从ATT&CK看威胁情报的发展和应用趋势

ATT&CK是对网络攻击手法的一种结构化、数据化的描述，进而通过对抗性的分析，进一步推动自适应的、弹性的防御体系的落地。ATT&CK让攻击手法有了一致性的标准，是结构化认知对抗的重要基础，是新一代以数据/情报驱动的安全体系的重要部分。

一 引言

在2019年3月的RSA 大会中，有超过10个议题讨论将ATT&CK用于攻击行为建模、改进网络防御、威胁狩猎、红蓝对抗复盘、攻击检测方面的研究和分析，ATT&CK成为了此次大会中最热门的议题之一。在2019年6月的Gartner Security & Risk Management Summit会议中，ATT&CK被F-Secure评为十大关注热点。ATT&CK俨然成为了2019年网络空间安全的一个火爆技术话题。

二 什么是ATT&CK

MITRE ATT&CK，全称为：AdversarialTactics, Techniques, and Common Knowledge，对抗性策略、技术和通用知识，是由MITRE提出的一套反应各个攻击生命周期攻击行为的模型和知识库。ATT&CK在洛克希德-马丁公司提出的KillChain模型的基础上，对更具观测性的后四个阶段中的攻击者行为，构建了一套更细粒度、更易共享的知识模型和框架，并通过不断积累，形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络攻击者行为知识库，以指导用户采取针对性的检测、防御和响应工作。

目前ATT&CK模型分为三部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile，其中PRE-ATT&CK覆盖攻击链模型的前两个阶段，ATT&CK for Enterprise覆盖攻击链的后五个阶段，ATT&CK for Mobile则考虑到传统企业PC与当前移动设备之间的安全架构差异，重点描述了攻击链模型七个阶段中面对移动威胁TTPs的情况。后续还可能会有ATT&CK forCloud模型的推出，本文主要以Enterprise为例，对ATT&CK的战术、技术和应用进行描述和分析。

PRE-ATT&CK包括的战术有：优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力和分段能力；ATT&CK for Enterprise包括的战术有：访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。

战术指的是ATT&CK的技术原因，是攻击者执行行动的战术目标，涵盖了攻击者在操作期间所做事情的标准和更高级别的表示；技术指的是攻击者通过执行动作实现战术目标的方式，或者执行动作而获得的内容。在ATT&CK矩阵中可以到看到战术和技术的关系，可能有很多种方法或技术可以实现战术目标，因此每种战术类别有很多种技术。

ATT&CK对各类战术和技术做了较为详细的定义。

以T1060为例，T1060表示攻击技术：Registry Run Keys / Startup Folder的ID，ATT&CK将其描述：在注册表或启动文件夹中向“运行键”添加条目，将导致在用户登录时执行引用的程序。这些程序将在用户的上下文环境中执行，并具有账户权限。T1060处于战术的持久化（Persistence）阶段，要利用该技术需要“用户”、“管理员”权限。检测该攻击技术所依赖的数据源有：Windows注册表和文件监控。

该攻击技术的检测方法有：1）监控与已知软件、系统补丁等无关的注册表的变化；2）监控启动文件夹的增加或改变；3）如SysInternals AutoRuns（类似于Sysmon）之类的工具也可用于监控注册表和启动文件夹等相关内容的变化。

该攻击技术的缓解方法有：使用白名单工具适时识别并阻断尝试通过运行密钥或启动文件夹进行持久化的潜在恶意软件。

可以将ATT&CK用于描述攻击者（的行为），进而：1）找出感兴趣的攻击者；2）攻击者使用的技术和留下的痕迹；3）基于情报进行溯源。ATT&CK可对APT攻击组织进行描述，在部分厂商的ATP分析报告中，也使用ATT&CK对攻击手法和过程进行描述。

