后台有留言“是不是可以借鉴MITRE ATT&CK来看网络空间武器的构造”。我觉得这是个挺好的切入,也试着换个视角,重新审视网络武器的构造。攻防两者始终是在博弈中螺旋上升。用结构的视角去看待网络武器的构造,本质上还是希望能够比攻击者“先一手”!虽然确实有些难!
谈到MITRE ATT&CK框架时,通常会首先想到那14个代表攻击者意图的战术(Tactics),覆盖了从攻击前、入侵立足一直到达成目标的攻击生命周期。但如果试图从“武器构成”的视角去研究和拆解时,ATT&CK当前的颗粒度会带来一些尴尬:体现“目标”的战术太宏观,而技术(Technique)又太琐碎,像 T1595(主动扫描)、T1589(搜集身份信息)这样具体的动作,如果都看作独立的“武器零件”,那么一个完整的武器系统将包含成百上千个细碎的零件。
这种碎片化的状态既不利于宏观的构造分析,也不符合系统工程的规律。如果想研究对应的网络防御武器,似乎也有一种要么太粗要么太细的感觉。所以,尝试着用一个相对共识的概念,来把这些离散的技术“组装”起来。
一、引入“功能总成”,这一中间层
在信息系统开发中,有一个术语是“功能总成”(Functional Assembly),感觉上它可能适合用来描述网络武器的构建逻辑。不过,这个被使用很多的词组,似乎没有官方的定义,也可能是我没有找到。借助大模型,我暂且把它定义为:“功能总成”是围绕某一类战术目标,将多种离散技术进行工程化封装而成的独立能力模块。这不仅仅是概念上的聚合,更是工程上的交付,一方面是向下屏蔽复杂性:内部自动处理底层技术的异构性(比如不同扫描脚本的调度、不同云资源的 API 差异);另一方面是向上提供标准接口:通过标准化的输入(如目标清单)和输出(如结构化情报、可用阵地),供上层武器系统灵活调用。
总想找个更容易理解的描述方式,让这种结构或者关系更加的有画面感,想来想去,想到了甲乙方关系。战术(Tactics)好比是甲方的需求(比如:我要获取情报),而技术(Techniques)则是具体的手段(比如:用 Nmap 扫一下),那么功能总成(Assembly)应该更像是乙方最终交付物(比如:一套自动化的情报侦察系统或者资源库之类)。
二、攻击前(PRE-ATT&CK)阶段的网络武器构成
可以拿攻击链的最前端——PRE-ATT&CK阶段来做这个思路的验证。虽然这一阶段常被认为是简单的“准备工作”,但从武器的视角来看,这是构建体系的地基。通过“功能总成”也可以把这一阶段的两个核心战术——侦察(Reconnaissance)和资源开发(Resource Development)进行联动分析。
一是侦察:从“动作”到“感知”。侦察就是扫描端口、搜集邮箱、获取网情等。从现在防御案例来看,攻击者在攻击过程中,往往也不会把这些当成独立动作,不再是简单地搜集数据,而是构建高质量的“目标画像”,那么在这个过程中,其实就出现了“情报侦察与目标标定的功能总成”,某种意义上也是武器构造的过程,将碎片化的开源 数据、网络测绘数据,或者暗网情报进行自动化清洗与关联。当然,在形成最后的有效交付物的过程中也存在着工程层面和技术层面的难点,工程层面:如多源异构数据的“时空对齐”。目标使用了云服务,IP是动态变化的,如何确保我们追踪的“身份”与当前的“IP”是匹配的?技术层面:现代防御体系对扫描极其敏感,有效的侦察总成应该是“隐身”的,如何通过被动测绘或模仿正常流量来完成渗入式感知?
二是资源开发:从“构建”到“敏捷”。ATT&CK 将购买域名、VPS、开发恶意软件归为“资源开发”。现在这一部分越来越像DevOps,只不过对象从业务系统变成了攻击系统。其核心能力是实现资源的自动化编排(AttackOps)。无论资源是买来的还是黑来的,都必须被统一管理——全球范围内的僵尸网络、VPS、无服务器函数等等,需要像云原生应用一样实现“一键部署、瞬间销毁”。在武器构造视角下,这是一个“攻击阵地构建工程化总成”。这个总成最终交付的,不应该是一堆零散的服务器,可能是一个“弹性攻击阵地池”吧。
基于上述逻辑,试着整理了一张表,是这两个战术对应的功能总成、核心能力及最终交付实体(这张表依然是借助了大模型,不得不说确实效率提升了不少):
三、一些感悟
借用互联网的流行词汇,功能总成的目标就是让“需求”与“供给”在特定的环境条件下进行“对齐”,而这就需要通过“升维”,以类似乐高积木拼搭的方式,将合适的功能放在合适的位置,并加上正确的配置。随着思维展开,一些模糊的概念逐步清晰起来,借助Banana画了一张意象图,有点“软件工厂”的意思了。
但需要解决的问题还有不少,比如能力的度量、效果的检验、工具的迭代、技法的更新……有待进一步切磋研究。
声明:本文来自青青喵吟 悠悠网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
