ATT&CK(AdversarialTactics, Techniques, and Common Knowledge)是一个攻击行为知识库和威胁建模模型,主要应用于评估攻防能力覆盖、APT攻击防护、威胁狩猎、威胁情报关联及攻击模拟等领域。自发布以来,知识社区相当活跃,引发工业界和研究界的热捧,已逐渐发展为网络威胁分析语境下的通用元语。ATT&CK以相对适当的知识抽象层次,充分覆盖威胁领域的技战术场景,给安全防御能力的匹配与对比提供了标杆和抓手,是其成功的关键。在ATT&CK的驱动下,越来越多的数据源采集能力成为企业威胁防护的标配。不过,对于安全运营团队来说,大规模、规范化的采集数据的接入只是起点,如何利用数据对抗愈发隐匿的高级威胁行为,持续降低企业和组织的风险才是关键所在。本文将从实践出发,探讨总结ATT&CK驱动下安全运营数据分析的实用性挑战。
一、数据挖掘的新机遇
ATT&CK之前,LockheedMartin的攻击链模型(Cyber Kill Chain),微软的STRIDE模型等是威胁建模、告警分类分级、知识库建设的重要基础。各个安全厂商普遍量身定做了细粒度威胁模型。MITRE通过开源众筹的ATT&CK知识库,以适中的抽象方法,较成功的实现了系统化的攻击者技战术行为建模,有效的降低了威胁情报、威胁建模等领域的沟通成本。如果说传统威胁分析能力的建设是大家在各自的语境方言里自说自话,那么ATT&CK就给出了一个词典基线,识不识字、能力强弱的问题大家对齐语义就可以拿出来比一比了。
图1APT29的预防手段与检测(数据源)[1]
ATT&CK为网络战场的防守方提供了一个攻防备战全景手册,上图展示了覆盖APT29的预防和检测需要实现的缓解措施列表和检测数据源列表。包括终端、网络、文件等多源、多维度的二十余类数据的采集,给威胁分析带来全新的分析机遇,包括多维度细粒度的线索与关联、深度的事件取证、更准确的威胁态势风险评估等等。可以说,ATT&CK知识库在一定程度上促进了XDR(ExtendedDetection and Response)解决方案的概念炒作。多源多维数据源的集成本身不是新鲜事,但以真实APT情报驱动,并层次化映射到威胁行为的战术和技术实现层面,ATT&CK矩阵实例化展示了高级威胁防护的落地思路。总结来看,ATT&CK驱动下的数据融合为威胁防御方带来以下新的机遇:
促进数据归一化、本体化及关联性提升。无论是内部检测能力命名,还是与外部威胁情报对接,ATT&CK矩阵为企业或组织内数据湖的数据融合提供了技战术抽象层次的对齐方案。基本的,类似告警或事件有了明确的归类层次。进阶的,数据中隐含的数据实体及其关联关系,能够在统一的框架下实现本体化建模,为知识图谱等基于网络和图的数据结构的构建提供基础。
促进分析能力与业务的解耦。诸多机器学习算法已经应用于威胁检测、溯源等环节。然而,许多技术底层集成类似的分析算法却形成看似不同的应用方案。其中的技术冗余为数据分析能力的可拓展性带来瓶颈。ATT&CK矩阵从攻防视角为“安全能力中台”的构建提供了新思路。通用算法能力能够从传统的数据分析孤岛中抽象出来,并与上一层的安全业务需求解耦。例如,经典的序列分析模型可用于事件预测、异常检测等不同层次的场景。在统一的数据湖之上,分析算法能够充分模块化,形成可编排的调用接口以供灵活的调用与集成。
促进分析算法的语义化。欠语义化一直以来都是数据驱动威胁检测的痛点。基于统计的模式识别与因果分析,往往需要在适当先验知识的约束下,才能适应安全数据的分析目标。ATT&CK通过矩阵的战术阶段划分,在目标层、分析层以及数据层上自然的提供了有明确语义的关联关系。这一语义增强,给数据驱动威胁分析结果提供了讲故事的范本,为运营人员提供了可解释、可理解的线索入口。
图2融合ATT&CK与KillChain的攻击建模[2]
二、数据挖掘的实用性挑战
ATT&CK是攻防世界里的一次知识标准化的浪潮,已经切实的渗透到安全能力发展的各个角落。我们看到愈发多的框架设计、解决方案、产品实现已经融合ATT&CK的思想与知识标签。当开始直面ATT&CK驱动下新的数据形势,在看到威胁狩猎新机遇的同时,我们也发现更大规模、更全面的数据覆盖,给安全运营带来全新的挑战。当然,这些挑战绝大部分不是ATT&CK引入的新话题。ATT&CK引发的攻防思潮的统一,很大程度上对安全运营数据梦魇的出现起到了推波助澜的作用。
本质上,大规模安全运营数据分析的困难来自于攻守的不平衡性。常态化安全运营的目标是在合理的投入产出比下,持续的监控并降低企业和组织的系统化安全风险。能够在态势大屏上展现出来的威胁趋势,很难适用于高隐匿性、低频的高级威胁的狩猎任务。在攻守失衡的条件约束下,ATT&CK似乎给出一剂良药的配方,那么按照配方收集好每一味药材,熬一熬就能预防病害吗?网络安全威胁的破坏性,要求防御方不能求诸玄学。以下,将从数据接入、线索发现、事件重建三个角度,总结在探索ATT&CK科学化应用中的关键性挑战。
