當(dāng)前位置:首頁 >  IDC >  安全 >  正文

青藤云安全細述基于ATT&CK框架的紅藍對抗,如何有效提升檢測能力

 2019-11-06 14:43  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

在繼前面兩篇有關(guān)MITRE ATT&CK的文章——《一文看懂ATT&CK框架以及使用場景實例》和《細述MITRE ATT&CK框架的實施和使用方式》之后,相信大家對于ATT&CK框架有了一個整體的了解。今天,我們將主要介紹如何基于ATT&CK框架來制定紅藍對抗方案,提升企業(yè)檢測能力。

在此之前,先讓我們通過下文一個真實的攻擊場景來了解一下攻擊者是如何進行攻擊的。

一個真實的攻擊場景

攻擊者首先是對其最近感興趣的一個事件發(fā)送了一個釣魚郵件。攻擊載荷(payload)是一個.zip文件,其中包含了一個誘餌PDF文件和一個惡意可執(zhí)行文件,該惡意文件使用系統(tǒng)上已經(jīng)安裝的Acrobat Reader來進行偽裝。

運行時,可執(zhí)行文件將下載第二階段使用的遠程訪問工具(RAT)有效負荷,讓遠程操作員可以訪問受害計算機,并可讓遠程操作員在網(wǎng)絡(luò)中獲得一個初始訪問點。然后,攻擊者會生成用于“命令控制”的新域名,并通過定期更改自己的網(wǎng)絡(luò)用戶名,將這些域發(fā)送到受感染網(wǎng)絡(luò)上的遠程訪問工具(RAT)。用于“命令控制”的域和IP地址是臨時的,并且攻擊者每隔幾天就會對此進行更改。攻擊者通過安裝Windows服務(wù)——其名稱很容易被計算機所有者認為是合法的系統(tǒng)服務(wù)名稱,從而看似合法地保留在受害計算機上。在部署該惡意軟件之前,攻擊者可能已經(jīng)在各種防病毒(AV)產(chǎn)品上進行了測試,以確保它與任何現(xiàn)有或已知的惡意軟件簽名都不匹配。

為了與受害主機進行交互,攻擊者使用RAT啟動Windows命令提示符,例如cmd.exe。然后,攻擊者使用受感染計算機上已有的工具來了解有關(guān)受害者系統(tǒng)和周圍網(wǎng)絡(luò)的更多信息,以便提高其在其它系統(tǒng)上的訪問級別,并朝著實現(xiàn)其目標(biāo)進一步邁進。

更具體地說,攻擊者使用內(nèi)置的Windows工具或合法的第三方管理工具來發(fā)現(xiàn)內(nèi)部主機和網(wǎng)絡(luò)資源,并發(fā)現(xiàn)諸如帳戶、權(quán)限組、進程、服務(wù)、網(wǎng)絡(luò)配置和周圍的網(wǎng)絡(luò)資源之類的信息。然后,遠程操作員可以使用Invoke-Mimikatz來批量捕獲緩存的身份驗證憑據(jù)。在收集到足夠的信息之后,攻擊者可能會進行橫向移動,從一臺計算機移動到另一臺計算機,這通??梢允褂糜成涞腤indows管理員共享和遠程Windows(服務(wù)器消息塊[SMB])文件副本以及遠程計劃任務(wù)來實現(xiàn)。隨著訪問權(quán)限的增加,攻擊者會在網(wǎng)絡(luò)中找到感興趣的文檔。然后,攻擊者會將這些文檔存儲在一個中央位置,使用RAR等程序通過遠程命令行shell對文件進行壓縮和加密,最后,通過HTTP會話,將文件從受害者主機中滲出,然后在其方便使用的遠程計算機上分析和使用這些信息。

傳統(tǒng)檢測方案無法解決上述攻擊場景

現(xiàn)有的檢測方案難以檢測到上述情景中所介紹的APT攻擊。大多數(shù)防病毒應(yīng)用程序可能無法可靠地檢測到自定義工具,因為攻擊者在使用這些工具之前,已經(jīng)對其進行了測試,甚至可能包含一些混淆技術(shù),以便繞開其它類型的惡意軟件檢測。此外,惡意遠程操作員還能夠在他們所攻擊的系統(tǒng)上使用合*能,逃避檢測。而且許多檢測工具無法收集到足夠的數(shù)據(jù),來發(fā)現(xiàn)此類惡意使用合法系統(tǒng)的行為。

