您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
新一代對抗作戰(zhàn)框架MITRE Engage V1版本正式發(fā)布
2022年2月28日,MITRE Engage 團(tuán)隊(duì)正式發(fā)布了 Engage V1 版本。我們都非常了解MITRE ATT&CK框架,但針對ATT&CK框架中的攻擊技術(shù),防守方如何進(jìn)行主動防御呢?Engage 矩陣的推出給了我們很好的答案。本文將介紹MITRE Engage的基本信息及如何將Engage進(jìn)行落地實(shí)踐。
1. MITRE Engage介紹
1.1 詳解MITRE Engage矩陣結(jié)構(gòu)
Engage矩陣在縱向上被分為兩類活動:戰(zhàn)略活動和作戰(zhàn)活動。
戰(zhàn)略活動:戰(zhàn)略活動(下圖黃色部分)是矩陣的基礎(chǔ),確保防御者按照戰(zhàn)略規(guī)劃和分析推動作戰(zhàn)行動。此外,戰(zhàn)略活動可以確保防御者收集了利益相關(guān)者(管理層、監(jiān)管機(jī)構(gòu)等)的要求并確定了可接受的風(fēng)險(xiǎn)。在整個行動過程中,防御者將確保所有作戰(zhàn)都在這些定義的規(guī)則范圍內(nèi)進(jìn)行。
作戰(zhàn)活動:作戰(zhàn)活動(下圖中間部分)是傳統(tǒng)的網(wǎng)絡(luò)阻斷和欺騙活動,用于推動實(shí)現(xiàn)作戰(zhàn)目標(biāo)。
圖1:Engage矩陣(黃色部分為戰(zhàn)略活動,中間部分為作戰(zhàn)活動)
Engage矩陣在橫向上被進(jìn)一步細(xì)分為目標(biāo)、方法和活動。矩陣的頂部是Engage目標(biāo),即用戶希望通過作戰(zhàn)能夠完成的高層次的結(jié)果。“準(zhǔn)備”和“理解”部分的重點(diǎn)是作戰(zhàn)的投入和產(chǎn)出。雖然矩陣是線性的,但它應(yīng)該被看作是循環(huán)的。隨著作戰(zhàn)的深入,用戶要不斷地調(diào)整作戰(zhàn)活動,以推動作戰(zhàn)目標(biāo)的進(jìn)展。作戰(zhàn)目標(biāo)包括“暴露”、“影響”和“引出”。這些目標(biāo)的重點(diǎn)是針對攻擊者采取的行動。下一行是作戰(zhàn)方法,確保用戶朝著選定的目標(biāo)取得進(jìn)展。其余部分是作戰(zhàn)活動,這些是在對抗作戰(zhàn)中使用的具體技術(shù)。
圖2:Engage矩陣中的作戰(zhàn)目標(biāo)、作戰(zhàn)方法與作戰(zhàn)活動
1.2 MITRE Engage與MITRE ATT&CK映射關(guān)系
當(dāng)攻擊者進(jìn)行某項(xiàng)特定行為時(shí),他們很容易暴露出一些意想不到的弱點(diǎn)。MITRE Engage研究了每項(xiàng) ATT&CK 技術(shù),來發(fā)現(xiàn)攻擊者的弱點(diǎn)并確定如何利用該弱點(diǎn)開展作戰(zhàn)活動。將各項(xiàng)Engage 作戰(zhàn)活動與 ATT&CK技術(shù)映射起來,可以確保 Engage 中的每項(xiàng)活動都是針對觀察到的攻擊者行為所開展的。
例如,當(dāng)攻擊者進(jìn)行遠(yuǎn)程系統(tǒng)發(fā)現(xiàn)的 ATT&CK 技術(shù) (T1018) 時(shí),他們很容易收集、觀察到欺騙性系統(tǒng)工件或信息。因此,作為防守方,我們可以使用誘餌讓他們暴露行蹤,使用更多或更高級的能力對付攻擊者,并影響他們的駐留時(shí)間。
對于給定的 ATT&CK 技術(shù),MITRE Engage提供以下映射:
ATT&CK ID & Name——ATT&CK技術(shù)ID和名稱
攻擊者缺陷——攻擊者在進(jìn)行特定行為時(shí)暴露的缺陷
作戰(zhàn)活動——防御者可以采取的行動來利用攻擊者暴露的漏洞
這些映射是一對多的關(guān)系(即單個 ATT&CK ID 可能對應(yīng)一個或多個不同的漏洞和作戰(zhàn)活動)。
圖3:MITRE ATT&CK與MITRE Engage的映射關(guān)系圖
