当今的网络安全框架多是创建在防御的方面,值得注意的是,近年也有以剖析攻击面为出发的网络安全框架,而MITRE ATT&CK就是典型的例子,它对于攻击流程的定义,提出了更有系统性的归纳,成为简单易懂的模型与通用语言,这也让各家网络安全企业在说明网络攻击链(Cyber Kill Chain)时,有统一的标准去依循,而企业也可通过这样的工具,更方便地理解攻击者行为带来的安全风险。
MITRE是何方神圣?它是美国非盈利组织,除了协助进行多项网络安全相关研究,同时,也是运维CVE漏洞数据库背后的组织,而ATT&CK框架的研究计划,是该组织在2015年5月发起。
近年来,MITRE ATT&CK逐渐受到重视,而国内大多数人对此概念可能还很陌生,因此这次我们也找到熟悉此议题的专家,帮助我们更进一步了解,他是OPSWAT亚太区副总经理林秉忠,在去年上半年就曾公开介绍过ATT&CK框架。
对于这套架构的理解,林秉忠先从Cyber Kill Chain谈起。他指出,近年各家网络安全公司发布许多网络威胁情资或报告,其中描述某一组织在攻击行为的步骤。因此可供企业当成掌握攻击流程与防范的参考,以采取必要的预防或控制战略,像是借由打断Cyber Kill Chain来防御,以及在网络安全鉴识时可辅助解析过程。
然而,各网络安全企业定义的Cyber Kill Chain不尽相同,从入侵初始到结束的过程其中,林秉忠指出,有些企业画分为5个阶段,有些企业则是7个或9个等,也因此,各家企业对同一事件报告的描述会有出入。
而MITRE提出的ATT&CK框架,是将入侵期间可能发生的情况,做出更细的画分,区隔出11个策略阶段。包括:入侵初期、执行、权限提升、防御逃避、凭证访问、发现、横向移动、收集、渗透、指挥与控制。
同时,针对攻击方在每个阶段,MITRE也将所使用的手法工具搜集起来,归类为知识库,如此一来,将有助于我们理解攻击者具备的能力。
让攻击描述能有通用语言,有望帮助入侵事件的讨论解释等沟通
更进一步而言,林秉忠指出ATT&CK的最大价值,是可以加速各界的沟通。因为在此框架创建之后,不论是企业跟企业之间的讨论,向管理层与客户解释复杂的概念,或是要进行攻防演练,都会变得较为容易。同时,这也影响了网络威胁情资的数据交换。
举例来说,过去每家网络安全企业发布关于APT组织的报告,通过文本描述了攻击的手法,包括黑客初期的研究、攻击潜伏、水平扩散等一系列的过程,但这种“说故事”的方式,其实不够“结构化”,相关图表也是依照各自定义的Cyber Kill Chain而设计。
而MITRE ATT&CK的优势在于,提供了统一且结构化的方式,去描述攻击者手法与行为,只要使用一张框架去呈现,就能看出攻击者所使用的策略与手法,并能有更一致的过程来确定威胁的阶段。简单来说,就是通过标准化、架构化的信息,可以更快速审查网络安全事件的全貌。
例如,在针对某一黑客组织的侧写时,各家网络安全厂商,甚至一般企业,皆可通过MITRE ATT&CK的框架,很快就能描述攻击者如何准备,以及发起和执行攻击。
换言之,这将有助于所有人理解已知攻击者行为可能带来的安全风险,不论是网络安全企业或企业,都可以借此改进他们的检测和预防方法。例如,对于企业而言,能帮助评估与选择适合的工具,以改善其网络防御。像是优先关注对企业最具威胁的组织,以考量相应的安全措施。
搭配自动化攻击模拟,可进一步帮助评估EDR产品成效
近期,MITRE ATT&CK开始变得更受注目,不仅是有越来越多网络安全企业使用此框架,用以描述网络攻击的复杂性,并且还能进一步帮助评估安全防护产品。林秉忠指出,通过MITRE ATT&CK对于黑客组织的侧写,不仅能清楚知道该组织的攻击手法,更好的用处是在帮助企业进行攻防演练,以及验证防御工具是否能够带来与预期相符的成效。