當(dāng)前其它的網(wǎng)絡(luò)安全方法,例如威脅情報信息共享,可能對于檢測攻擊者基礎(chǔ)設(shè)施也無濟于事,因為攻擊者指標(biāo)可能變化太快。典型的網(wǎng)絡(luò)流量檢查也將于事無補,因為APT的流量(例如上述示例中所述的流量)已通過有效的SSL加密。SSL攔截可能有用,但是要將惡意行為從善意網(wǎng)絡(luò)行為中區(qū)分出來,實在太困難了。

基于ATT&CK的紅藍對抗是如何提升檢測能力的?

自2012年MITRE進行網(wǎng)絡(luò)競賽以來,MITRE主要通過研究對抗行為、構(gòu)建傳感器來獲取數(shù)據(jù)以及分析數(shù)據(jù)來檢測對抗行為。該過程包含三個重要角色:“白隊”、“紅隊”和“藍隊”,如下所示:

白隊——開發(fā)用于測試防御的威脅場景。白隊與紅隊和藍隊合作,解決網(wǎng)絡(luò)競賽期間出現(xiàn)的問題,并確保達到測試目標(biāo)。白隊與網(wǎng)絡(luò)管理員對接,確保維護網(wǎng)絡(luò)資產(chǎn)。

紅隊——扮演網(wǎng)絡(luò)競賽中的攻擊者。執(zhí)行計劃好的威脅場景,重點是對抗行為模擬,并根據(jù)需要與白隊進行對接。在網(wǎng)絡(luò)競賽中出現(xiàn)的任何系統(tǒng)或網(wǎng)絡(luò)漏洞都將報告給白隊。

藍隊——在網(wǎng)絡(luò)競賽中擔(dān)任網(wǎng)絡(luò)防御者,通過分析來檢測紅隊的活動。他們也被認為是一支狩獵隊。

基于ATT&CK框架,開發(fā)網(wǎng)絡(luò)對抗賽主要包含以下七個步驟:

下面,我們將對這七個步驟進行詳細介紹。

開發(fā)網(wǎng)絡(luò)對抗賽的七個步驟

第1步:確定目標(biāo)

第一步是確定要檢測的對抗行為的目標(biāo)和優(yōu)先級。在決定優(yōu)先檢測哪些對抗行為時,需要考慮以下幾個因素:

1.哪種行為最常見?

優(yōu)先檢測攻擊者最常使用的TTP,并解決最常見的、最常遇到的威脅技術(shù),這會對組織機構(gòu)的安全態(tài)勢產(chǎn)生最廣泛的影響。擁有強大的威脅情報能力后,組織機構(gòu)就可以了解需要關(guān)注哪些ATT&CK戰(zhàn)術(shù)和技術(shù)。

2.哪種行為產(chǎn)生的負面影響最大?

組織機構(gòu)必須考慮哪些TTP會對組織機構(gòu)產(chǎn)生最大的潛在不利影響。這些影響可能包括物理破壞、信息丟失、系統(tǒng)受損或其它負面后果。

3.容易獲得哪些行為的相關(guān)數(shù)據(jù)?

與那些需要開發(fā)和部署新傳感器或數(shù)據(jù)源的行為相比,對于已擁有必要數(shù)據(jù)的行為進行分析要容易得多。

4.哪種行為最有可能表示是惡意行為?