1.3 Engage與傳統(tǒng)網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙之間關(guān)系
防守者通常會使用縱深防御技術(shù),來阻止攻擊者訪問網(wǎng)絡(luò)或關(guān)鍵資產(chǎn)。畢竟,任何時(shí)候攻擊者能夠訪問一個新的系統(tǒng)或從網(wǎng)絡(luò)中滲出一些數(shù)據(jù),他們就贏了。但是魔高一尺道高一丈,例如,當(dāng)防御者引入欺騙性技術(shù)時(shí),就能夠在一定程度上迷惑攻擊者,相關(guān)資產(chǎn)的不確定性能夠極大增加攻擊成本。
那Engage與傳統(tǒng)網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙之間有什么關(guān)系呢?如圖4所示:
圖4:網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙與對抗作戰(zhàn)的關(guān)系
網(wǎng)絡(luò)阻斷:是指阻止或以其他方式損害攻擊者開展行動的能力。
這種破壞可能限制他們的作戰(zhàn)和收集行為,或者降低攻擊者能力的有效性。
網(wǎng)絡(luò)欺騙:是指故意暴露欺騙性的資產(chǎn)或架構(gòu),以誘導(dǎo)攻擊者,同時(shí)隱瞞真實(shí)資產(chǎn),以防止攻擊者采取進(jìn)一步的行動。
對抗作戰(zhàn):是指在戰(zhàn)略規(guī)劃和分析的背景下,綜合使用網(wǎng)絡(luò)阻斷和網(wǎng)絡(luò)欺騙就形成了對抗作戰(zhàn)的基礎(chǔ)。
根據(jù)MITRE官方內(nèi)容介紹,對抗作戰(zhàn)的目標(biāo)包括:檢測網(wǎng)絡(luò)上的攻擊者;獲取情報(bào)以了解攻擊者及其TTP;通過提高成本影響攻擊者,同時(shí)降低其網(wǎng)絡(luò)行動的價(jià)值。當(dāng)對抗作戰(zhàn)與縱深防御技術(shù)搭配使用時(shí),防御者能夠主動地與網(wǎng)絡(luò)攻擊者“互動”,以實(shí)現(xiàn)防御者的戰(zhàn)略目標(biāo)。
整個對抗作戰(zhàn)是一個不斷迭代的、目標(biāo)驅(qū)動的過程,而不僅僅是技術(shù)堆棧的部署,絕不是部署一個誘餌就能取得成功的。相反,用戶必須認(rèn)真思考防御目標(biāo)是什么,以及如何利用拒絕、欺騙和對抗作戰(zhàn)來推動這些目標(biāo)的進(jìn)展。
2. MITRE Engage矩陣入門實(shí)踐
通過上文,我們已經(jīng)了解網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對抗作戰(zhàn)的概念,接下來我們介紹如何將對抗作戰(zhàn)流程和技術(shù)整合到防御策略中。我們會從研究Engage矩陣開始,這是開展對抗作戰(zhàn)策略的基礎(chǔ)。在討論和計(jì)劃網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對抗作戰(zhàn)活動時(shí),Engage矩陣提供了一個共享參考,彌合了防御者、安全廠商和決策者之間的差距。其核心是,Engage矩陣讓防御者確定了對抗作戰(zhàn)目標(biāo),然后根據(jù)這些目標(biāo)來確定他們的作戰(zhàn)活動。
2.1 如何將Engage矩陣整合到企業(yè)網(wǎng)絡(luò)戰(zhàn)略中來
雖然我們已經(jīng)探索了如何實(shí)施Engage矩陣,但我們尚未研究如何在企業(yè)更大的網(wǎng)絡(luò)戰(zhàn)略背景下應(yīng)用該矩陣及對抗作戰(zhàn)。
針對防御者的目標(biāo)而言,Engage 可以用來補(bǔ)充傳統(tǒng)的網(wǎng)絡(luò)防御策略。暴露、影響和引出等作戰(zhàn)目標(biāo)本質(zhì)上不是欺騙性的??梢韵胂蟮玫?,很多企業(yè)已經(jīng)在按照這些目標(biāo)來組織企業(yè)的安全實(shí)踐了。