1 数据接入:系统瓶颈与数据风险
图3溯源数据分析系统的一般技术框架[3]
如前所述,一方面高级威胁低频且具有隐匿性,另一方面企业和组织需要持续进行风险管控。因此,从ATT&CK矩阵覆盖率的角度考虑,所需采集的数据种类多、数据规模异常庞大。上图展示了一个典型终端威胁检测处理系统的架构,涉及从数据采集、管理、检测等多个环节。如果没有有效的预处理环节,单台用户主机的日常流量、终端行为日志量至少每天可达数百兆字节,更不用说提供服务资源等功能性节点。不止是数据吞吐量大,为了满足合规需求,支持事件溯源、关联等威胁分析任务,所采集的数据往往需要长达数百天的持久化留存。这些数据的采集、传输、存储等给算力、网络、数据库等各个系统环节带来巨大的压力。其衍生后果就是,许多采集能力被禁用,大量数据在预设的价值判断策略下被提前丢弃,这可能导致威胁线索和证据链的时效。数据爆炸所产生的这些现实问题成为XDR等技术方案落地的关键阻碍。
此外,尽管有策略配置的限制,终端、网络数据的细粒度采集,难免会将涉及用户隐私,或者企业核心服务相关敏感行为等数据上传到云端等中心化数据中心中。这种安全数据采集引入的伴生数据风险,将对其安全能力的落地引入新的担忧。
2 线索发现:召回模型与高误报率
ATT&CK矩阵中的大部分攻击技术抽象都是召回策略驱动的。如下图所示,是MITRE所跟踪观测的93个APT组织利用次数最多的十种技术(该技术划分命名基于改版之前的MITRE矩阵,尚未包含子技术的概念)。笔者看来,其中能够直接对应到攻击行为的技术描述,只有Spearphishing Attachment,CredentialDumping和Obfuscated Files这三类,其他七类技术划分单独来看,都是正常网络行为与操作。ATT&CK的关键目标在于覆盖和召回,而从安全运营的视角来看,在事件规模膨胀的现状下,误报率是一个非常关键的有效性衡量指标。一项针对赛门铁克终端告警的分析表明,由34台机器触发的58096条告警中,与检测目标APT29行为相关真实告警只有1104条,告警的精度只有1.9%。大规模误报告警带来的误报疲劳,会持续降低整个安全运营团队的运转效率。当然,除了攻击技术分类之外,ATT&CK针对每一种技术,都提供了有指导意义的预防和检测策略。不过,这些防御策略的落实仍需在实际的数据分析中试错。
图4MITRE APT关联的常见技术统计[4]
3 事件重建:一词多义与依赖爆炸
ATT&CK通过阶段划分,给具体技术的归类赋予了一定的语义关联,给安全团队讲故事提供了线索串联的范本。然而,从数据挖掘和关联的角度,有两个重要的问题需要考虑。第一个问题是一词多义,是指一个技术可能横跨多个战术实现,并以不同的粒度出现在一定的威胁上下文中。例如T1053定时任务(ScheduledTask/Job),包含在执行(Execution)、持久化(Persistence)和提权(PrivilegeEscalation)三个战术目标中。ATT&CK将T1053技术划定为一种统一的技术,并未针对具体战术进行细粒度的描述。这本质上是由ATT&CK的技术抽象层次决定的,然而这给数据分析任务带来新的挑战——需要解决充分理解技术触发的上下文,并赋予该技术明确的战术语义。
图5APT 29攻击事件溯源数据图[4]
第二个问题是依赖爆炸。这包含两个层次,第一个层次是ATT&CK的战术模型不是因果模型,也不具有统计意义。我们可以从MITRE提供的APT实例中看到具体的技战术执行数据流。然而,在实际检测、溯源分析中,技战术的跳转是矩阵中的多战术之间、单战术之内的多种技术方案的排列组合问题,在任何特定场景和实际环境中的高级威胁行为序列是独特的,规律性难以捕获。第二个层次是在细粒度的溯源数据层面(Provenance),现阶段的数据采集在一定的资源限制下,难以精细刻画信息传递流。像文件操作、网络输入、进程创建等,存在一对多、多对多的路径依赖问题。由于该层次数据的细粒度特性,依赖爆炸直接加剧了数据存储、检测、溯源等各个环节的技术难度。
三、总结
从安全运营的实战来看,MITRE ATT&CK从数据规范性、能力抽象、语义增强等多个方面给威胁建模与分析领域带来新机遇。然而,ATT&CK也逃不过安全运营大规模数据分析挖掘的实用性命题。本文总结了多个层次中,与ATT&CK相关的数据挖掘挑战,以期与各位读者分享数据与智能驱动安全运营的未来发展方向。抛出问题之外,我们也在持续探索解决之道,欢迎大家关注AISecOps系列往期文章,更多技术分享在路上。
声明:本文来自绿盟科技研究通讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