只是由攻擊者產(chǎn)生的行為而不是合法用戶產(chǎn)生的行為,對于防御者來說用處最大,因為這些數(shù)據(jù)產(chǎn)生誤報的可能性較小。

第2步:收集數(shù)據(jù)

在創(chuàng)建分析方案時,組織機構(gòu)必須確定、收集和存儲制定分析方案所需的數(shù)據(jù)。為了確定分析人員需要收集哪些數(shù)據(jù)來制定分析方案,首先要了解現(xiàn)有傳感器和日志記錄機制已經(jīng)收集了哪些數(shù)據(jù)。在某些情況下,這些數(shù)據(jù)可能滿足給定分析的數(shù)據(jù)要求。但是,在許多情況下,可能需要修改現(xiàn)有傳感器和工具的設(shè)置或規(guī)則,以便收集所需的數(shù)據(jù)。在其它情況下,可能需要安裝新工具或功能來收集所需的數(shù)據(jù)。在確定了創(chuàng)建分析所需的數(shù)據(jù)之后,必須將其收集并存儲在將要編寫分析的平臺上。例如,可以使用Splunk的體系結(jié)構(gòu)。

由于企業(yè)通常在網(wǎng)絡(luò)入口和出口點部署傳感器,因此,許多企業(yè)都依賴邊界處收集的數(shù)據(jù)。但是,這就限制了企業(yè)只能看到進出網(wǎng)絡(luò)的網(wǎng)絡(luò)流量,而不利于防御者看到網(wǎng)絡(luò)中及系統(tǒng)之間發(fā)生了什么情況。如果攻擊者能夠成功訪問受監(jiān)視邊界范圍內(nèi)的系統(tǒng)并建立規(guī)避網(wǎng)絡(luò)保護的命令和控制,則防御者可能會忽略攻擊者在其網(wǎng)絡(luò)內(nèi)的活動。正如上文的攻擊示例所述,攻擊者使用合法的Web服務(wù)和通常允許穿越網(wǎng)絡(luò)邊界的加密通信,這讓防御者很難識別其網(wǎng)絡(luò)內(nèi)的惡意活動。

由于使用基于邊界的方法無法檢測到很多攻擊行為,因此,很有必要通過終端(主機端)數(shù)據(jù)來識別滲透后的操作。下圖展示的是企業(yè)邊界網(wǎng)絡(luò)傳感器在ATT&CK框架中的覆蓋范圍。紅色表示未能檢測到攻擊行為,黃色表示有一定檢測能力。如果在終端上沒有傳感器來收集相關(guān)數(shù)據(jù),比如進程日志,就很難檢測到ATT&CK模型描述的許多入侵。目前,國內(nèi)外一些新一代主機安全廠商,都是采用在主機端部署Agent方式,比如青藤云安全,通過Agent提供主機端高價值數(shù)據(jù),包括操作審計日志、進程啟動日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。

涵蓋邊界防御在內(nèi)的ATT&CK矩陣

此外,僅僅依賴于通過間歇性掃描端點來收集端點數(shù)據(jù)或獲取數(shù)據(jù)快照,這可能無法檢測到已入侵網(wǎng)絡(luò)邊界并在網(wǎng)絡(luò)內(nèi)部進行操作的攻擊者。間歇性地收集數(shù)據(jù)可能會導(dǎo)致錯過檢測快照之間發(fā)生的行為。例如,攻擊者可以使用技術(shù)將未知的RAT加載到合法的進程(例如explorer.exe)中,然后使用cmd.exe命令行界面通過遠程Shell與系統(tǒng)進行交互。攻擊者可能會在很短的時間內(nèi)采取一系列行動,并且?guī)缀醪粫谌魏尾考辛粝潞圹E讓網(wǎng)絡(luò)防御者發(fā)現(xiàn)。如果在加載RAT時執(zhí)行了掃描,則收集信息(例如正在運行的進程、進程樹、已加載的DLL、Autoruns的位置、打開的網(wǎng)絡(luò)連接以及文件中的已知惡意軟件簽名)的快照可能只會看到在explorer.exe中運行的DLL。但是,快照會錯過將RAT實際注入到explorer.exe、cmd.exe啟動、生成的進程樹以及攻擊者通過shell命令執(zhí)行的其它行為,因為數(shù)據(jù)不是持續(xù)收集的。

第3步:過程分析

組織機構(gòu)擁有了必要的傳感器和數(shù)據(jù)后,就可以進行分析了。進行分析需要一個硬件和軟件平臺,在平臺上進行設(shè)計和運行分析方案,并能夠讓數(shù)據(jù)科學(xué)家設(shè)計分析方案。盡管通常是通過SIEM來完成的,但這并不是唯一的方法,也可以使用Splunk查詢語言來進行分析,相關(guān)的分析分為四大類:

