“防御总是比进攻更难,因为防御在某种程度上来说,总是被动的。这个概念在网络安全中尤其适用。在网络安全中,攻击者可以对组织中随意发起攻击,而苦逼的安全团队必须每次都必须要成功地防止攻击者攻击成功。”青藤云安全如是说。
由于这种天生的劣势,安全团队应始终在通过预测、预计对手的下一步行动,寻找更加主动的方法。使用杀伤链框架可以帮助安全团队深入对手的想法并了解其意图。我发现这个概念最有价值的衍生品就是MITRE ATT&CK矩阵,因为MITRE ATT&CK是一个基于真实网络攻击数据、内容丰富的数据库。
ATT&CK与众不同的地方
在2013年至2015年之间,非营利性安全公司MITRE开发了自己的网络杀伤链,并将其命名为ATT&CK(对抗战术、技术和常识)。ATT&CK侧重点在攻击后的检测,这一点与网络杀伤链不同,网络杀伤链是从对手对其目标进行侦察开始的。
ATT&CK不是按阶段划分的,而是将事件分解为12种“战术”(对手正试图做什么)、每种战术下有多种“技术”(对手的操作方式)。战术包括执行、防御规避和横向移动。技术更加具体,例如PowerShell、Modify Registry和远程桌面协议。MITRE根据对真实网络安全事件的研究,形成了规模庞大的对手行为矩阵。
在安全运营中使用ATT&CK矩阵的价值
成功进行网络攻击需要时间来开展,但是组织通常需要很长时间才能检测到攻击并识别到正在发生的事情。好消息是,如果组织可以在任何阶段检测和出、并扰乱攻击,即使网络已经受到攻击,攻击也不会成功。例如,对手的目标不只是在目标系统内提升权限,而是使用这些权限来达到泄露数据的最终目标。
使用ATT&CK框架进行网络安全事件分析,可以让您将不同战术和技术之间关联起来。这有助于安全团队在攻击完成之前就识别出正在进行的攻击,并让安全团队很好地了解对手已经做了什么以及下一步可能会做什么。
ATT&CK框架对于检测攻击特别有用,因为该框架是基于行为的模型,而不是基于签名的模型。由于ATT&CK可以预测常见的行为,因此不会被0day、攻击者为避免被检测出来而修改的失陷指标,或基于签名的系统的其他弱点所欺骗。
ATT&CK“技术”也与传统的失陷指标(IOC)有所不同,因为技术可能是出于恶意目的而采取的合法行动。换句话说,一旦对手攻破了系统并获得了权限,他们可能就不需要采取任何其他措施来触发传统安全工具的警报。ATT&CK技术描述了对手接下来可能会采取的行动,即使这些行动看起来像是正常活动。
青藤云安全表示,MITRE在对网络查杀链概念进行了延伸,利用了将事件分解为阶段的概念价值,并将其与基于行为的研究相结合,可与最佳威胁情报来源相媲美。无论是将MITRE ATT&CK矩阵内置在您的检测和响应工具中,还是只是标准化安全团队如何讨论高级持续性威胁的一种方法,MITRE ATT&CK矩阵都应该在您的安全运营中占据一席之地。