当今的资安框架多是建立在防御的面向,值得注意的是,近年也有以剖析攻击面为出发的资安框架,而MITRE ATT&CK就是典型的例子,它对于攻击流程的定义,提出了更有系统性的归纳,成为简单易懂的模型与通用语言,这也让各家资安业者在说明网络攻击链(Cyber Kill Chain)时,有统一的标准去依循,而企业也可透过这样的工具,更方便地理解攻击者行为带来的安全风险。
MITRE是何方神圣?它是美国非营利组织,除了协助进行多项资安相关研究,同时,也是维运CVE漏洞数据库背后的组织,而ATT&CK框架的研究计划,是该组织在2015年5月发起。
近年来,MITRE ATT&CK逐渐受到重视,而国内大多数人对此概念可能还很陌生,因此这次我们也找到熟悉此议题的专家,帮助我们更进一步了解,他是OPSWAT亚太区副总经理林秉忠,在去年上半就曾在国内公开议程介绍过ATT&CK框架。
对于这套架构的理解,林秉忠先从Cyber Kill Chain谈起。他指出,近年各家资安公司释出许多网络威胁情资或报告,当中描述某一组织在攻击行为的步骤。因此可供企业当成掌握攻击流程与防范的参考,以采取必要的预防或控制战略,像是借由打断Cyber Kill Chain来防御,以及在资安鉴识时可辅助解析过程。
然而,各资安业者定义的Cyber Kill Chain不尽相同,从入侵初始到结束的过程当中,林秉忠指出,有些业者画分为5个阶段,有些业者则是7个或9个等,也因此,各家业者对同一事件报告的描述会有出入。
而MITRE提出的ATT&CK框架,是将入侵期间可能发生的情况,做出更细的画分,区隔出11个策略阶段。包括:入侵初期、执行、权限提升、防御逃避、凭证存取、发现、横向移动、收集、渗透、指挥与控制。
同时,针对攻击方在每个阶段,MITRE也将所使用的手法工具搜集起来,归类为知识库,如此一来,将有助于我们理解攻击者具备的能力。
让攻击描述能有通用语言,可望帮助入侵事件的讨论解释等沟通
更进一步而言,林秉忠指出ATT&CK的最大价值,是可以加速各界的沟通。因为在此框架建立之后,不论是业者跟企业之间的讨论,向管理层与客户解释复杂的概念,或是要进行攻防演练,都会变得较为容易。同时,这也影响了网络威胁情资的资料交换。
举例来说,过去每家资安业者发布关于APT组织的报告,透过文字描述了攻击的手法,包括骇客初期的研究、攻击潜伏、水平扩散等一系列的过程,但这种“说故事”的方式,其实不够“结构化”,相关图表也是依照各自定义的Cyber Kill Chain而设计。
而MITRE ATT&CK的优势在于,提供了统一且结构化的方式,去描述攻击者手法与行为,只要使用一张框架去呈现,就能看出攻击者所使用的策略与手法,并能有更一致的过程来确定威胁的阶段。简单来说,就是透过标准化、架构化的资讯,可以更快速检视网络安全事件的全貌。
例如,在针对某一骇客组织的侧写时,各家资安厂商,甚至一般企业,皆可透过MITRE ATT&CK的框架,很快就能描述攻击者如何准备,以及发起和执行攻击。
换言之,这将有助于所有人理解已知攻击者行为可能带来的安全风险,不论是资安业者或企业,都可以借此改进他们的检测和预防方法。例如,对于企业而言,能帮助评估与选择适合的工具,以改善其网络防御。像是优先关注对企业最具威胁的组织,以考量相应的安全措施。
搭配自动化攻击模拟,可进一步帮助评估EDR产品成效
近期,MITRE ATT&CK开始变得更受注目,不仅是有越来越多资安业者使用此框架,用以描述网络攻击的复杂性,并且还能进一步帮助评估安全防护产品。林秉忠指出,透过MITRE ATT&CK对于骇客组织的侧写,不仅能清楚知道该组织的攻击手法,更好的用处是在帮助企业进行攻防演练,以及验证防御工具是否能够带来与预期相符的成效。
例如,现阶段流行的端点侦测与回应EDR产品,企业在导入采购时要如何验证其有效性?因此企业可能面临的困扰,在于不容易评估各家产品。而在有了ATT&CK之后,当资安业者公布某一APT组织的报告,企业可将情资依照此框架填入,接下来,再运用自动化的攻击模拟平台(Automated Adversary Emulation),帮助企业建立一个模拟红队的攻击,并检视EDR产品是否能够捕捉到这些攻击行为,就能当成企业在评估这类产品的一种参考资讯。
