用MITRE ATT&CK框架识别攻击链，让攻击手法描述有一致标准最新消息

当今的资安框架多是建立在防御的面向，值得注意的是，近年也有以剖析攻击面为出发的资安框架，而MITRE ATT&CK就是典型的例子，它对于攻击流程的定义，提出了更有系统性的归纳，成为简单易懂的模型与通用语言，这也让各家资安业者在说明网络攻击链（Cyber Kill Chain）时，有统一的标准去依循，而企业也可透过这样的工具，更方便地理解攻击者行为带来的安全风险。

MITRE是何方神圣？它是美国非营利组织，除了协助进行多项资安相关研究，同时，也是维运CVE漏洞数据库背后的组织，而ATT&CK框架的研究计划，是该组织在2015年5月发起。

近年来，MITRE ATT&CK逐渐受到重视，而国内大多数人对此概念可能还很陌生，因此这次我们也找到熟悉此议题的专家，帮助我们更进一步了解，他是OPSWAT亚太区副总经理林秉忠，在去年上半就曾在国内公开议程介绍过ATT&CK框架。

对于这套架构的理解，林秉忠先从Cyber Kill Chain谈起。他指出，近年各家资安公司释出许多网络威胁情资或报告，当中描述某一组织在攻击行为的步骤。因此可供企业当成掌握攻击流程与防范的参考，以采取必要的预防或控制战略，像是借由打断Cyber Kill Chain来防御，以及在资安鉴识时可辅助解析过程。

然而，各资安业者定义的Cyber Kill Chain不尽相同，从入侵初始到结束的过程当中，林秉忠指出，有些业者画分为5个阶段，有些业者则是7个或9个等，也因此，各家业者对同一事件报告的描述会有出入。

而MITRE提出的ATT&CK框架，是将入侵期间可能发生的情况，做出更细的画分，区隔出11个策略阶段。包括：入侵初期、执行、权限提升、防御逃避、凭证存取、发现、横向移动、收集、渗透、指挥与控制。

同时，针对攻击方在每个阶段，MITRE也将所使用的手法工具搜集起来，归类为知识库，如此一来，将有助于我们理解攻击者具备的能力。

让攻击描述能有通用语言，可望帮助入侵事件的讨论解释等沟通

更进一步而言，林秉忠指出ATT&CK的最大价值，是可以加速各界的沟通。因为在此框架建立之后，不论是业者跟企业之间的讨论，向管理层与客户解释复杂的概念，或是要进行攻防演练，都会变得较为容易。同时，这也影响了网络威胁情资的资料交换。

举例来说，过去每家资安业者发布关于APT组织的报告，透过文字描述了攻击的手法，包括骇客初期的研究、攻击潜伏、水平扩散等一系列的过程，但这种“说故事”的方式，其实不够“结构化”，相关图表也是依照各自定义的Cyber Kill Chain而设计。

而MITRE ATT&CK的优势在于，提供了统一且结构化的方式，去描述攻击者手法与行为，只要使用一张框架去呈现，就能看出攻击者所使用的策略与手法，并能有更一致的过程来确定威胁的阶段。简单来说，就是透过标准化、架构化的资讯，可以更快速检视网络安全事件的全貌。

例如，在针对某一骇客组织的侧写时，各家资安厂商，甚至一般企业，皆可透过MITRE ATT&CK的框架，很快就能描述攻击者如何准备，以及发起和执行攻击。

换言之，这将有助于所有人理解已知攻击者行为可能带来的安全风险，不论是资安业者或企业，都可以借此改进他们的检测和预防方法。例如，对于企业而言，能帮助评估与选择适合的工具，以改善其网络防御。像是优先关注对企业最具威胁的组织，以考量相应的安全措施。

