作者：经纬信安

ATT&CK

网络攻防不对称是当前网络安全面临的核心问题，欺骗防御是防御方为改变这种不对称格局而引入的一种新思路。近年来蜜罐等欺骗防御产品在攻防博弈中的应用愈发广泛，防御方也借此打破了攻防环境、信息不对称问题，给攻击者带来了一些不确定性。然而，现有网络欺骗技术没有形成固定且统一的形态，对攻击的感知依然被动。在应对攻击者的过程中，往往是被动僵硬地等待攻击者触发设备并报警，难以持续有效地应对攻击者在攻击过程中的变化。

ATT&CK的结合则弥补了欺骗防御对攻击者的攻击意图缺乏这一弱势，ATT&CK是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型，其抽象层次恰好可以比较好地将攻击手法和防守措施联系起来。通过ATT&CK模型，以剖析攻击面为关键，旨在攻击全链路上进行欺骗性防御部署，提高欺骗性防御的全面性和有效性。

基于ATT&CK框架进行欺骗防御的应用

ATT&CK创造性地统一了黑客行为描述，对杀伤链模型提到的黑客入侵生命周期做了完整的映射，并超越模型本身，进一步持续构建和积累黑客行为知识库，从而填平了长期以来防守远落后于攻击的沟壑。经纬信安将这宝贵的实战经验用以持续提升安全防御体系，应用于欺骗防御，更好地为防守方基于已知而对抗未知提供明确而强大的行动指导。

经纬信安基于ATT&CK框架进行欺骗性技术组合实现蜜阵诱捕的欺骗性防御系统，通过研究ATT&CK框架中每项战术下的每个技术点的攻击技术，将不同欺骗防御技术映射到攻击者的全生命周期，将攻击知识系统化的吸收并转化为针对性的对抗防御能力。

• 使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点，也就是上述图中的网络资产识别单元。结合当前环境中的网络资产情况，参考ATT&CK框架，根据攻击者能够采取的关键步骤中的战术、技术，综合考虑需要保护设备的特点情况，包括操作系统问题、网络环境、所提供的服务等，从初始数据库中选择合适的欺骗防御技术。结合该领域的网络情况，在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层的每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合，让欺骗防御安全地融入到业务系统之中。
• 所述统一管理平台收集防御蜜阵中获取的攻击者行为数据，将其上报给管理员并对其进行关联分析，分析结果自动化映射至ATT&CK框架中。ATT&CK使用攻击者的视角，比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。
• 同时，ATT&CK框架提供了对抗行动和信息之间的关系和依存关系，防御者就可以追踪攻击者采取每项行动的动机，并了解这些行动和依存关系。拥有了这些信息之后，安全人员的工作从寻找发生了什么事情，转变为按照ATT&CK框架，将防御策略与攻击者的手册对比，预测会发生什么事情。
• 进一步地，通过对每次攻击的TTP (tactics，techniques and procedure-TTP战术、技术和过程)进行分析，还能促进欺骗防御产品的优化改进。若该攻击技术在初始数据库中没有相对应的防御技术，即捕获到未知攻击，将蜜阵捕获的新的攻击技术反馈给ATT&CK，并完善初始数据库。

实际案例

经纬信安产品已成功应用于金融、互联网、高校等多个领域，这里分享一个案例，该事件是某单位服务器被挖矿蠕虫感染。

经纬信安使用如二步骤在企业网络中融合欺骗防御，于一不常用网断发现蠕虫样本，分析得知该网段服务器闲置许久，被挖矿蠕虫感染。基于ATT&CK知识库分析攻击者行为路径，结合产品记录日志，发现攻击源头来自于一边缘业务网站，有效地补充了防火墙、IDS等传统安全产品，对攻击者的TTP进行检测、防御、响应。

解决了什么？

• 因攻击不对称而产生的被动、滞后。欺骗防御利用攻击者基于前期探测获得信息决定下一步行动的特征来干扰攻击者的认知，着眼于攻击者本身，由静态规则防御转为动态主动防御。
• 对攻击者的攻击意图缺乏，难以实现对攻击者高性能的诱捕。经纬信安引入ATT&CK模型来使用相关欺骗技术以构造整个防御系统，从攻击者的视角规划蜜罐、蜜网和蜜阵，利用更深层次的粒度描述入侵期间可能发生的事情，在不同攻击阶段进行欺骗性防御，对攻击者的TTP进行检测、防御和响应。
• 现有网络欺骗技术没有形成固定且统一的形态。该应用采用自动化语言和框架，将欺骗防御技术模块化，让企业安全人员根据自身业务逻辑来完成相关插件的配置，自动化定制业务场景，更加贴合用户资产状况。
• 目前的行为分析依然存在提升空间。欺骗防御记录攻击者的活动和方法，将其映射至ATT&CK框架中，在从一个足够抽象的高度描绘了攻击步骤的同时，保留了足 够多的技术性细节来用于网络空间防御与研究。经纬信安分析结合ATT&CK的每个阶段针对性的部署安全控制措施，度量控制措施的相对有效性，帮助明晰安全投入的方向和演进路线。

总结

ATT＆CK让我们从行为的视角来看待攻击者和防御措施，经纬信安基于ATT&CK知识库在攻击者已知攻击路径节点都融合欺骗防御形成天罗地网，在实战对抗中稳步改进提升。