所謂知己知彼、百戰不殆,面對現今無法避免的針對性攻擊風險,要能夠了解自己並了解敵人,顯得越來越重要,不論是駭客攻擊手法分析與調查,以及網路威脅情報,都成為這幾年企業防護關注的焦點。不過,近一年來,出現了另一個APT防護必學的攻略,那就是以剖析攻擊面的資安框架MITRE ATT&CK。
因為,這個由MITRE提出的ATT&CK,對於描述駭客攻擊戰術流程,提供了具體且通用的架構,能帶來相當大的幫助,可以讓資安產業與企業之間,能有更一致的標準,去溝通與理解已知攻擊者入侵行為可能帶來的安全風險。例如,對於駭客偷取密碼的行為描述,業界能有統一的標準去依循,並讓企業可以更容易從攻擊手法前後,檢視入侵過程與關連性。
值得注意的是,對於ATT&CK這樣的概念,或許多數國內企業還是感到有些陌生,但其實它已經被全球許多資安業者與專家看重,而這股風潮更是在今年迅速發酵。
例如,今年3月初,在全球最大資安會議RSA Conference上最夯的話題,MITRE ATT&CK就是其中之一,而國內在3月中舉行的臺灣資安大會上,我們也看到許多講者,都開始提及或探討這個資安框架。
不僅如此,現在已經有資安業者,在他們的網路威脅情資或報告中,開始使用ATT&CK來解釋威脅入侵階段的攻擊描述,甚至已經把這套框架視為是一種標準,也有資安專家提出建議,企業可以利用ATT&CK,來提升自己的防禦體系,當成評估的標準。
在這樣的趨勢之下,未來ATT&CK將有很大的機會,在資安領域獲得更廣泛的採用,不論是解析駭客攻擊行為,或是用於企業紅藍隊的攻防模擬演練,以及資安方案的評估等。因此,對於ATT&CK這個新興的議題,勢必成為臺灣企業與資安產業,都值得參考與重視的新攻略。
MITRE ATT&CK風潮吹向臺灣,今年臺灣大型資安活動已有不少議程談論
在臺灣資安大會另一場主題演講中,趨勢科技全球核心技術部資深協理張裕敏,在談關鍵基礎設施的安全議題時,特別介紹了MITRE提出的ICS ATT&CK Matrix,並說明此矩陣已經針對工控環境攻擊方法與步驟系統化,區分為橫軸與縱軸呈現的戰略與手法。不過,他也指出,這不僅可以讓使用者與資安公司都受惠,但駭客其實也同樣能夠利用。
對於駭客攻擊流程能有具體且一致的描述
回想過去,面對無孔不入的針對式攻擊,近年來多數資安業者已經不再強調傳統的事前預防,而是更重視侵入過程的主動偵測,以及資安事件處理,並且談論到資安韌性(Resilience)。這是因為,近年的資安事件,已經突顯出每個企業都一定會被入侵的事實,而解析駭客使用的攻擊戰略與手法,就變得相當重要。
事實上,近年資安防護的重點已經更聚焦在網路威脅情報,以及攻擊狙殺鏈(Cyber Kill Chain)、駭客攻擊戰術流程(Tactics、Techniques與Procedures,TTP)的探討,目的也就是為了要更掌握敵人的身分、攻擊手法,才能更有效去因應與防範。
其實,在各家資安業者釋出的網路威脅情資或報告中,已經可以看到各業者描述了駭客入侵過程與手法。包括像是駭客使用釣魚信件、取得電腦權限、提權、繞過端點防護、橫向擴散與偷取資料等一系列的過程,提供給企業當成掌握攻擊流程與防範的參考。只是,過去各家資安業者,其實都有各自一套定義與故事描述方式,去說明整個攻擊過程,而隨著ATT&CK的出現,將開始改變這種各自表述的局勢。
舉例來說,這個ATT&CK提供的知識庫與模型,已經盤點了現行大型駭客組織,所使用的所有攻擊戰略與技術手法,並以系統性的歸納方式,整理成為一個通用的模型。而且,這個框架還在持續更新。
在今年4月,ATT&CK Enterprise框架已經提供新版。目前(6月中),在ATT&CK Enterprise的框架之下,將入侵期間駭客使用的戰略,分為了12個階段,包括入侵初期、執行、持續潛伏、權限提升、防禦逃脫、憑證存取、發現、橫向移動、收集、命令與控制、滲出與衝擊。而在這12項戰略階段當中,目前總共歸納了244項不同的技術手法,進而整理成為,一個可以顯示所有階段攻擊手法的矩陣模型(ATT&CK Matrix)。
換言之,就是透過標準化、架構化的資訊,當資安業者在側寫一個駭客團體攻擊使用的戰術流程與詳細手法時,就能透過這樣的一張矩陣去呈現,相對來說,當各界要檢視攻擊入侵的全貌時,也可以變得更加直覺。