搭配自动化攻击模拟，可进一步帮助评估EDR产品成效

近期，MITRE ATT&CK开始变得更受注目，不仅是有越来越多资安业者使用此框架，用以描述网络攻击的复杂性，并且还能进一步帮助评估安全防护产品。林秉忠指出，透过MITRE ATT&CK对于骇客组织的侧写，不仅能清楚知道该组织的攻击手法，更好的用处是在帮助企业进行攻防演练，以及验证防御工具是否能够带来与预期相符的成效。

例如，现阶段流行的端点侦测与回应EDR产品，企业在导入采购时要如何验证其有效性？因此企业可能面临的困扰，在于不容易评估各家产品。而在有了ATT&CK之后，当资安业者公布某一APT组织的报告，企业可将情资依照此框架填入，接下来，再运用自动化的攻击模拟平台（Automated Adversary Emulation），帮助企业建立一个模拟红队的攻击，并检视EDR产品是否能够捕捉到这些攻击行为，就能当成企业在评估这类产品的一种参考资讯。

以目前市面上的自动化攻击模拟平台来看，林秉忠表示，有不少开放源代码的工具，像是Caldera、Red Team Automation等，也就利用了ATT＆CK框架来模拟攻击行为，甚至还有像是RedHunt OS这样的开机光碟工具，整合了丰富的威胁情报、记录分析与自动化攻击模拟工具，可以让用户更容易去应用与执行。

MITRE去年发起评估计划，已有7家业者参与2家跟进

另一方面，许多企业要求资安业者融入ATT&CK，资安业者也在产品中使用ATT&CK，以便于在客户沟通时能用通用的语言。

甚至，在2018年11月，MITRE还公布了一项ATT&CK评估的计划结果，这是他们为了评估安全产品而进行的计划，在去年4月，共有7家业者表示愿意参与，包括Carbon Black、CounterTack、Crowdstrike、Endgame、微软、RSA与SentinelOne。该计划使用了ATT&CK框架的评估方法，并以APT3组织的攻击行为，来评估安全业者产品的能力，目的是希望帮助业者提高安全能力。

在这次评估计划中，MITRE也定义了9种侦测类别，以便于企业沟通讨论。而用户在评估结果的网页上，也可借由ATT&CK矩阵，检视各厂商产品对于APT3组织的各式手法侦测能力。

而这样的作法，也确实吸引到更多资安人员与相关业者。例如，全球市调研究机构Forrester的资深分析师Josh Zelonis在去年12月表示，他对于这项ATT＆CK评估计划感到兴奋，但对于评估结果还是有些失望，因为他认为缺乏评分机制，所以，他自己提出了一套评分标准，将不同的侦测类别，画分5分、3分、1分与0分。

而且，在今年2月中，我们也看到FireEYE与Cybereason跟进了ATT&CK评估方式，甚至FireEye发布消息，表明他们使用了Josh Zelonis的评分方式，让自己的产品与上述7家业者相比，以说明自家端点安全产品的有效性。

长期而言，ATT＆CK框架的应用及发展，都值得各界关心资安的人士多加注意。事实上，近年MITRE为了推动ATT＆CK，也做了很多努力，像是在这份知识库中，对于所有入侵策略所采用的各式技术手法，都有详细介绍，现阶段已累积223个手法，还包括哪些骇客集团使用该手法，并有减缓与侦测的相关说明。

为了要让此框架更容易使用，在2018年3月，MITRE还推出了名为ATT&CK Navigator的网页应用程序，界面风格类似Excel试算表，让用户应用ATT&CK矩阵可以更方便。

例如，这套线上服务具备了增加注释、底色与指定分数的功能，也有对应Windows、Linux与Mac平台的筛选器，让用户能直觉的检视自身的防御范围，并能将结果汇出成向量图档或XLSX档。同时，界面上还提供像是业界定义的各个威胁组织与恶意程式，用户只要选择后，就能看到该组织或程式的所有攻击手法，以及所在的策略阶段。

附带一提的是，就名称而言，上述的ATT＆CK框架，主要称之为ATT&CK for Enterprise，其实MITRE还提出了pre-ATT&CK，以及ATT&CK for Mobile，将分别对应攻击前准备与行动的框架。