MITRE ATT&CK相关学习分享
2020-04-06 20:45:56 Author: wiki.ioin.in(查看原文) 阅读量:663 收藏

1. 前言

本文以提问&回答的形式整理笔者自身对于MITRE ATT&CK的相关学习。

过去一年来,国内网络安全圈最火的安全词汇就是MITRE ATT&CK了,这个词给大家带来了巨大想象空间,天然自带大流量,硬核热点属性,安全会议必提。

        接下来,向大家介绍下MITRE ATT&CK,在了解基本概念后,笔者再结合自身实际工作场景谈谈具体学习体会。

  • MITRE是什么?

  • MITRE ATT&CK是什么?

  • MITRE ATT&CK具体有什么?

  • 对于MITRE ATT&CK的感受是什么?

  • MITRE ATT&CK的对工作的帮助是什么?

2. MITRE是什么?

The MITRE Corporation是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织。MITRE运营有由联邦政府资助的研发中心,包括为美国联邦航空局(FAA)提供50多年支持的高级航空系统开发中心。除了和FAA保持长期合作关系外,MITRE还向各国民航管理机构、机场管理公司、航空公司及其他航空组织提供空中交通管理(ATM)系统工程、航空运营、空域设计以及系统自动化与集成等领域的专门知识和技术支持。

3. MITRE ATT&CK是什么?

        MITRE ATT&CK® IS A GLOBALLY-ACCESSIBLE KNOWLEDGE BASE OF ADVERSARY TACTICS AND TECHNIQUES BASED ON REAL-WORLD OBSERVATIONS. THE ATT&CK KNOWLEDGE BASE IS USED AS A FOUNDATION FOR THE DEVELOPMENT OF SPECIFIC THREAT MODELS AND METHODOLOGIES IN THE PRIVATE SECTOR, IN GOVERNMENT, AND IN THE CYBERSECURITY PRODUCT AND SERVICE COMMUNITY.

以上内容来自https://attack.mitre.org/的官页,笔者简单解读下。

MITRE ATT&CK是一个关于网络攻击者(adversary)战术和技术的全球可访问知识库(knowledge base)。这个知识库来自于真实世界的观察(可理解为对当前世界APT攻击分析而获得),可用于为私有部门、政府、网络安全产品和社区服务构建网络安全威胁模型和方案。

4. MITRE ATT&CK具体有什么?

在MITRE ATT&CK 的导航栏内,展示的是MITRE ATT&CK 对于安全知识库的基本逻辑。Matrices矩阵、Tactics战术 、Techniques技术 、Mitigations 缓解措施、Groups组织、Software软件,这六个概念内容各自独立,相互又有关联关系,如果组合在一个区域展示,那需要一个六维空间。

4.1 Matrices 矩阵

        MITRE认为,矩阵是展示MITRE ATT&CK知识库的关键形式,知识库矩阵的第一行是tactics(战术),其余的内容为techniques(技术),其关系为战术包含技术。tactics是techniques的抽象,比如第一个战术是Initial Access(初始化访问),我们要达成【初始化访问】tactics战术,可以使用的技术有drive-by compromise、Exploit Public-Facing Application等等,其中每个技术都有自身的定义。

4.2 Tactics 战术

        Tactics 战术是一个下拉菜单,里面有三个内容,PRE-ATT&CK Tactics、Enterprise Tactics、Mobile Tactics,这三个代表三个不同方面的战术。

        PRE-ATT&CK Tactics表示网络攻击前要做的准备规划,其中的战术有:Priority definition planning、Target selection等,在Target selection里,相关的技术有Determine approach/attack vector等。

        Enterprise Tactics表示,入侵企业网络的具体攻击战术。

        Mobile Tactics表示,入侵移动端设备的具体攻击战术。

4.3 Techniques 技术

        Techniques 技术这个链接也是如此,有三个选项,分别为PRE-ATT&CK、Enterprise、Mobile,点开后都是具体的网络攻击技术。比如刚才提到的Exploit Public-Facing Application,现在咱们仔细分析下,这个技术点开后是如下图所示。

        Exploit Public-Facing Application表示攻击已知应用(比如Weblogic,Struts2等),之后有一些解释。页面右边,有这个技术的基础属性,有ID,Tactic、Platform(理解为能使用这个技术的平台)等。Procedure Examples里有一些常见工具的举例,比如Havij,Sqlmap等。Mitigations里有一些对于这个技术的应对缓解措施,比如Application Isolation and Sandboxing、Network Segmentation等。Detection里解释了对于这个技术的检测手段,比如Monitor application logs监听应用日志,还比如Use deep packet inspection to look for artifacts of common exploit traffic。最下面是相关内容的References。

        整体看下来,表达的信息富有逻辑,并且非常详细。从解释、举例、缓解措施、检测、引用都面面俱到。对于有一定基础的同学,可以跟着Techniques的内容自行学习,补充该知识点的其他维度。

