企业安全：ATTCK框架概述.docx

企业安全：ATTCK框架概述 如果把乙方安全厂商和甲方运维服务的核心技术比作安全大脑，那么“右脑知攻、左脑知防”便是应对黑客攻击的最强大脑。 一、ATTCK简介 MITRE一个向政府和互联网行业提供系统工程、研究开发和信息技术支持的非营利组织。在一次米德堡实验(Fort Meade Experiment，FMX)研究项目中，MITRE组织首次提出了对手战术技术与常识(Adversary Tactics and Techniques Common Knowledge，ATTCK)模型。该模型汇聚了全球安全社区贡献的实战高级威胁攻击战术和技术，形成了针对黑客行为描述的通用语言和黑客攻击抽象知识库框架，进而建立了从“知攻”到“知防”的桥梁，为防守方提供了明确的行动指导，使安全运营不仅知己而且知彼，从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力，并在实战对抗中持续改进提升。 1.1 ATTCK发展历程 ATTCK模型可以说在众多安全框架模型中发展最为迅速。自从2013年，MITRE在米德堡实验(Fort Meade Experiment，FMX)研究项目中，首次提出了ATTCK模型以后，一些知名安全厂商也陆续开始在设备产品中增加针对ATTCK模型的支持，并将公司记录的黑客攻击手法和攻击行为进行整合，贡献到了ATTCK知识库中。近两年来，RSA、SANS、Blackhat、Defcon 等一线安全会议、大批厂商和研究人员在ATTCK模型基础之上进行交流，同时将使用的工具和实践经验公开分享。在2019年3月，RSA大会中，有超过10个议题讨论将ATTCK用于攻击行为建模、改进网络防御、威胁狩猎、红蓝对抗复盘、攻击检测方面的研究和分析。在2019年6月的Gartner Security Risk Management Summit?会议中，ATTCK被F-Secure评为十大关注热点之一。由此可以看出，随着?ATTCK 框架的不断完善和延伸，其应用方向也更加广阔，同时新的研究领域也在蠢蠢欲动。 1.2 KILL CHAIN模型 “杀伤链”(KILL CHAIN)模型是由洛克希德-马丁公司所提出的威胁情报驱动防御模型，用于指导并识别攻击者入侵网络目的所需完成的所有活动。“杀伤链”模型一共包括7个步骤：侦察跟踪(Reconnaissance)、武器构建(Weaponization)、载荷投递(Delivery)、漏洞利用(Exploit)、安装植入(Installation)、命令控制(Command Control)、目标达成(And Actions)。每一步的具体内容如图1-2所示。 “杀伤链“模型起源于网络入侵防御早期，突出了病毒和漏洞相关的外线防守(Perimeter Defense)，但是无法完整的涵盖现代黑客入侵方式的灵活性，例如无文件攻击，利用合法攻击的离地攻击(living off the land），同时对这种常见的黑客攻击方式只是简单笼统描述为远程控制及扩散（Actions on Objectives），并没有对攻击方式、产生的影响、危害以及如何防止进行详细说明，攻防对抗相关的其他场景例如蠕虫病毒爆发，垃圾邮件和网络社工等也未曾涉及。 1.2 ATTCK研究意义 无论是著名的“杀伤链“模型还是其它知名的威胁模型都只是在宏观角度上阐述了黑客入侵和攻防对抗方面的知识，使人知其然而不知其所以然。攻击威胁可以被感知却因没有细节知识，无法转化为对抗能力，应对黑客攻击的安全产品无法得到有效评估，安全建设陷入安全合规的浅层次应对，进而出现了引人深思的三个问题：威胁无从认知，产品无法评估，技术无法提高。 a)???威胁无法认知：当前的安全防御体系有效性如何，能否抵御未知的、甚至已知的黑客入侵攻击以避免数据泄露或业务受损。 b)???产品无法衡量：每年几百万，甚至数千万的安全预算采购安全产品和服务，是否物有所值，带来了组织整体安全能力的持续提升，如何确定安全投资建设的优先级。 c)???技术无法提高：每年大型实战攻防对抗演练梳理了攻击防守流程，明确了公司资产，修复了高危漏洞，锻炼了安全队伍，但是能否更进一步将这宝贵的实战经验用以持续提升安全防御体系，在“战时”运维人员和厂商安全服务回归“平时”后依然能有效应对“常态化”攻击。 总体来说，ATTCK模型是在洛克希德-马丁公司提出的Kill Chain模型基础上，构建的一套粒度更细、更容易共享的知识模型和框架。目前ATTCK模型可分为三部分：PRE-ATTCK，ATTCK for Enterprise和ATTCK for Mobile。其中PRE-ATTCK覆盖Kill Chain模型的前两个阶段，包含了攻击者在尝试利用特定目标网络或系统漏洞进行相关操作的战术和技术。ATTCK fo