ATT&CK在安全運營中的應用研究

◆王海林 顏穎 唐旭玥

（云南電網有限責任公司信息中心 云南 650000）

隨著互聯網5G技術、人工智能和云計算等新型先進技術的不斷涌入，越來越多的資產設備信息暴露在未知的威脅下，世界級安全風險呈明顯指數形式增長，高級持續威脅APT（Advanced and Persistent Threat，APT）的出現便是這一趨勢的鐵證，互聯網安全技術受到了前所未有的嚴峻挑戰。如此復雜的新型技術背景之下，以威脅情報驅動的新型網絡安全防御機制也應運而生，對于高級持續威脅的研究，眾多學者對于威脅情報的定義也不盡相同，但總結歸納都可以概括為包括相關常見威脅指標、含義和可行性建議等決策依據，同時也有學者提出了新型的金字塔數字模型，通過該模型分析，將風險將威脅情報數據按照收集難易程度以此劃分為哈希、IP地址、域名、網絡或者主機特征、攻擊工具及TTPs等。不同類型的劃分體現出網絡信息安全下持續復雜變化的現狀。如何利用先進的網絡技術和手段精準、實時且智能的感知網絡空間的安全態勢，同時捕捉并解除，已經成為互聯網安全防御體系最重要的內容。

ATT&CK（Adversarial Tactics Techniques and Common Knowledge）是誕生于2013年的一套反映網絡安全實時攻擊現狀的模型，該模型自誕生以來引起了領域的眾多學者的關注，越來越多的研究者將其視為一套可靠的具有重要意義的網絡安全攻擊知識模型，已經成為互聯網攻擊事件分析的最新標準，在眾多的APT事件中已經得到了非常廣泛的應用，同時也取得了預想的成果。

1 ATT&CK 簡介

MITRE ATT&CK模型是一個基于真實世界觀察的對手戰術和技術的全球可訪問知識庫。在近幾年的發展中，該框架受到了業內人士的一致好評和瘋狂追捧。ATT&C是MITRE組織提供的一種由攻擊者在攻擊企業時會利用的12種戰術和244種企業技術組成的精選知識庫，我們使用MITER ATT&CK框架來衡量組織識別檢測和防止網絡入侵的能力的有效性的價值。

ATT&CK是誕生于通過分析數據對抗而提升APT檢測能力的環境下，因此在當時ATT&CK歸來的攻擊技術大多來源于公開的APT組織活動，最主要的信息來源有各種大會會議報告、大型社交媒體、威脅情報報告、開源代碼及惡意軟件的部分樣本等。此外ATT&CK不僅統一了互聯網安全行業黑客行為的各種規范描述，使得記錄和行跡更加準確可靠，同時持續構建豐富了行為知識庫。這種知識庫細節的來源主要為實戰案例分析的增加和擴充，同時這種擴充和增加的方式為安全防御提供了思路，通過該已知記錄分析未知的情況提供了更加明確的行動指導。

2 ATT&CK 基本模型介紹

ATT&CK模型通常而言有三個主要組成部分，分別為預攻擊、企業攻擊和移動設備攻擊，基本包含了常見安全網絡攻擊的最常見方式，同時對其解決都提供了一定的思路和方法。預攻擊包括了攻擊者在嘗試利用確定、不確定的目標或者系統有漏洞時進行的相關操作和技術，該類型主要確保正常的攻擊并沒有實現只是一種預先的預防措施，起到了預先保護的作用。企業攻堅主要包括了適用于各種平臺的系統技術和戰術，該技術主要常見的是用于Windows系統、Linux系統及Mac OS系統等，這些系統基本覆蓋目前市面上常見的操作系統，能夠最大程度滿足不同企業對于網絡安全信息攻防的技術需求。移動設備攻擊是指通過目前所使用的各種移動設備在里面嵌入安全預防系統，最大限度滿足了日?？蓴y帶方便的需求。ATT&CK 模型庫如表1所示。

表1 ATT＆CK模型框架

在使用ATT&CK進行互聯網安全技術分析的過程中，需要構建不同的數據層，通常而言主要有數據采集層、數據分析層、數據識別層和應用層四個層位。

（1）數據采集層：該層主要完成對預防過程中數據的采集和簡單的歸一化處理等。通過將所采集到的流量、日志、報警信息以及各種威脅情報的數據等進行清洗、標準化、去重等步驟的處理，使得數據成為嚴格的規范化數據，便于后期處理，此外在設計數據結構時重點考慮庫文件的組成，主要完成對數據庫進行添加、刪除、修改和查詢等，使得能實現所收集的數據上傳給上一層業務邏輯是進行處理。

（2）數據分析層：該層主要負責對獲取的數據信息數據進行分析處理，通常包括特征分析和關聯分析，分別從基于特征和基于異常信息的算法模型中發現所采集的數據中可能存在的APT的攻擊線索，若發現上傳有害文件、病毒、木馬或暴力口令等行為時，能夠做出及時果斷且準確的判斷，同時確保攔截該信息。該層最大的作用是確保正確信息繼續傳遞，攔截并分析黑客信息。