雖然我們經(jīng)常將對抗作戰(zhàn)視為一種獨(dú)特的安全實(shí)踐,但最有效和最成熟的實(shí)施方式是將安全無縫集成到組織文化中。正如培訓(xùn)員工養(yǎng)成良好的網(wǎng)絡(luò)運(yùn)維習(xí)慣一樣,企業(yè)必須培訓(xùn)員工將欺騙視為最佳實(shí)踐。有時(shí),人們把欺騙病態(tài)化了,認(rèn)為欺騙本質(zhì)上是消極的、偷偷摸摸的和不誠實(shí)的。但是,Engage 認(rèn)為,防御者要將網(wǎng)絡(luò)阻斷和欺騙活動常態(tài)化,將其視為常規(guī)、必要和智能的安全實(shí)踐。
2.2 Engage實(shí)踐的四要素
一次成功的對抗作戰(zhàn)活動可以分解為四個部分:故事敘述、作戰(zhàn)環(huán)境、監(jiān)控和分析。故事敘述是指用戶計(jì)劃向攻擊者描述的欺騙故事。作戰(zhàn)環(huán)境是一套精心定制的、高度感知化的系統(tǒng),需要根據(jù)每次作戰(zhàn)情況來設(shè)計(jì),作為故事敘述的背景。這些系統(tǒng)可以是完全隔離的,也可以是集成到生產(chǎn)網(wǎng)絡(luò)中的。監(jiān)控是指用于觀察攻擊者在環(huán)境中移動的收集系統(tǒng)。監(jiān)控對于在整個作戰(zhàn)中保持行動安全至關(guān)重要。最后,分析是指用戶采取一些行動,將行動的產(chǎn)出轉(zhuǎn)化為可操作的情報(bào)。連接所有這四個要素的紐帶就是作戰(zhàn)目標(biāo),包括:暴露網(wǎng)絡(luò)上的攻擊者、通過降低攻擊者的行動能力來影響攻擊者、和/或獲取情報(bào)以了解攻擊者的TTP。下圖為開展對抗作戰(zhàn)行動時(shí)應(yīng)該圍繞這幾大要素考慮的問題。
圖5:開展對抗作戰(zhàn)行動時(shí)應(yīng)考慮的問題
2.3 Engage實(shí)踐落地流程:收集、分析、確認(rèn)、實(shí)施
對抗作戰(zhàn)行動應(yīng)該是一個根據(jù)新情況、新機(jī)會不斷迭代、不斷改進(jìn)和變化的作戰(zhàn)活動。Engage矩陣旨在推動討論和規(guī)劃活動,而不是一刀切地涵蓋對抗作戰(zhàn)活動的所有情況。MITRE Engage周期圖說明了Engage矩陣是如何在一次作戰(zhàn)過程中實(shí)施的。
圖6:MITRE Engage周期圖
這個周期沒有確定的開始或結(jié)束,但在這個模型中,我們首先要從采集器或Agent收集原始數(shù)據(jù)。這種收集與收集工具無關(guān),只是指收集方法,收集工具可以是Sysmon、Auditd等,也可以是廠商提供的EDR等工具。然后,下一步是在現(xiàn)有CTI數(shù)據(jù)的背景下分析原始數(shù)據(jù)。在這里,我們可以使用MITRE ATT&CK等工具,對這些新數(shù)據(jù)進(jìn)行背景分析。通過分析攻擊者的行動,并將這些數(shù)據(jù)與過去的行為進(jìn)行比較,防御者可以了解攻擊者當(dāng)前的活動、甚至可以預(yù)測其未來的活動。掌握了這些知識,防御者可以使用 Engage矩陣來確定作戰(zhàn)機(jī)會,以達(dá)到防御目標(biāo)。
2.4對抗作戰(zhàn)實(shí)施:10步流程法
結(jié)合對抗作戰(zhàn)的四大作戰(zhàn)要素,我們可以概括出對抗作戰(zhàn)行動的流程。但企業(yè)通常無法有效規(guī)劃如何在其網(wǎng)絡(luò)中、以及在網(wǎng)絡(luò)的哪些位置進(jìn)行網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對抗作戰(zhàn)活動。如前所述,對抗作戰(zhàn)是一個不斷迭代的、目標(biāo)驅(qū)動的過程,而不僅僅是技術(shù)堆棧的部署。為此,MITRE Engage制定了 10 步流程法來幫助企業(yè),將對抗作戰(zhàn)活動納入到網(wǎng)絡(luò)防御流程中。
10 步流程法對于資源有限或安全計(jì)劃不太成熟的組織尤其重要。如果企業(yè)能夠明確定義作戰(zhàn)目標(biāo),就可以緊密圍繞這些目標(biāo)有效縮小作戰(zhàn)范圍。所以,即使是小型組織也可以在資源有限的情況下將對抗作戰(zhàn)整合到他們的防御策略中!
