红蓝对抗之蓝队防守:ATTCK框架的应⽤
HACK之道
源:HACK之道
⽂章来源:
⽂章来
企业⼤规模数字化转型的浪潮下,各类⽹络⼊侵事件频发、APT和⿊客团伙活动猖獗,合规性驱动的传统安全防护建设已⽆法满⾜需求。近年来随着各级红蓝对抗⾏动的开展,企业安全建设正逐步向实战化转型,⽽MITRE(⼀个向美国政府提供系统⼯程、研究开发和信息技术⽀持的⾮营利性组织)提出的ATT&CK框架正是在这⼀过程中能够起到指导性作⽤的重要参考。 ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上,被F-Secure评为⼗⼤关注热点。ATT&CK是⼀套描述攻击者战术、技术和执⾏过程的共享知识库,能够关联已知的⿊客组织、攻击⼯具、检测数据源和检测思路、缓解措施等内容。ATT&CK能够全⾯覆盖洛克希德-马丁公司提出的Kill Chain内容,并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATT&CK分为三个部分,分别是PRE- ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。其中,PRE-ATT&CK包含的战术有优先级定义、选择⽬标、信息收集、脆弱性识别、攻击者开放性平台、建⽴和维护基础设施、⼈员的开发。ATT&CK for Enterprise包括的战术有初始化访问、执⾏、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及⿊客团伙的披露信息进⾏分析梳理的详细信息能够有效指导实战化的红蓝对抗,⽬前已在多个领域得到较好的应⽤。
在红蓝对抗中,防守⽅都可以按照事前、事中、事后三个阶段进⾏应对,在ATT&CK框架的指导下实现安全体系建⽴、运营和提升的闭环改进。
⼀、准备阶段
攻击⾯评估
甲型血友病
攻击⾯指企业在遭受内、外部⼊侵时可能的起始突破点或中间跳板,包括但不限于:对外提供业务的Web系统、邮件系统、VPN系统,对内提供服务的OA系统、运维系统、开发环境,员⼯使⽤的各类账号、办公终端等。
企业的攻击⾯是⼴泛存在的,在企业内进⾏攻击⾯评估属于信息收集和脆弱性识别的过程,能够帮助企业在早期应对攻击者⼊侵活动。该过程映射到攻击链中属于“侦察”阶段。
由于攻防的不对称性,在红蓝对抗中防守⽅往往处于弱势,攻击⽅只需要单点突破即可,⽽防守⽅需要建⽴覆盖所有攻击⾯的纵深防御体系,很难信息收集阶段,是为数不多的防守⽅占优的阶段,主要原因包括:
做到万⽆⼀失。但在信息收集阶段,是为数不多的防守⽅占优的阶段,主要原因包括:
1. 攻击⽅只能通过互联⽹公开信息(Google、社交⽹站、Github)或传统社⼯⽅式获取部分企业信息,⽽防守⽅能够获得完整的企业内部信息,包括⽹络架构、业务系统、资产信息、员⼯信息等等,掌握以上信息不但能够梳理潜在⼊侵点、发现防御中的薄弱环节,还能够结合诱骗或欺诈技术(Deception,如蜜罐),在攻击者能够获取到的信息中埋点,实现类似软件“动态污染”的检测和追踪效果。
通过有限的代价获取最⼤攻击者⼊侵难度提升,具有2. 攻击⾯评估能够在特定阶段(如重保时期)通过采取更严格的管控措施降低⼊侵风险,通过有限的代价获取最⼤攻击者⼊侵难度提升
很⾼的投资回报率。例如,获取VPN通道,相当于突破了企业传统的防护边界,直接获取内⽹漫游的权限。在特定情况下,通过增强VPN防护,能够⼤⼤缩减攻击者⼊侵成功的可能性。突破VPN主要有2种⽅式,利⽤VPN服务器本⾝的漏洞或通过合法VPN账号⼊侵。对于第⼀种⽅式,关注VPN⼚商漏洞披露信息、做好补丁升级管理,能够有效减少⼤部分威胁;对于利⽤0day漏洞攻击VPN获取远程访问权限的场景,通过VPN⾃⾝⽇志审计的⽅式,关联VPN账号新建、变更及VPN服务器⾃⾝发起的访问内⽹的流量,也能够及时发现未知的漏洞攻击⾏为。对于第⼆种攻击VPN合法账号的⼊侵⽅式,增加VPN账号的⼝令复杂度要求、临时要求修改VPN账号⼝令并增加双因⼦验证(如绑定⼿机号短信验证),都可以在牺牲部分⽤户体验的情况下极⼤削减攻击者攻击成功的可能性。