行為分析——旨在檢測某種特定對抗行為,例如創(chuàng)建新的Windows服務(wù)。該行為本身可能是惡意的,也可能不是惡意的。并將這類行為映射到ATT&CK模型中那些確定的技術(shù)上。

情景感知——旨在全面了解在給定時間,網(wǎng)絡(luò)環(huán)境中正在發(fā)生什么事情。并非所有分析都需要針對惡意行為生成警報。相反,分析也可以通過提供有關(guān)環(huán)境狀態(tài)的一般信息,證明對組織機構(gòu)有價值。諸如登錄時間之類的信息并不表示惡意活動,但是當(dāng)與其它指標(biāo)一起使用時,這種類型的數(shù)據(jù)也可以提供有關(guān)對抗行為的必要信息。情景感知分析還可以有助于監(jiān)視網(wǎng)絡(luò)環(huán)境的健康狀況(例如,確定哪些主機上的傳感器運行出錯)。

異常值分析——旨在分析檢測到非惡意行為,這類行為表現(xiàn)異常,令人懷疑,包括檢測之前從未運行過的可執(zhí)行文件,或者標(biāo)識網(wǎng)絡(luò)上通常沒有運行過的進程。和情景感知分析一樣,分析出異常值,不一定表示發(fā)生了攻擊。

取證——這類分析在進行事件調(diào)查時最為有用。通常,取證分析需要某種輸入才能發(fā)揮其作用。例如,如果分析人員發(fā)現(xiàn)主機上使用了憑據(jù)轉(zhuǎn)儲工具,進行此類分析會告訴你,哪些用戶的憑據(jù)受到了損壞。防御團隊在網(wǎng)絡(luò)競賽演習(xí)期間或制定實際應(yīng)用中的分析時,可以結(jié)合使用這四種類型的分析。下文將介紹如何綜合使用這四種類型的分析:

1.首先,通過在分析中尋找遠程創(chuàng)建的計劃任務(wù),向安全運營中心(SOC)的分析人員發(fā)出警報,警告正在發(fā)生攻擊行為(行為分析)。

2. 在從受感染的計算機中看到此警報后,分析人員將運行分析方案,查找預(yù)計執(zhí)行計劃任務(wù)的主機上是否存在任何異常服務(wù)。通過該分析,可以發(fā)現(xiàn),攻擊者在安排好遠程任務(wù)之后不久,就已在原始主機上創(chuàng)建了一個新服務(wù)(異常值分析)。

3. 在確定了新的可疑服務(wù)后,分析人員將進行進一步調(diào)查。通過分析,確定可疑服務(wù)的所有子進程。這種調(diào)查可能會顯示一些指標(biāo),說明主機上正在執(zhí)行哪些活動,從而發(fā)現(xiàn)RAT行為。再次運行相同的分析方案,尋找RAT子進程的子進程,就會找到RAT對PowerShell的執(zhí)行情況(取證)。

4. 如果懷疑受感染機器可以遠程訪問其它主機,分析人員會決定調(diào)查可能從該機器嘗試過的任何其它遠程連接。為此,分析人員會運行分析方案,詳細分析相關(guān)計算機環(huán)境中所有已發(fā)生的遠程登錄,并發(fā)現(xiàn)與之建立連接的其它主機(情景感知)。

第4步:構(gòu)建場景

傳統(tǒng)的滲透測試側(cè)重于突出攻擊者可能在某個時間段會利用不同類型系統(tǒng)上的哪些漏洞。MITRE的對抗模擬方法不同于這些傳統(tǒng)方法。其目標(biāo)是讓紅隊成員執(zhí)行基于特定或許多已知攻擊者的行為和技術(shù),以測試特定系統(tǒng)或網(wǎng)絡(luò)的防御效果。對抗模擬演習(xí)由小型的重復(fù)性活動組成,這些活動旨在通過系統(tǒng)地將各種新的惡意行為引入環(huán)境,來改善和測試網(wǎng)絡(luò)上的防御能力。進行威脅模擬的紅隊與藍隊緊密合作(通常稱為紫隊),以確保進行深入溝通交流,這對于快速磨練組織機構(gòu)的防御能力至關(guān)重要。因此,與全范圍的滲透測試或以任務(wù)目標(biāo)為重點的紅隊相比,對抗模擬測試測試速度更快、測試內(nèi)容更集中。

