使用圖形數據庫,並根據數據字典和公共信息模型中的信息實現類似於以下圖表的內容:
圖10:信息存儲庫模型
數據整合工作量非常大,這個過程可以選擇一些開源工具輔助進行,例如Osquery等。OSquery可以收集環境中各主機的信息,並將數據聚合到表格中。可以使用類似SQL的查詢來訪問表格中的數據並編寫檢測方案,因此對於接觸過關系型數據庫的人來說難度並不大。
此外,OSquery可以創建查詢集合,映射到ATT&CK中的目標TTP,進行威脅捕獲。安全人員可以即時創建和執行在線實時查詢。有些查詢可以識別網絡攻擊者,這些查詢可以集成到安全信息和事件管理(SIEM)系統中來。
當然企業也可以購買一些商用的平台,當然在購買這些工具時,需要考慮以下幾點:
①支持哪些數據源?
該工具在多大程度上支持特定數據源?該工具使用哪種子數據源來支持特定數據源?涵蓋哪些技術,涵蓋范圍有多大?
②了解不同工具的功能和局限性
確保該工具支持自己企業環境中的特定數據源,可以檢測不同的MITRE ATT&CK技術。
③了解該工具提供何種級別的子數據源支持
如果該工具聲稱支持Windows注冊表,它是否支持創建、刪除、修改和訪問注冊表鍵值?同時,企業也需要驗證、審核或測試工具供應商提供的各種功能。查看該工具是否能夠與企業現有的SIEM和安全編排、自動化和響應(SOAR)基礎結構集成在一起。確保能夠將數據推送到SIEM和SOAR基礎架構,或從中抽取數據來豐富調查結果,減少誤報。
④在檢查產品時,了解不同類型警告之間的差異
例如,可以通過工具提供一些與檢測方案有關的不同級別的信息。一些工具提供信息類型的事件,其他工具提供有關MITRE ATT&CK技術的特定參照信息,並對有關事件進行更深入的說明。當然提供的信息越豐富,后期進行事件分類時所需的工作就越少。
寫在最后
當然,ATT&CK也不是一家獨有的秘籍,所有攻擊者與防守者一樣,都有MITRE ATT&CK框架的訪問權限,因此攻擊者知道企業將會使用哪種數據源以及如何檢測這些數據源的。因此,企業也需要了解攻擊者采用了哪些技術來繞過自己的檢測和防御措施。例如,攻擊者可能會創建錯誤和誤導性信息,讓終端檢測和響應解決方案失去作用。例如,暫停一個最初創建的進行,並進行日志記錄,然后修改其運行時命令和參數,然后繼續執行該進程,讓攻擊者提供的命令得以執行而不被記錄下來。然后將命令改寫回其合法版本,騙過運行時分析工具。
因此,青藤雲安全認為,安全人員也需要與時俱進,了解攻擊者的“欺騙手段”,才能讓ATT&CK發揮更大價值。