“Engage 10步流程法”分為三類:準(zhǔn)備、作戰(zhàn)和理解。在準(zhǔn)備階段,用戶確定作戰(zhàn)目標(biāo)。然后,用戶要構(gòu)建一個支持這一目標(biāo)的故事敘述,為作戰(zhàn)環(huán)境的設(shè)計(jì)和所有的作戰(zhàn)活動提供參考。在這一階段,用戶還可邀請任何利益相關(guān)者來確定可接受的風(fēng)險(xiǎn)水平。通過預(yù)先設(shè)定風(fēng)險(xiǎn)水平,用戶就可以構(gòu)建清晰的作戰(zhàn)規(guī)則(RoE)。監(jiān)控和分析能力應(yīng)足以確保作戰(zhàn)活動保持在這些范圍內(nèi)。在作戰(zhàn)階段,用戶要實(shí)施和部署他所設(shè)計(jì)的活動。最后,在理解階段,用戶可以把作戰(zhàn)產(chǎn)出轉(zhuǎn)化為可操作的情報(bào),以評估是否達(dá)到了作戰(zhàn)目標(biāo)。而且,這種評估有助于用戶進(jìn)行經(jīng)驗(yàn)總結(jié),以便完善未來的作戰(zhàn)活動。
圖7:10步流程法
步驟1:評估對攻擊者和組織的了解情況
孫子說,知己知彼,百戰(zhàn)不殆;不知彼而知己,一勝一負(fù);不知彼,不知己,每戰(zhàn)必殆。
這句話在網(wǎng)絡(luò)作戰(zhàn)中也是正確的。創(chuàng)建威脅模型來了解組織的風(fēng)險(xiǎn)、漏洞和優(yōu)勢,這是規(guī)劃有效的對抗作戰(zhàn)行動的基礎(chǔ)。在威脅模型中,防御者必須識別組織的關(guān)鍵網(wǎng)絡(luò)資產(chǎn)。同樣,防御者應(yīng)該使用網(wǎng)絡(luò)威脅情報(bào)來了解威脅形勢。
步驟2:確定作戰(zhàn)目標(biāo)
在了解自己的優(yōu)勢、劣勢和威脅的基礎(chǔ)上,防御者應(yīng)該確定他們的作戰(zhàn)目標(biāo)。這些目標(biāo)應(yīng)反映已確定的優(yōu)先事項(xiàng)。對于成熟的組織,對抗作戰(zhàn)是組織戰(zhàn)略的核心支柱,這些目標(biāo)也應(yīng)該反映這個更大的戰(zhàn)略。這些目標(biāo)應(yīng)該是具體的、可衡量的行動,讓防御者能夠推動實(shí)現(xiàn)更大、更具戰(zhàn)略性的目標(biāo)。在確定作戰(zhàn)目標(biāo)時(shí),防御者還應(yīng)確定目標(biāo)攻擊者,即某次作戰(zhàn)行動優(yōu)先針對的攻擊者。可以出于多種原因選擇目標(biāo)攻擊者。目標(biāo)攻擊者可能是過去以你的組織或與類似的組織為目標(biāo)的威脅。目標(biāo)攻擊者也可以是威脅情報(bào)中存在差距的地方。無論出于何種原因,有了目標(biāo)攻擊者,都可以讓防御者集中注意力并優(yōu)先考慮作戰(zhàn)活動。
步驟3:確定你希望攻擊者作何反應(yīng)
現(xiàn)在,防御者必須確定他們希望攻擊者在作戰(zhàn)期間作何反應(yīng),以便朝著作戰(zhàn)目標(biāo)取得進(jìn)展。重要的是要記住攻擊者的想法和他們的反應(yīng)之間是有區(qū)別的。如果防御者只考慮他們認(rèn)為攻擊者會怎么想,就很容易誤判攻擊者的反應(yīng)。這種不匹配可能導(dǎo)致攻擊者做讓防御者意外的反應(yīng)。
步驟4:確定你希望攻擊者感知到什么
現(xiàn)在防御者已經(jīng)確定了攻擊者應(yīng)該會作何反應(yīng),接下來,防御者就該考慮攻擊者應(yīng)該在環(huán)境中感知到哪些東西來支持實(shí)現(xiàn)作戰(zhàn)目標(biāo)了。這時(shí),防御者必須計(jì)劃好將哪些事實(shí)和虛假信息暴露給攻擊者,應(yīng)該將哪些信息向他們隱藏起來。
步驟5:確定與攻擊者互動的渠道