ATT&CK框架内所有攻击技术都有对应的攻击⽬的和执⾏攻击所需的环境、依赖,对其分解可以提取每项攻击技术适⽤的攻击对象,参照企业内的资产和服务,评估攻击⾯暴露情况和风险等级,能够帮
助制定有效的攻击⾯缩减、消除或监控⼿段。例如,防守⽅需要在红蓝对抗前检查企业内部的共享⽬录、⽂件服务器、BYOD设备是否符合安全基线要求,是否存在敏感信息,并针对这些内容设定合规性要求和强制措施,以缩减该攻击⾯暴露情况。
人种学综上,ATT&CK框架可以帮助防守⽅了解攻击⽬标、提炼攻击⾯并制定攻击⾯缩减⼿段,同时也能够通过攻击⾯评估为后续增强威胁感知能⼒、总结防御差距、制定改进⽅案提供参考标准。
威胁感知体系建⽴
传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系,⽆法及时有效地监测威胁事件、安全风险和⼊侵过程。威胁感知体系的建⽴,可以有效地把孤⽴的安全防御和安全审计⼿段串联起来,形成完整的企业安全态势,为防守⽅实现实时威胁监控、安全分析、响应处置提供基础。建⽴威胁感知体系主要包括以下准备⼯作:
1.数据源梳理:数据是实现安全可见性的基础元素,缺少多维度和⾼质量的数据会严重影响监控覆盖⾯;同时,很多企业会为了满⾜⽹络安全1.数据源梳理:
教子一得法、等保标准等法律和标准要求存储⼤量设备、系统和业务⽇志数据。因此,在数据源的规划、管理上,由威胁驱动的数据源需求和由合规驱动的⽇志数据留存,存在匹配度低、使⽤率低、有效性低的诸多问题,需要防守⽅加以解决。
* We can’t detect what we can’t see.
在进⾏数据源规划时,需根据企业实际存在的攻击⾯、威胁场景和风险情况进⾏设计。例如:针对员⼯邮箱账号可能会遭受攻击者暴⼒破解、泄露社⼯库撞库的风险,需要采集哪些数据?⾸先需要考虑企业实际的邮件系统情况,⽐如使⽤⾃建的Exchange邮件服务,需要采集的数据包括:Exchange邮件追踪⽇志、IIS中间件⽇志、SMTP/POP3/IMAP等邮件协议⽇志。其次还需要具体考虑攻击者是通过OWA访问页⾯爆破?还是通过邮件协议认证爆破?还是通过Webmail或客户端接⼝撞库?不同的企业开放的邮箱访问⽅式不同,暴露的攻击⾯和遭受的攻击⽅法也有所区别,需要根据实情梳理所需的数据源。
在数据源梳理上,由于涉及到的威胁类型、攻击⽅法众多,考虑周全很困难,可以通过参考ATT&CK框架选取企业相关的攻击技术,统计所需的数据源类型,并梳理数据源采集、接⼊优先级。关于数据源优先级筛选,2019年MITRE ATT&CKcon 2.0会议上Red Canary发布的议题:Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使⽤的频率做了Top 10排序,如下图所⽰:
该统计结果并未考虑企业实际攻击⾯范围、数据源获取的难易程度等,不应⽣搬硬套照抄。但在⼤部分情况下可以考虑先构建包括⽹络镜像流量、终端⾏为审计⽇志、关键应⽤服务⽇志在内的基础数据源的采集规划,再通过实际的检测效果增强补充。
2. 检测规则开发:⼤数据智能安全平台(或参考Gartner所提的Modern SIEM架构)已逐步取代传统的SIEM产品,成为企业威胁感知体系的核⼼⼤脑。传统的攻击检测⽅法⼤多是基于特征签名(Signature),采⽤IOC碰撞的⽅式执⾏,在实际攻防对抗过程中存在告警噪⾳过多、漏报严重、外部情报数据和特征库更新不及时等问题,且在防守⽅看来⽆法做到检测效果的衡量和能⼒评估。因此,新的检测理念需要从⾏为和动机出发,针对攻击者可能执⾏的操作完善审计和监控机制,再采⽤⼤数据关联分析的⽅式去识别攻击活动。