三 ATT&CK应用

在应用层面，ATT&CK支持的用例（可以用来干嘛）包括：

（1）模拟攻击者的攻击手法，指的是通过特定攻击者的威胁情报和攻击手法来模拟威胁的实施过程，进而评估某项防护技术的完备性。模拟攻击者的攻击手法侧重在验证检测或缓解在整个攻击过程中的攻击行为，ATT&CK可用作构建模拟攻击者攻击手法的场景的工具，来对常用的攻击者攻击技术进行测试和验证。通过对攻击行为进行分解，将动态、复杂的攻击活动“降维”映射到ATT&CK模型中，极大降低攻击手法的描述和交流成本，进而在可控范围内对业务环境进行系统安全性测试。

在具体模拟攻击者攻击手法的使用方面，可以使用ATT&CK：1）对攻击者在不同攻击阶段使用的攻击技术进行模拟；2）对防护系统应对不同攻击手法的检测和防御效果进行测试；3）针对具体的攻击事件进行详细的分析和模拟。

（2）红队，指的是在红蓝对抗中，在不使用已知威胁情报的前提下，红队的最终目标是攻陷对方的网络和系统，而不被检测发现。ATT&CK则可以被红队用于制定和组织攻击计划的工具，以规避网络中可能的防御手段。另外，ATT&CK还可以用于研究攻击者的攻击路线，进而摸索出绕过普通防御检测手段的新方法。

（3）行为分析开发，指的是通过对攻击者的攻击行为进行检测分析，进而识别网络和系统中潜在的恶意活动，这种方法不依赖于已经识别的攻击工具特征和攻陷指标IoCs的信息，比传统的通过攻陷指标IoCs或恶意行为签名的方法更加灵活。ATT&CK可以用作构建攻击者攻击行为的工具，以检测环境中的攻击行为。

在实际应用方面，可以使用ATT&CK对攻击者的攻击手法进行对比，通过分析攻击者攻击手法的重叠情况，判断攻击是否由同一个组织发动的。

（4）防护差距评估，指的是对企业在网络防护能力的不足方面进行评估。ATT&CK可看作一种以攻击者攻击行为为中心的模型，用于评估企业内部现有的检测、防护和缓解系统，确定防护差距后，指导安全增强的投资计划，进而改进和提升现有的系统。

（5）SOC成熟度评估，指的是利用ATT&CK，对企业的安全运营中心在网络入侵时的检测、分析和响应的有效性进行评估。

（6）网络威胁情报增强，指的是将ATT&CK作为传统基于攻陷指标IoCs的情报应用的补充。网络威胁情报指的是影响网络安全的网络威胁和攻击者群体的知识，包括关联的恶意软件、工具、TTPs、行业、行为以及威胁相关的其它攻击指标信息。ATT&CK可从攻击组织行为角度对其进行理解和描述，分析和运维人员可以更好的理解攻击组织的共同行为，以采取更好地防御措施。可以看到将ATT&CK用于检测的方法较传统的IoCs的检测方法要复杂得多。

四 ATT&CK与情报的关系

按照Gartner的定义，威胁情报是：针对一个已经存在或正在显露的威胁或危害资产的行为的，基于证据知识的，包含情境、机制、指征、影响和可行动性建议的，用于帮助解决威胁或危害进行决策的知识。而按照iSight的定义，威胁情报指的是：关于已经收集、分析和分发的，针对攻击者和其动机、目的和手段的，用于帮助所有级别安全的和业务员工用于保护其企业核心资产的知识。

以上的定义偏学术，不是很容易理解，特别是跟客户介绍威胁情报业务，因此，跟客户可以这样介绍威胁情报：我知道你不知道的关于你的安全威胁信息；另外，从攻防对抗的角度，情报就是对手（Adversary）；而从安全响应闭环理解，威胁情报是（设备、系统和分析人员的）安全检测和分析能力的汇集。

按照网络威胁情报困难程度金字塔的描述，根据描述利用威胁情报引起攻击者的攻击代价大小或者痛苦指数，可以将威胁情报分为：Hash值、IP地址、域名、网络或主机特征、攻击工具和TTPs。

