摘自:《网络安全技术和产业动态》2021年第5期,总第11期。

中国网络安全产业联盟(CCIA)主办,安天科技集团股份有限公司供稿。

威胁框架是Threat Framework的简称,指在主流操作系统平台支持下,描述网空威胁技术特点的通用方法。ATT&CK威胁框架是美国MITRE公司于2015年在经典网空杀伤链模型(Cyber Kill Chain)的基础上派生出来的。ATT&CK威胁框架最大的特点是基于实战,以攻击者视角,从真实的网络威胁中提炼并归纳出各种技术、战术特点,从而指导技术研究以及产品研发。另外,ATT&CK威胁框架还可以作为一种评价不同安全产品的技术参考指标,进而运用到安全产品采购、运行维护等应用场景中。

随着5G、下一代互联网的快速发展,威胁在不断快速发展,作为对抗威胁的重要技术手段,ATT&CK威胁框架也不断发展演化。国内外众多安全研究工作者、安全厂商纷纷采用ATT&CK威胁框架,进行技术分析研究或产品落地实践。

一、ATT&CK威胁框架发展情况

从2015年ATT&CK威胁框架诞生以来,经历了多次版本的更新和维护。2020年7月发布的7.0版,首次引入了“子技术”的概念,将各个相同子技术汇集,对攻击技术进行“原子化”分类展示。当前最新版为2021年4月底发布的9.0版,在上一版增添的SolarWinds软件供应链攻击特征的基础上,又增加了“容器安全”的内容。

整体上来说,威胁框架平均更新频率为3到4个月,以跟进和适应当时最新的威胁发展态势。ATT&CK威胁框架最显著的特点是采用战术(Tactic)和技术(Technique)两个维度来对攻击者的行为进行刻画和分类描述:战术主要描述威胁的攻击过程和阶段,细化了攻击者在不同战术类别的不同目标;技术是各个不同的战术目标的具体实现方式。相对而言,技术的变化较多且更新频繁,而战术类别的划分相对固定,其主要是参考传统杀伤链攻击模型。

最新版本的ATT&CK威胁框架列出了14种战术类别,200多种技术类别(子技术不单独计算)。其中,不同的技术类别分散在不同的战术类别中,且同一种“技术”可能被运用到不同的战术类别。14种战术类别分别为:侦察、资源开发、初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出以及影响。

同时,最新版本的ATT&CK威胁框架覆盖平台除了传统的Windows、MacOS、Android和iOS移动以及Linux操作系统平台外,还包括各种云平台、SaaS应用平台、网络以及工控ICS平台。

二、ATT&CK威胁框架发展难点

目前,ATT&CK威胁框架发展难点主要体现在多种平台的覆盖方面。

首先,形成一套业内通用的技术表达体系和通用术语并不容易,特别是应对不同的操作平台,以及日新月异的云平台以及各种类型的工业控制ICS平台。

其次,威胁不断发展演化,其赖以寄生的应用平台,特别是操作系统底层也在不断演化过程中,如何让该框架更快、更全面覆盖攻击者的各种攻击手段,是其面临的现实挑战。一方面,高级威胁往往是非常隐秘进行的,很多时候威胁攻击已经造成了实际的后果,却不为最终的用户所感知,更无从调查取证。这一点,从2020年底发生的SolarWinds攻击事件也可见一斑。另一方面,该威胁框架非常全面和细化也是一把双刃剑:有时因为过于复杂或者难以明显区隔,导致不能发挥其应有的作用。

三、ATT&CK威胁框架产业落地情况

目前,ATT&CK威胁框架已经得到了国内外网络安全产业界的认可和实践,在产品实现和技术服务中取得了较好的实际应用。伴随着威胁的不断演化和进化,ATT&CK威胁框架也在保持一季度左右更新一次的频率,以适应不断变化的攻击场景。

ATT&CK威胁框架的主要应用场景包括以下几个方面:

- 安全产品的网络防御能力展现:利用其可以直观而且客观的查看和比较安全产品的能力覆盖点,这为最终用户选择合适的网络安全产品提供了一个明晰的技术参考。

- 高级威胁防御:通过对高级威胁使用的各种技术和战术特色进行刻画和原子化描述,使防护方能够有的放矢,更有针对性,促使防护价值最大化。

- 未知威胁的发现:未知威胁的防护是聚焦点,全面、彻底的ATT&CK威胁框架技术和功能点覆盖,使得对未知威胁的追踪有章可循。即使是未知威胁发起的网络攻击,也很难绕过14个战术类别的范畴。

- 攻击者仿真测试:MITRE提供的ART(Atomic Red Team)“原子化攻击仿真”测试集合,能最大限度的模拟各种已知的攻击手段或者各种技术手段组合,为网络安全解决方案提供真实的测试参考依据。

就产业落地而言,2020年7月,Gartner在一份关于网络安全企业如何采购合适的网络安全产品的评估报告中,利用了MITRE的ATT&CK威胁框架作为衡量不同厂商不同产品的对比依据。该报告显示出三个不同的厂家的两类产品在整个ATT&CK威胁框架覆盖重叠程度,为企业做出合理的采购决策提供直观技术参考依据。美国网络安全公司FireEye在分析2020年12月的SolarWinds软件供应链攻击中,全面采用了ATT&CK威胁框架,认为其至少采用了17种技术手段。除FireEye外,微软公司、Splunk公司以及Picussecurity网络安全领先公司等都全面采用了ATT&CK威胁框架,作为分析高级威胁的技术表达体系和分析框架。

国内网络安全企业也在积极围绕ATT&CK威胁框架进行技术分析和产品研发工作。在技术分析方面,以安天、奇安信等网络安全企业为代表,全面结合ATT&CK威胁框架理论来解释佐证其各种技术分析报告。在产品和解决方案应用方面,安天以及360政企安全均声称全面支持ATT&CK威胁框架,不管是端点侧的EDR安全产品,还是网络侧的监测分析及预警平台。

四、意见和建议

ATT&CK威胁框架作为一种新出现的描述网络空间威胁的知识库,为应对日益复杂的网空威胁,提供了有力的技术支撑,同时也得到了研究者和安全厂商的支持和具体实践。

结合我国网络空间安全形势,建议从相关网络安全主管机构、网络安全从业者两方面来运用和实践该威胁框架,并从中找到适合我国自身的威胁框架描述模型。

(1)建议相关网络安全主管机构,在目前已有的网络产品或者服务评估机制的基础上,引入ATT&CK威胁框架作为评估网络安全产品或者服务的技术参考指标,使得对其技术评估更直观。

(2)建议网络安全从业者作为ATT&CK威胁框架的实践主体,积极参与网空安全的研究分析并进行网络安全产品的开发实践。通过ATT&CK威胁框架实践可以逐步摆脱依靠传统手段进行威胁发现、预防的局限,不仅仅检测“实际已发生的攻击”,更要前摄以识别“潜在的威胁”;应用最新的ATT&CK威胁框架,通过干扰和反制对手的入侵准备,提高对手攻击成本,降低对手攻击的效率和成功率,从整体上提升既有安全产品及服务体系的安全价值。

ATT&CK威胁框架只有和具体的应用相结合,并随着威胁的不断演化、升级才能发挥其最佳优势。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。