        但是MITRE ATT&CK提供的知识也仅限于,更深入的内容还需同学自身努力。

4.4 Mitigations 缓解措施

        Mitigations缓解措施这个链接有两个选项,一个是关于企业的,一个是关于移动设备的,表示企业侧和移动设备侧面对网络攻击可采取的具体缓解措施。比如刚才咱们提到的Network Segmentation(网络分割)就是一个缓解措施,MITRE ATT&CK提供的建议如下所示。

        中文翻译大概如下,对网络的各个部分进行架构设计,以隔离关键系统、功能或资源。使用物理和逻辑分割来防止访问可能敏感的系统和信息。使用DMZ区来contain面向互联网的服务,以便不暴露内部网络。

        简单看下来,MITRE ATT&CK对于建议的提供还是很不错,属于咨询级别,告诉大家做什么,具体怎么做,还得您自己探究。

4.5 Groups 组织

        Groups页面是笔者最喜欢的,这里面列举了大量APT组织,有头有脸的组织都在上面了,相当于把各个山头的土匪都说了下。但是也非常不客观,比如老美自身的组织提都不提,笔者希望这部分能开源化,全世界共同维护这个列表。

        抛开政治问题,能否上榜,其实也是衡量自身攻击水平的标尺。

4.6 Software 软件

        这里面全是一些黑客攻击工具,咱们国内著名的China Chopper、ASPXSpy,日常使用的Cobalt Strike,Sqlmap都榜首有名。对于攻击者,如果能把这里面的工具都熟练使用,也非常厉害。同理对于防御者,能把这里面的工具都能具备入侵检测的能力,也非常厉害。

4.7 Resources 资源

        这里是一些其他的东西,如通用信息,如何开始等。也挺好的。

5. 对于MITRE ATT&CK的感受是什么?      

        首先MITRE ATT&CK给大家了一个非常好的关于网络入侵战术技术知识库,帮助大家快速了解关于网络攻击的战术和技术,以及这些知识点背后关联的其他内容,大家把MITRE ATT&CK理解成安全知识的词典就很好。

        笔者最赞叹MITRE ATT&CK的一点,就是它把各个概念点都富有逻辑的串联起来,使之整体成为一个饱满的知识框架!如果谁把MITRE ATT&CK的内容都背下来,成为一个顶级的安全咨询顾问,那是肯定没问题,跟客户、大咖对答如流,滔滔不绝。

        MITRE ATT&CK把安全领域里大家想知道的概念都写的很清楚,但是MITRE ATT&CK也仅限于告诉大家这些是什么,做什么。具体怎么做,还需要大家细细研究,这里面每一个技术点都有很多复杂且深入的内容。

        如果想把MITRE ATT&CK用好,还需耐心把MITRE ATT&CK通览一遍,虽然这个过程很痛苦。这就好比你的知识量就那么大,但是要看一本医学词典,内容get不了,知识迁移不了,逻辑理解不了,但是还要学,只能生啃。就笔者而言,MITRE ATT&CK的知识量远超我自己的知识储备的,那么学习MITRE ATT&CK我选择先对自身知识储备内的进行理解与学习,然后根据需要进行其他知识的扩展。当然,想要全面理解,自身实践也是必不可少的。

6. MITRE ATT&CK的对工作的帮助是什么?

        笔者在工作中是这样使用MITRE ATT&CK的,作为下一代安全感知产品的研发者,我必须要知道产品解决的安全场景是否足够全面,具体有哪些不足。以前没有MITRE ATT&CK的时候,需要集合团队所有人的知识,不停进行梳理总结,以求构建全面的、可靠的、稳定的安全场景。而现在我只需要把MITRE ATT&CK的内容抓取下来,在里面找到有Network Traffic和Network Intrusion Prevention关键字的页面,简单梳理下即可得到在traffic侧做安全攻防对抗的技术点,继而构建起非常全面的知识框架,与此同时,再根据已知的框架内容举一反三,最终得到更为优质的安全场景。同理你还可以搜索其他的关键字。

        MITRE ATT&CK最大的价值,是根据自身知识去碰撞MITRE ATT&CK的知识库框架,再根据MITRE ATT&CK的知识库举一反三到实际工作的知识点,MITRE ATT&CK起到作用是先是指引者,再是抛砖引玉。

7. 后记

        如果想加入我们360安全,一起玩转入侵检测和渗透技术,请联系笔者【粘豆包】。

        如果有企业想试用业内最先进的入侵感知产品之一的——360AISA,请联系笔者【粘豆包】。相关资料也可以访问产品的官网【https://aisa.360.cn

8. 相关引用与参考

《ATT&CK 101》https://medium.com/mitre-attack/att-ck-101-17074d3bc62

《mitre-getting-started-with-attack》https://www.mitre.org/sites/default/files/publications/mitre-getting-started-with-attack-october-2019.pdf


文章来源: https://wiki.ioin.in/url/k40N
如有侵权请联系:admin#unsafe.sh