对于攻击者来说，入侵时投递一个特定样本，一旦通过Hash匹配和检测到该样本，只需要变更一个比特位或者多添加几个字符，就可以改变样本的Hash，进而逃避基于Hash匹配进行的检测；

一旦攻击者的TTPs被识别和应对，攻击者就会被迫放弃之前的攻击手法，而重新学习新的手段，这个代价对于攻击者而言是高昂的；

ATT&CK是一种描述TTPs的表达规范。

针对目前各个层次的威胁数据模型和规范对比，如表所示。

其中，STIX、CAPEC和ATT&CK均可用于TTPs的描述，对STIX 1.0、 STIX 2.0、CAPEC和ATT&CK进行对比，如表所示。

至此，各层次威胁情报表达规范的理论基础已经完成且完整。

结合等级保护条例2.0中提出的部署威胁情报检测系统成为合规的必需，以及在HW行动中威胁情报发挥的重要作用，可以预计威胁情报的应用和落地将迎来爆发性增长。

在判断未来威胁情报发展的方面，具体的，可以从广度和深度层面，预判威胁情报的应用方向。从广度层面，可以根据威胁情报规范支持的业务用例来分析威胁情报的应用方向，可以归纳为：1）威胁检测；2）事件调查和取证；3）威胁分析；4）情报共享；5）事故管理；6）漏洞管理；7）风险评估；8）红蓝对抗；9）攻击者仿真；10）SOC成熟度评估等，如表所示。

在深度层面，可以从当前设备和系统支持的情报类型进行判断，以检测为例，当前支持的威胁情报检测主要集中在Hash、IP地址和域名上，后续可以尝试往网络或主机特征、网络工具和TTPs方面进行支持。

五 响应闭环

前面描述的是检测、分析场景，后面进入响应闭环。我们知道，在一次攻防对抗中，攻击者从开始攻击到攻陷目标，以及从攻陷目标到窃取数据，往往只需要几分钟；而防护人员从系统被攻陷到发现被攻陷，以及从发现被攻陷到排查恢复系统，往往需要几天、几周甚至几个月的时间。攻防双方的不对称性是当前网络空间安全防护的最根本问题。

而在攻击过程中，从攻击者开始实施攻击到防御方发现识别攻击，这段时间是攻击者的自由攻击时间。从识别攻击到系统响应和恢复，这是系统的响应处置时间。威胁情报重点解决的是缩短攻击者的自由攻击时间，即快速检测和识别攻击者的攻击行为；而从整个响应闭环的角度来考虑，还需要缩短系统的响应处置时间。

目前相关的模型有很多，也在不断迭代更新，从PDR到PPDR，再到IPDRR、IPDRRDR和OODA，但本质上还是强调响应闭环，即快速检测和识别、快速响应和处置。这是SOAR重点关注的内容，最大限度的缩短检测和响应处置时间、简化流程、提升运营效率。以IACD为例来分析威胁情报为代表的热点安全技术在响应闭环中所处的位置。

IACD目前是最规范、最完整的安全自动化编排规范（IACD详情介绍见链接）。IACD体系结构包括：

（1）传感器/传感源（Sensor/Sensing Sources）：传感器接收和发送数据到编排服务；

（2）执行器/执行点（Actuators/Action Points）：执行器实现对网络事件的响应行为；

（3）传感器/执行器接口(Sensor/Actuator Interface，S/A 接口)：S/A接口使得企业内的各式传感器和执行器集合可以相互通信；

（4）意义构建分析框架SMAF：SMAF用于丰富信息；

（5）决策引擎DME：DME将决定采取什么样的响应措施是合适的；

（6）响应行为控制器RAC：RAC将响应措施传输到一个响应行为队列中；

（7）编排管理OM：OM调整信息流和编排服务的访问控制；

（8）编排服务（Orchestration Services）：五个组件的集合(S/A接口、SMAF、DME、RAC和OM)。

其中，检测类情报主要用于传感器/传感源部分；以OpenC2为代表的设备系统控制规范主要用在传感器/执行器接口部分；目前讨论和研究比较火热的大数据分析技术，主要用在意义构建分析框架SMAF和决策引擎DME中，基于采集和积累的数据开展分析和决策；Playbook可以理解为积累和归纳的处置流程预案，主要体现在响应行为控制器RAC中；执行累情报则通过传感器/执行器接口，根据响应行为控制器RAC制定的Playbook，在执行器/执行点中执行响应的处置操作。