隨著檢測技術(shù)的不斷發(fā)展成熟,攻擊者也會不斷調(diào)整其攻擊方法,紅藍對抗的模擬方案也應(yīng)該圍繞這種思想展開。大多數(shù)真正的攻擊者都有特定的目標(biāo),例如獲得對敏感信息的訪問權(quán)限。因此,在模擬對抗期間,也可以給紅隊指定特定的目標(biāo),以便藍隊能夠針對最可能的對抗技術(shù)對網(wǎng)絡(luò)防御和功能進行詳細測試。

1.場景規(guī)劃

為了更好地執(zhí)行對抗模擬方案,需要白隊傳達作戰(zhàn)目標(biāo),而又不向紅隊或藍隊泄露測試方案的詳細信息。白隊?wèi)?yīng)該利用其對藍隊的了解情況以及針對威脅行為的分析來檢測差距,并根據(jù)藍隊所做的更改或需要重新評估的內(nèi)容來制定對抗模擬計劃。白隊還應(yīng)確定紅隊是否有能力充分測試對抗行為。如果沒有,白隊?wèi)?yīng)該與紅隊合作解決存在的差距,包括可能需要的任何工具開發(fā)、采購和測試。對抗模擬場景可對抗計劃為基礎(chǔ),傳達要求并與資產(chǎn)所有者和其它利益相關(guān)者進行協(xié)調(diào)。

模擬場景可以是詳細的命令腳本,也可以不是。場景規(guī)劃應(yīng)該足夠詳細,足以指導(dǎo)紅隊驗證防御能力,但也應(yīng)該足夠靈活,可以讓紅隊在演習(xí)期間根據(jù)需要調(diào)整其行動,以測試藍軍可能未曾考慮過的行為變化。由于藍隊的防御方案也可能已經(jīng)很成熟,可以涵蓋已知的威脅行為,因此紅隊還必須能夠自由擴展,不僅僅局限于單純的模擬。通過由白隊決定應(yīng)該測試哪些新行為,藍隊可能不知道要進行哪些特定活動,而紅隊可以不受對藍隊功能假設(shè)的影響,因為這可能會影響紅隊做出決策。白隊還要繼續(xù)向紅隊通報有關(guān)環(huán)境的詳細信息,以便通過對抗行為全面測試檢測能力。

2.場景示例

舉個例子,假設(shè)在Windows操作系統(tǒng)環(huán)境中,紅隊采用的工具提供了一個訪問點和C2通道,攻擊者通過交互式shell命令與系統(tǒng)進行交互。藍隊已部署了Sysmon作為探針,對過程進行持續(xù)監(jiān)控并收集相關(guān)數(shù)據(jù)。此場景的目標(biāo)是基于Sysmon從網(wǎng)絡(luò)端點中收集數(shù)據(jù)來檢測紅隊的入侵行為。

場景詳情:

1) 為紅隊確定一個特定的最終目標(biāo)。例如,獲得對特定系統(tǒng)、域帳戶的訪問權(quán),或收集要滲透的特定信息。

2) 假設(shè)已經(jīng)入侵成功,讓紅隊訪問內(nèi)部系統(tǒng),以便于觀察滲透后的行為。紅隊可以在環(huán)境中的一個系統(tǒng)上執(zhí)行加載程序或RAT,模擬預(yù)滲透行為,并獲得初始立足點,而不考慮先前的了解、訪問、漏洞利用或社會工程學(xué)等因素。