ATT&CK框架在这⾥就起到了⾮常重要的参考作⽤,框架中的每项攻击技术,知识库都描述了相应的检测⼿段和过程,以T1110暴⼒破解为例,其Detection描述如下图所⽰。
虽然没有抽象出具体检测⽅法、检测规则,但提炼出了需要监控的设备以及能够提炼攻击痕迹的⽇志。参考这部分描述,防守⽅能⾼效的通过相关资料收集、内部攻击技术模拟、特征提炼等⽅式完成检测⽅法和检测规则的开发、部署、测试。此外,⾼级持续性威胁(APT)使⽤了较多的⽩利⽤技术,⽆法有效区分攻击者和普通⼯作⼈员。但通过开发检测规则对数据源进⾏过滤提炼,打上技术标签,后续再综合所有异常⾏为能够发现此类攻击活动。这样再与传统的检测⽅法结合,就提供了更加有效的补充⼿段。
综上,威胁感知体系的建⽴,需要通过数据源梳理和检测规则开发来完成基础准备⼯作,ATT&CK框架可以帮助防守⽅快速了解所需数据源、并协助开发对应的检测规则,使防守⽅脱离安全可见性盲区,实现安全防护能⼒的可量化、可改进。
内部模拟对抗
为摸清⽬前⽹络安全防御能⼒并出薄弱点,部分企业会进⾏内部红蓝对抗模拟演练,ATT&CK知识库在模拟红队攻击、组织内部对抗预演上具有⾮常⾼的参考价值。
1.红队技术指导:ATT&CK框架包含了266种攻击技术描述,模拟红队可以借鉴其中部分技术进⾏特定战术⽬的的专项测试或综合场景测试。在开展内⽹信息收集专项测试时,可以通过参考并复现“发现”、“收集”战术⽬的下的攻击技术,对内⽹暴露的攻击⾯逐⼀测试;在开展模拟场景演练时,可以挑
选不同的战术⽬的制定模拟攻击流程,从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例,攻击技术链包括:钓鱼 -> hta执⾏ -> 服务驻留 -> 凭证获取 -> 远程系统发现 -> 管理员共享,如下图红⾊链路所⽰。
2. 蓝队效果评估:内部模拟对抗是企业防守⽅检查实际威胁感知能⼒的最佳⼿段,对蓝队来说具有查漏补缺的效果。攻击⾏为是否被记录、检测规则是否有效、有⽆绕过或误报、攻击⾯梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时,防守⽅也可以通过模拟演练提炼极端情况下的缓解预案,包括:临时增加防御拦截措施、增加业务访问管控要求、加强⼈员安全意识教育和基线管理等。
综上,内部模拟是红蓝对抗实战阶段验证所有准备⼯作有效性的⼿段,作为⼤考前的模拟考,对防守⽅具有很⼤的查漏补缺、优化完善的作⽤,⽽ATT&CK框架在这个阶段,对模拟红队攻击、协助蓝队查问题都起到了参考作⽤。
⼆、开展阶段
准备过程越充分,在实际红蓝对抗⾏动开展阶段对防守⽅来说就越轻松。经过验证的威胁感知体系在这⾥将起到主导作⽤。
可乐吧台球
资产风险监控
除了封堵、上报潜在的红队攻击IP外,对于已突破边界防护进⼊内⽹漫游阶段的攻击者,基于ATT&CK框架能够有效识别资产(终端/服务器)风险,发现疑似被攻陷的内⽹主机。
通过为每个资产创建独⽴的ATT&CK主机威胁分布矩阵图,汇聚该主机上近期被检测到的所有攻击技术活动,然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型,监控主机是否失陷。异常模型从以下三个维度识别攻击:
1.攻击技术分布异常:多个战术下发⽣攻击、某个战术下发⽣多个不同攻击等。
2. 攻击技术数量异常:主机上检测到⼤量攻击技术,与基线对⽐偏差很⼤。
3. 特定⾼置信度失陷指标:主机上触发了⾼置信度规则检测到的⾼风险告警(传统的Trigger机制)。
以下图为例,主机短时间内触发⼀系列“发现”战术下的攻击技术,这在⽇常运维中是较为少见的,与该主机或同类型主机基线对⽐偏差⾮常⼤。在受害主机被控制后可能会执⾏⼤量此类操作,故该机器风险很⾼,判定为失陷/⾼危资产。