在IACD整个响应处置流程中，可能会涉及不同的业务场景，任何一家厂商都难以构建完整的工具和产品能力。IACD对安全产品和能力进行抽象，以便甲方可以充分整合不同厂商的安全产品和安全能力，缩短检测和响应处置时间，以发挥最佳的安全效果。

IACD在实验局点测试中，实施效果改进明显，其中：检测时间缩短了99%，对事件的并发处置能力提升了10000倍，响应时间缩短了98%。

可以预见随着以IACD为代表的安全自动化编排规范和技术在不同业务场景的逐步落地和发挥效果，响应闭环将深刻影响着自动化安全技术和安全产品的发展和应用。

六 展望和建议

随着近几年对威胁情报和自动化响应编排等概念的炒作，现在已经逐步实际积累、应用和发挥效果的初级阶段，对于后续的技术发展和市场前景，笔者持积极乐观态度，同时，也梳理了几点建议：

（1）威胁情报已然成为安全防护体系的基础组件，云、管、端的安全防护、检测和分析累的设备和系统，需要在深度和广度层面，支持威胁情报应用的检测和响应处置功能；

（2）安全防护、检测和分析类产品需要支持接口化（不只是API）、规范化（OpenC2）、云化、运营化；

（3）在分析和响应处置过程中，安全分析人员的分析处置能力尝试往Playbook和知识图谱等方面进行整合和沉淀，提升自动化分析和处置的程度，降低人力依赖成本；

（4）IACD是构建大型防御体系、新型安全生态和产品的重要参考，是目前网络空间安全业务的重要方向，也是国际一线安全企业的最新重要实践，建议国内安全企业的规划和实践人员可以参考学习；

（5）由大甲方（政府、国企等）和大乙方（大型安全厂商）尝试构建互补的、良性竞争的安全合作生态，避免安全厂商构建全栈安全产品线的、同质化的竞争。

名词解释

（1）ATT&CK，AdversarialTactics, Techniques, and Common Knowledge，对抗性策略、技术和通用知识；

（2）SOC，SecurityOperations Center，安全运营中心；

（3）TTPs，Tactics, Techniquesand Procedures，战术、技术和程序，也叫攻击战技；

（4）IoCs，Indicator of Compromise，攻陷指标；

（5）IACD，Integrated Adaptive Cyber Defense，集成的自适应网络安全防护框架；

（6）PDR，Protect-Detect-Respond，保护-检测-响应；

（7）PPDR，Predict-Prevent-Detect-Respond，预测-防御-检测-响应；

（8）IPDRR，Identity-Protect-Detect-Respond-Recover，识别-保护-检测-响应-恢复；

（9）IPDRRDR，Identity-Protect-Detect-Respond-Recover-Diagnose-Refine，识别-保护-检测-响应-恢复-诊断-改善；

（10）SOAR，Security Orchestration, Automation and Response，安全编排、自动化和响应；

（11）OODA循环，Obeseve, Orient, Decide, Act，观察，调整，决策以及行动；

（12）SMAF，Sense-Making Analytic Framework，意义构建分析框架；

（13）DME，Decision Making Engine，决策引擎；

（14）OM，Orchestration Manager，编排管理；

致谢

特别致谢杨大路、金湘宇、姜政伟和邢士康对本文内容提出的修改意见和素材！

最后，小小的吸粉一波，关注公众号并回复“ATT&CK”，获取随时更新和梳理的ATT&CK相关理论、架构、应用和落地相关内容的PPT文件，随时欢迎交流和讨论！

声明：本文来自小强说，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。