（3）數據識別層：該層基于數據分析層獲得的分析結果，將其獲取的APT攻擊線索分別從攻擊技術和攻擊戰術不同的維度進行識別和關聯，將獲得的識別結果以攻擊團隊的身份生成APT攻擊線索，確保盡可能獲取和識別所得結果，同時確保結果的準確性與可靠性。

（4）應用層：跟依據前面基層的基礎，將獲得結果進行了APT攻擊的可視化呈現，以大局的角度發布安全態勢的現狀和安全預警，以及對安全設備進行聯動處置，確保獲得的分析結果最大限度地展現出來，同時為解決如何應對提供措施。

3 ATT&CK 實踐應用研究

ATT＆CK 在各種日常環境中都很有價值，ATT&CK 的四個主要應用場景，即威脅情報、檢測與分析、模擬紅藍對抗以及工程評估。

3.1 威脅情報

近些年眾多學者關于威脅情報的研究，重點關注IOC的提取時間和利用方式，通過自動化生成IOC，威脅情報可以實現威脅檢測的分析。但是IOC生命周期的長短對于威脅檢測的風險會有不同的影響，絕大多數情況下當生命周期短的時候所獲得的威脅效率相對較低。在ATT＆CK 威脅情報的實際表現主要在兩方面，其一為Valid Account 攻擊，這是一種攻擊者使用漏洞獲取憑證訪問權限而竊取特定用戶登錄名稱和密碼的一種方式，然后利用其他方式獲取的賬號和密碼構架一個虛擬用戶，然后了利用該賬號實現持久化管理，通過使用該技術，能最大限度降低該類風險的產生。其二為水坑攻擊，攻擊者通過攻陷保存情報信息的主要網站，一旦受害者再次登錄該情報系統，就會成為攻擊的目標對象。這種攻擊已經成為APT攻擊的一種常用手段，相比于魚叉連接、附件攻擊，水坑攻擊根據隱蔽性，受害者往往警惕性較低，難以覺察網站異常，導致情報泄露。

3.2 檢測與分析

構建分析與檢測ATT&CK技術與您通常使用的檢測方式不盡相同?；贏TT&CK的分析主要涉及收集關于系統上發生事情的日志和事件數據，并使用這些數據來識別ATT&CK中描述的可疑行為，而不是識別已知的壞事情并阻止它們。首先了解所擁有的數據庫和檢索功能，以此確定可能存在疑點的行為記錄，以便查看發生了什么，通常的獲取方式是查看每個ATT&CK技術所列出的數據源，這些數據源描述了可以了解給定技術的數據類型。其次，通過編寫自己的分析來擴大覆蓋面，這是一個更復雜的過程，需要理解攻擊如何工作，以及它們如何反映在數據中。該過程最重要的是查看ATT&CK的技術描述和示例中鏈接的威脅情報報告。若獲得結檢測效果不好，ATT&CK頁面將列出此次獲取使用的幾種不同變體，分析變體和實體之間的本質區別。

3.3 模擬紅藍對抗

對手模擬是紅隊參與的一種類型，它通過混合威脅情報來模擬一個組織的已知威脅，以定義紅隊使用的行動和行為。這也是對手模擬不同于滲透測試和其他形式的紅隊的最主要原因。在此過程中，通過對手模擬器構造一個場景來測試對手的戰術、技術和過程等某方面。紅隊在目標網絡上操作時跟蹤場景，以測試防御系統如何對抗仿真對手。對抗過程主要分為五個步驟，首先收集威脅情報，即根據組織面臨的威脅選擇對手，并與CTI團隊合作分析情報，了解對手的所作所為。結合基于組織所知道的信息以及公開的信息來記錄對手的行為、目標等。其次是提取技術，即以同樣的方式，把紅隊的操作映射到ATT&CK技術，把自己的情報映射到情報團隊的特定技術。第三分析和組織，即現在所擁有的一堆關于對手和他們如何運作的情報，把這些信息以一種容易制定具體計劃的方式對標到對手的運作流程中。第四開發工具和過程，即現在自己已經知道了希望紅隊做什么，那么就弄清楚如何實現這些行為。主要通過分析威脅集團使用的技術、是否會根據使用背景改變技術及可以通過使用什么工具獲得這些TTPs三個方面考慮。最后，模擬對手，即根據制定的計劃，紅隊現在具備能力執行模擬交戰。通過紅隊與藍隊密切合作，深入了解藍隊可見性中的空白在哪里，以及它們存在的原因。

3.4 工程評估

ATT&CK工程評估是一個很宏大的項目，也是一個很長的過程，它為安全工程師和架構師提供有用的數據，通過評估防御系統與ATT&CK中的技術、確定當前覆蓋范圍中優先級最高的缺口并修改或者獲得新的防御來解決這些缺陷。工程評估的級別是相互累積的，在此過程中兩者之間互相影響。此外可以通過實施更多的緩解措施來減少對工具和分析的依賴，提高項目評估的客觀性。查看ATT&CK中的緩解措施，可以判斷是否可以實際執行這些方法。

4 結語

目前對于APT攻擊的檢測當前網絡安全事件檢測技術的難點，此次研究通過介紹ATT&CK基本模型和特征，重點研究了ATT&CK的應用領域，對威脅情報、檢測與分析、模擬紅藍對抗及工程評估進行了深入探討。