3) 紅隊必須使用ATT&CK模型中的“發(fā)現(xiàn)”技術(shù)來了解環(huán)境并收集數(shù)據(jù),以便進一步行動。

4) 紅隊將憑證轉(zhuǎn)儲到初始系統(tǒng)上,并嘗試定位周圍還有哪些系統(tǒng)的憑證可以利用。

5) 紅隊橫向移動,直到獲得目標(biāo)系統(tǒng)、賬戶、信息為止。

使用ATT&CK作為對抗模擬指南,為紅隊制定一個明確的計劃。技術(shù)選擇的重點是基于在已知的入侵活動中通常使用的技術(shù),來實現(xiàn)測試目標(biāo),但是允許紅隊在技術(shù)使用方面進行一些更改,采用一些其它行為。

3.場景實現(xiàn)

上述場景示例的具體實現(xiàn)步驟如下所示:

1) 模擬攻擊者通過白隊提供的初始訪問權(quán)限后,獲得了“執(zhí)行”權(quán)限。以下內(nèi)容可以表示攻擊者可以使用通用的、標(biāo)準(zhǔn)化的應(yīng)用層協(xié)議(如HTTP、HTTPS、SMTP或DNS)進行通信,以免被發(fā)現(xiàn)。例如遠程連接命令,會被嵌入到這些通信協(xié)議中。

2) 建立連接后,通過遠程訪問工具啟動反彈shell命令界面:

3) 通過命令行界面執(zhí)行“執(zhí)行”技術(shù):

4) 獲得了足夠的信息后,可以根據(jù)需要,自由執(zhí)行其它戰(zhàn)術(shù)和技術(shù)。以下技術(shù)是基于ATT&CK的建議措施,以建立持久性或通過提升權(quán)限來建立持久性。獲得足夠的權(quán)限后,使用Mimikatz轉(zhuǎn)儲憑據(jù),或嘗試使用鍵盤記錄器獲取憑據(jù),捕獲的用戶輸入信息。

5) 如果獲得了憑據(jù)并且通過“發(fā)現(xiàn)”技術(shù)對系統(tǒng)有了全面的了解,就可以嘗試橫向移動來實現(xiàn)該方案的主要目標(biāo)了。

6) 根據(jù)需要使用上文提到的技術(shù),繼續(xù)橫向移動,獲取并滲透目標(biāo)敏感信息。建議使用以下ATT&CK技術(shù)來收集和提取文件:

第5步:模擬威脅

在制定好對抗模擬方案和分析方案之后,就該使用情景來模擬攻擊者了。首先,讓紅隊模擬威脅行為并執(zhí)行由白隊確定的技術(shù)。在對抗模擬作戰(zhàn)中,可以讓場景的開發(fā)人員來驗證其網(wǎng)絡(luò)防御的有效性。紅隊則需要專注于紅隊入侵后的攻擊行為,通過給定網(wǎng)絡(luò)環(huán)境中特定系統(tǒng)上的遠程訪問工具訪問企業(yè)網(wǎng)絡(luò)。白隊預(yù)先給紅隊訪問權(quán)限可以加快評估速度,并確保充分測試入侵后的防御措施。然后,紅隊按照白隊規(guī)定的計劃和準(zhǔn)則行動。

白隊?wèi)?yīng)與組織機構(gòu)的網(wǎng)絡(luò)資產(chǎn)所有者和安全組織協(xié)調(diào)任何對抗模擬活動,確保及時了解網(wǎng)絡(luò)問題、用戶擔(dān)憂、安全事件或其它可能發(fā)生的問題。

第6步:調(diào)查攻擊

一旦在給定的網(wǎng)絡(luò)競賽中紅隊發(fā)起了攻擊,藍隊要盡可能發(fā)現(xiàn)紅隊的所作所為。在MITRE的許多網(wǎng)絡(luò)競賽中,藍隊中有負責(zé)創(chuàng)建場景的開發(fā)人員。這樣做的好處是,場景開發(fā)者人員可以親身體驗他們的分析方案在現(xiàn)實模擬情況下表現(xiàn)如何,并從中汲取經(jīng)驗教訓(xùn),推動未來的發(fā)展和完善。