在確定了攻擊者應(yīng)該作何反應(yīng)以及他們應(yīng)該感知到哪些事情之后,防御者必須探索可用的手段來向攻擊者展示這種效果。作戰(zhàn)環(huán)境和作戰(zhàn)故事敘述都可以充當(dāng)攻擊者被欺騙的渠道。
步驟 6:確定成功和把控標(biāo)準(zhǔn)
在規(guī)劃對抗作戰(zhàn)行動時(shí),防御者必須了解怎樣算是成功和失敗。每次操作都存在風(fēng)險(xiǎn)因素。通過設(shè)置可接受與不可接受風(fēng)險(xiǎn)的明確界限,防御者可以創(chuàng)建明確的把控標(biāo)準(zhǔn),或觸發(fā)作戰(zhàn)活動結(jié)束與暫停的節(jié)點(diǎn)。這樣,防御者可以避免在作戰(zhàn)過程中出現(xiàn)任何混亂、事故或其他可預(yù)防的風(fēng)險(xiǎn)。此外,在觸發(fā)把控標(biāo)準(zhǔn)的情況下,防御者應(yīng)確定明確的響應(yīng)行為,知道超出某些標(biāo)準(zhǔn)時(shí)應(yīng)該如何進(jìn)行響應(yīng)。最后,應(yīng)該清楚地了解作戰(zhàn)目標(biāo)是否成功完成。如果成功的定義不明確,很容易因?yàn)樽鲬?zhàn)持續(xù)時(shí)間過長或忽視初始目標(biāo)而浪費(fèi)資源。
步驟7:執(zhí)行作戰(zhàn)行動
此時(shí),作戰(zhàn)行動從計(jì)劃轉(zhuǎn)向執(zhí)行。防御者實(shí)施計(jì)劃的作戰(zhàn)活動并開始積極與攻擊者作戰(zhàn)。接下來的步驟是分析,這些步驟不應(yīng)僅在達(dá)到預(yù)定把控標(biāo)準(zhǔn)后才考慮,而是應(yīng)該不斷地分析作戰(zhàn)情況,不斷迭代、優(yōu)化實(shí)施細(xì)節(jié)。在整個行動過程中,防御者應(yīng)該不斷地循環(huán)規(guī)劃、執(zhí)行和分析,促使作戰(zhàn)活動達(dá)到既定目標(biāo)。
步驟8:將原始數(shù)據(jù)轉(zhuǎn)化為可操作的情報(bào)
隨著行動的進(jìn)行,作戰(zhàn)的原始輸出結(jié)果應(yīng)提煉為可操作的情報(bào),這可以確保作戰(zhàn)活動的結(jié)果對于防御者是有用的。提煉情報(bào)的一種關(guān)鍵方法是使用數(shù)據(jù)分析。通過數(shù)據(jù)分析,防御者可以將作戰(zhàn)期間收集的原始數(shù)據(jù)映射生成攻擊者的攻擊行為。行為分析等自動化分析對于產(chǎn)生有意義的情報(bào)至關(guān)重要。在這一步驟中產(chǎn)生的情報(bào)可以酌情在組織內(nèi)部和外部共享,并用于改善威脅模型和未來的防御活動。
步驟9:反饋情報(bào)
從作戰(zhàn)中獲得的可操作情報(bào)必須反饋到現(xiàn)有威脅模型中,以便為未來的決策提供信息。每次更新威脅模型時(shí),都必須重新審視利用原有情報(bào)做出的作戰(zhàn)決策。
步驟10:分析成功和失敗,為未來的活動提供信息
每當(dāng)達(dá)到把控標(biāo)準(zhǔn)時(shí),就必須分析作戰(zhàn)中成功和失敗的地方。通過回顧,團(tuán)隊(duì)可以分析作戰(zhàn)中的事件,確保朝著實(shí)現(xiàn)作戰(zhàn)目標(biāo)發(fā)展。這包括回顧規(guī)劃、實(shí)施、對抗活動和產(chǎn)生的影響。除了回顧作戰(zhàn)情況之外,還要評估團(tuán)隊(duì)和其他利益相關(guān)者的溝通和合作情況。雖然這類審查應(yīng)在作戰(zhàn)行動結(jié)束時(shí)進(jìn)行,但在長期作戰(zhàn)時(shí),應(yīng)定期進(jìn)行,這對于確保實(shí)現(xiàn)作戰(zhàn)目標(biāo)至關(guān)重要。
文章來源:青藤云安全