根据采集的终端⾏为⽇志(包括:进程活动、注册表活动、⽂件活动和⽹络活动),可以通过唯⼀进程ID(GUID)进⾏⽗⼦进程关联操作。当发现可疑进程活动时,能够回溯该进程的进程树,向上直到系统初始调⽤进程,向下包含所有⼦进程,并且为进程树中所有可疑进程添加ATT&CK 攻击技术标签,如⽹络请求、域名请求、⽂件释放等丰富化信息,帮助防守⽅的安全分析⼈员判断该进程是否可疑并及时采取处置措施。
以下图为例,发现可疑进程后溯源其进程树,其中标记了感叹号的⼦进程为命中了ATT&C
K攻击技术的进程,⽆感叹号的⼦进程也属于该可疑进程树下,有可能是攻击者利⽤的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展⽰的信息,可以直观发现wscript 进程及其派⽣的powershell进程存在⼤量可疑⾏为,这些进程信息也为后续联动终端防护软件处置或⼈⼯上机排查处置提供了充⾜的信息。
应急响应对接
在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令⾏、进程创建⽂件、进程⽹络连接等信息提交给应急响应组进⾏清除⼯作。应急响应组通过以上信息可以快速在主机
上处置并开展⼊侵路径分析,通过回溯攻击者⼊侵植⼊⽊马的⼿段,进⼀步排查是否存在数据缺失、规则缺失导致的攻击漏报;并通过关联所有具有相似⾏为的终端,确认是否存在其他未知失陷资产。
以上基于ATT&CK框架建⽴的资产风险监控和可疑进程判定⽅法,能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹,并为溯源和应急响应处置提供数据⽀撑。⽽这些都脱离不了以威胁感知体系为核⼼的蓝队建设思路,更多与ATT&CK框架适配的应⽤⽅法也会在后续不断丰富、增强。
三、复盘阶段
防御效果评估
在红蓝对抗结束复盘阶段,防守⽅对防御效果的评估是⾮常重要的环节。具体包括以下内容:
安全设备漏报分析:结合攻击⽅提供的报告,把各个攻击类型归属到相应的安全检测设备,查看相关
中学数学教学参考
设备的告警与报告中的攻击过程是否匹配,分析当前安全设备检测能⼒,较低检出率的设备需要后续协调⼚商优化、更新规则等,以加强完善。
规则误报调优:在红蓝对抗开展阶段,为了确保对攻击⽅攻击过程的全⾯覆盖检测,通常会采⽤限制条件较宽松的规则检测模式,以防漏报对防守⽅造成的失分影响。例如,对暴⼒破解场景,触发告警的连续登录失败请求阈值可能设定的较低;对Webshell植⼊场景,可能对所有尝试上传动态脚本⽂件的⾏为都做监控或拦截,以防攻击者通过⼀些编码、混淆的⽅式绕过特征检测等。这些限制条件宽松的检测规则,在红蓝对抗过程中能够尽量减少攻击漏报,具有⽐较好的效果;但同时,由于限制不严导致的告警噪⾳也会随之增加。在红蓝对抗结束复盘过程中,需要对产⽣误报的数据和误报原因进⾏统计分析,完善检测规则逻辑、边界条件限制,配置适当的⽩名单过滤,为后续能够⽇常运营提供更具备可操作性和更实⽤的威胁检测规则。
攻击⾯再评估和数据可见性分析:在红蓝对抗准备和红蓝对抗开展阶段,防守⽅和攻击⽅分别进⾏了攻击⾯评估、攻击⽬标信息收集的⼯作,因此在复盘阶段可以通过对⽐双⽅掌握的攻击⾯信息和攻击⽬标的选择,来挖掘是否存在先前遗漏的边缘资产、未知攻击⾯,通过攻⽅视⾓查漏补缺。同时对遗漏的攻击⾯可以做相关的数据源需求分析,补充缺失的数据可见性和威胁感知能⼒。
防御差距评估与改进:针对红蓝对抗中发现的薄弱环节,防守⽅可以提炼改进⽬标、指导后续的安全
五笔字型练习建设⼯作。由于不同企业存在的攻击⾯差异性较⼤,重点关注的核⼼资产、靶标也有所差别,在准备过程中可能根据优先级选择了⽐较关键的⼏个领域优先开展,⽽通过红蓝对抗发现的其他薄弱环节,为后续开展哪些⽅向的⼯作提供了参考。例如,重点加强⽣产环境安全防护的,可能忽略了员⼯安全意识培训,导致被攻击者钓鱼的⽅式
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议