例如,现阶段流行的端点侦测与回应EDR产品,企业在导入采购时要如何验证其有效性?因此企业可能面临的困扰,在于不容易评估各家产品。而在有了ATT&CK之后,当网络安全企业公布某一APT组织的报告,企业可将情资依照此框架填入,接下来,再运用自动化的攻击模拟平台(Automated Adversary Emulation),帮助企业创建一个模拟红队的攻击,并审查EDR产品是否能够捕捉到这些攻击行为,就能当成企业在评估这类产品的一种参考信息。
以目前市面上的自动化攻击模拟平台来看,林秉忠表示,有不少开放源码的工具,像是Caldera、Red Team Automation等,也就利用了ATT&CK框架来模拟攻击行为,甚至还有像是RedHunt OS这样的开机光盘工具,集成了丰富的威胁情报、记录分析与自动化攻击模拟工具,可以让用户更容易去应用与执行。
MITRE去年发起评估计划,已有7家企业参与2家跟进
另一方面,许多企业要求网络安全企业融入ATT&CK,网络安全企业也在产品中使用ATT&CK,以便于在客户沟通时能用通用的语言。
甚至,在2018年11月,MITRE还公布了一项ATT&CK评估的计划结果,这是他们为了评估安全产品而进行的计划,在去年4月,共有7家企业表示愿意参与,包括Carbon Black、CounterTack、Crowdstrike、Endgame、微软、RSA与SentinelOne。该计划使用了ATT&CK框架的评估方法,并以APT3组织的攻击行为,来评估安全企业产品的能力,目的是希望帮助企业提高安全能力。
在这次评估计划中,MITRE也定义了9种侦测类别,以便于企业沟通讨论。而用户在评估结果的网页上,也可借由ATT&CK矩阵,审查各厂商产品对于APT3组织的各式手法侦测能力。
而这样的作法,也确实吸引到更多网络安全人员与相关企业。例如,全球市调研究机构Forrester的资深分析师Josh Zelonis在去年12月表示,他对于这项ATT&CK评估计划感到兴奋,但对于评估结果还是有些失望,因为他认为缺乏评分机制,所以,他自己提出了一套评分标准,将不同的侦测类别,画分5分、3分、1分与0分。
而且,在今年2月中,我们也看到FireEYE与Cybereason跟进了ATT&CK评估方式,甚至FireEye发布消息,表明他们使用了Josh Zelonis的评分方式,让自己的产品与上述7家企业相比,以说明自家端点安全产品的有效性。
长期而言,ATT&CK框架的应用及发展,都值得各界关心网络安全的人士多加注意。事实上,近年MITRE为了推动ATT&CK,也做了很多努力,像是在这份知识库中,对于所有入侵策略所采用的各式技术手法,都有详细介绍,现阶段已累积223个手法,还包括哪些黑客集团使用该手法,并有减缓与侦测的相关说明。
为了要让此框架更容易使用,在2018年3月,MITRE还推出了名为ATT&CK Navigator的网页应用程序,接口风格类似Excel试算表,让用户应用ATT&CK矩阵可以更方便。
例如,这套线上服务具备了增加注释、底色与指定分数的功能,也有对应Windows、Linux与Mac平台的筛选器,让用户能主动的审查自身的防御范围,并能将结果导出成矢量图片文件或XLSX档。同时,接口上还提供像是业界定义的各个威胁组织与恶意程序,用户只要选择后,就能看到该组织或程序的所有攻击手法,以及所在的策略阶段。
附带一提的是,就名称而言,上述的ATT&CK框架,主要称之为ATT&CK for Enterprise,其实MITRE还提出了pre-ATT&CK,以及ATT&CK for Mobile ,将分别对应攻击前准备与行动的框架。
为了便于使用,MITRE也提供了ATT&CK Navigator网页应用,其中并汇集整理了相关威胁情报,像是用户选择APT3时,就可以看出该组织使用的策略与手法,而接口上也提供色彩、加注与导出等工具,方便用户运用。
在去年11月公布的ATT&CK Evaluations计划结果中,用户可在专属网页上审查参与的7家网络安全企业评估结果。例如,在微软的矩阵中可审查APT3所使用的各式攻击手法,能否被产品侦测,详细信息中也以图标说明对此手法的侦测类别。而在今年2月底时,我们又看到另外两家企业加入。