以目前市面上的自动化攻击模拟平台来看,林秉忠表示,有不少开放源代码的工具,像是Caldera、Red Team Automation等,也就利用了ATT&CK框架来模拟攻击行为,甚至还有像是RedHunt OS这样的开机光碟工具,整合了丰富的威胁情报、记录分析与自动化攻击模拟工具,可以让用户更容易去应用与执行。
MITRE去年发起评估计划,已有7家业者参与2家跟进
另一方面,许多企业要求资安业者融入ATT&CK,资安业者也在产品中使用ATT&CK,以便于在客户沟通时能用通用的语言。
甚至,在2018年11月,MITRE还公布了一项ATT&CK评估的计划结果,这是他们为了评估安全产品而进行的计划,在去年4月,共有7家业者表示愿意参与,包括Carbon Black、CounterTack、Crowdstrike、Endgame、微软、RSA与SentinelOne。该计划使用了ATT&CK框架的评估方法,并以APT3组织的攻击行为,来评估安全业者产品的能力,目的是希望帮助业者提高安全能力。
在这次评估计划中,MITRE也定义了9种侦测类别,以便于企业沟通讨论。而用户在评估结果的网页上,也可借由ATT&CK矩阵,检视各厂商产品对于APT3组织的各式手法侦测能力。
而这样的作法,也确实吸引到更多资安人员与相关业者。例如,全球市调研究机构Forrester的资深分析师Josh Zelonis在去年12月表示,他对于这项ATT&CK评估计划感到兴奋,但对于评估结果还是有些失望,因为他认为缺乏评分机制,所以,他自己提出了一套评分标准,将不同的侦测类别,画分5分、3分、1分与0分。
而且,在今年2月中,我们也看到FireEYE与Cybereason跟进了ATT&CK评估方式,甚至FireEye发布消息,表明他们使用了Josh Zelonis的评分方式,让自己的产品与上述7家业者相比,以说明自家端点安全产品的有效性。
长期而言,ATT&CK框架的应用及发展,都值得各界关心资安的人士多加注意。事实上,近年MITRE为了推动ATT&CK,也做了很多努力,像是在这份知识库中,对于所有入侵策略所采用的各式技术手法,都有详细介绍,现阶段已累积223个手法,还包括哪些骇客集团使用该手法,并有减缓与侦测的相关说明。
为了要让此框架更容易使用,在2018年3月,MITRE还推出了名为ATT&CK Navigator的网页应用程序,界面风格类似Excel试算表,让用户应用ATT&CK矩阵可以更方便。
例如,这套线上服务具备了增加注释、底色与指定分数的功能,也有对应Windows、Linux与Mac平台的筛选器,让用户能直觉的检视自身的防御范围,并能将结果汇出成向量图档或XLSX档。同时,界面上还提供像是业界定义的各个威胁组织与恶意程式,用户只要选择后,就能看到该组织或程式的所有攻击手法,以及所在的策略阶段。
附带一提的是,就名称而言,上述的ATT&CK框架,主要称之为ATT&CK for Enterprise,其实MITRE还提出了pre-ATT&CK,以及ATT&CK for Mobile,将分别对应攻击前准备与行动的框架。
为了便于使用,MITRE也提供了ATT&CK Navigator网页应用,当中并汇整了相关威胁情报,像是用户选择APT3时,就可以看出该组织使用的策略与手法,而界面上也提供色彩、加注与汇出等工具,方便使用者运用。
在去年11月公布的ATT&CK Evaluations计划结果中,用户可在专属网页上检视参与的7家资安业者评估结果。例如,在微软的矩阵中可检视APT3所使用的各式攻击手法,能否被产品侦测,详细资讯中也以图示说明对此手法的侦测类别。而在今年2月底时,我们又看到另外两家业者加入。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09