在網(wǎng)絡(luò)競賽中,藍隊最開始有一套高度可信的過程分析方案,如果執(zhí)行成功,就會了解一些初步指標(biāo)紅隊,例如,紅隊時何時何地活躍起來的。這很重要,因為除了模糊的時間范圍(通常是一個月左右)之外,沒有向藍隊提供任何有關(guān)紅隊活動的信息。有時,藍隊的過程分析屬于“行為”分析類別,而有些分析可能屬于“異常”類別。應(yīng)用這些高可信度的分析方案會促使藍隊使用先前描述的其它類型的分析(情景感知、異常情況和取證)進一步調(diào)查單個主機。當(dāng)然,這個分析過程是反復(fù)迭代進行的,隨著收集到新信息,在整個練習(xí)過程中,這一過程會反復(fù)進行。

最終,當(dāng)確定某個事件是紅隊所為時,藍隊就開始形成自身的時間表。了解時間表很重要,可以幫助分析人員推斷出只靠分析方案無法獲得的信息。時間表上的活動差距可以確定需要進一步調(diào)查的時間窗口期。另外,通過以這種方式查看數(shù)據(jù),即便沒有關(guān)于紅隊活動的任何證據(jù),藍隊成員也可以推斷出在哪些位置能夠發(fā)現(xiàn)紅隊的活動。例如,看到一個新的可執(zhí)行文件運行,但沒有證據(jù)表明它是如何放置在機器上的,這可能會提醒分析人員有可能存在紅隊行為,并可以提供有關(guān)紅隊如何完成其橫向移動的詳細信息。通過這些線索,還可以形成一些關(guān)于創(chuàng)建新分析的想法,以便用于基于ATT&CK的分析開發(fā)方法的下一次迭代。

在調(diào)查紅隊的攻擊時,藍隊會隨著自身演習(xí)的進行而制定出幾大類信息。這些信息是他們希望發(fā)現(xiàn)的信息,例如:

受到影響的主機——在演習(xí)時,這通常表示為主機列表以及每個主機視為可疑主機的原因。在嘗試補救措施時,這些信息至關(guān)重要。

帳戶遭到入侵——藍隊能夠識別網(wǎng)絡(luò)上已被入侵的帳戶,這一點非常重要。如果不這樣做,則紅隊或現(xiàn)實生活中的攻擊者就可以從其它媒介重新獲得對網(wǎng)絡(luò)的訪問權(quán)限,以前所有的補救措施也就化為泡影了。

目標(biāo)——藍隊還需要努力確定紅隊的目標(biāo)以及他們是否實現(xiàn)了目標(biāo)。這通常是最難發(fā)現(xiàn)的一個內(nèi)容,因為這需要大量的數(shù)據(jù)來確定。

使用的TTP——在演習(xí)結(jié)束時,要特別注意紅隊的TTP,這是確定未來工作的一種方式。紅隊可能已經(jīng)利用了網(wǎng)絡(luò)中需要解決的錯誤配置,或者紅隊可能發(fā)現(xiàn)了藍隊當(dāng)前無法識別而無法進一步感知的技術(shù)。藍隊確定的TTP應(yīng)該與紅隊所聲稱的TTP進行比較,識別任何防御差距。

第7步:評估表現(xiàn)

藍隊和紅隊活動均完成后,白隊將協(xié)助團隊成員進行分析,將紅隊活動與藍隊報告的活動進行比較。這可以進行全面的比較,藍隊可以從中了解他們在發(fā)現(xiàn)紅隊行動方面取得了多大程度上的成功。藍隊可以使用這些信息來完善現(xiàn)有分析,并確定對于哪些對抗行為,他們需要開發(fā)或安裝新傳感器、收集新數(shù)據(jù)集或制定新分析方案。

寫在最后

ATT&CK是MITRE提供的“對抗戰(zhàn)術(shù)、技術(shù)和常識”框架,是由攻擊者在攻擊企業(yè)時會利用的12種戰(zhàn)術(shù)和300多種技術(shù)組成的精選知識庫,對于企業(yè)識別差距,提高防御能力有重大意義。而本文則通過詳細介紹如何基于ATT&CK框架制定分析方案,如何根據(jù)分析方案檢測入侵行為從而發(fā)現(xiàn)黑客,為防御者提供了一款強大的工具,可以有效提高檢測能力,從而增強企業(yè)的防御能力。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
云安全

相關(guān)文章

熱門排行

信息推薦