剖析攻擊方具體手法並整理為知識庫,今年上半已歸納244個不同技術
由MITRE提出的ATT&CK資安框架,逐漸已經變成大家所接納的一種標準。這套框架將駭客使用的攻擊戰略與技法,透過有系統性的整理與歸納,進而成為能夠幫助理解攻擊者具備能力的知識庫。
有效幫助各界溝通入侵事件,並為企業防禦評估與攻防演練帶來幫助
為了幫助大家更容易理解,這個ATT&CK矩陣是如何能夠帶來助益,我們簡單畫分成兩大面向,並透過一些例子來說明。
第一個面向,是在複雜的攻擊流程概念溝通,以及威脅情資的報告提供與分析比較方面。例如,當我們要檢視APT3駭客團體的攻擊時,透過這個框架,可以很快看清入侵流程的脈絡,包括他們會使用的技術手法,以及這些技術所處的發展階段。
特別的是,這對於網路威脅情資的報告呈現,有很大的助益。讓各界能有一個更通用的語言,來溝通攻擊入侵的事件,透過這種結構化且便於比較與分析威脅情報的方法,用一張矩陣就能展示其戰術與技術。不論是資安人員彼此之間的溝通,或是與企業之間的討論,都會變得較為容易。
而且,即便是要分析兩個不同駭客組織是否有相似之處,過去不容易有比較基礎,現在也能利用矩陣做差異分析,像是針對APT3與APT29找出其攻擊行為差異,或是共通使用的技術。
綜合來看,這不僅可以讓入侵手法描述能有一致標準,對於防守方彼此間的溝通更有幫助。
第二個面向,是將有助於企業評估自己的防禦。透過ATT&CK矩陣,不僅是是用來分析了解敵人,也能幫助了解自己,例如,從駭客攻擊的每個階段,以及當中可能會用到的技術手法,企業也就能夠依此檢視自己的防禦,是否能夠涵蓋到這些面向,進而可以做到資安成熟度的評估。
因此,企業也可從駭客攻擊情境找出那些攻擊手法,是需要的優先級別處理或增強的防禦面;或是用於檢視導入的防禦設備、服務或機制,與之前評估時的防禦範圍有何不同。簡單來說,就是要能運用這樣的資安框架,了解自己的防禦需求。
更進一步來看,還能有助於紅藍隊攻防模擬演練,因為這套資安框架更容易提供攻擊情境。
舉例來說,企業可以設想一個攻擊情境,或是假設於之前APT團體的攻擊戰術,由於已經有了很具體的攻擊手法,因此企業可以利用自動化的攻擊模擬平臺(Automated Adversary Emulation),建立一套模擬紅隊的攻擊,進而藉此測試內部部署的資安產品或資安服務,是否能夠偵測到這些攻擊手法,並發出警告,也就是說,透過這樣的攻防模擬,將可以作為評估EDR產品,以及檢視自身防護需求的依據。
事實上,MITRE自去年也已經發起了ATT&CK評估(ATT&CK Evaluations)的計畫,並且獲得一些資安業者的響應。在首次的評估計畫中,就有7家業者參與,包括Carbon Black、CounterTack、Crowdstrike、Endgame、微軟、RSA與SentinelOne,今年又有FireEye、Cybereason與Palo Alto Networks跟進。
因此,隨著資安業界對於這項評估計畫的認可,最近,MITRE已經宣布要舉行第二回合的評估計畫,預計在8月中開始進行測試,而新評估計畫所套用的駭客團體攻擊行為,也將從之前的APT3,更換為APT29。
無論如何,從這股ATT&CK的應用浪潮來看,除了企業用於紅藍隊攻防演練,可以透過這樣的形式,對於資安業者而言,這也是能幫助他們向客戶驗證自身產品有效性的方法。而且,ATT&CK的應用概念與範圍,其實不僅於此,像是簡單的剖析惡意程式行為,其實也能套用,而我們也看到MITRE有針對工控系統的攻擊入侵,提出一套名為ICS ATT&CK的矩陣,同樣也是將駭客在各戰略階段所使用的技術手法,做出系統性且具體的歸納。
MITRE ATT&CK小知識
"根據MITRE的說明,ATT&CK是基於現實世界觀測的對手戰術與技術知識庫。其中A為Adversarial,代表對抗性的攻擊者,兩個T是Tactics與Technical,分別代表對手採用的戰略與技術手法,而C與K則是Common knowledge,說明了這將是一個通用的知識庫。"
關於這個由MITRE提出的ATT&CK框架,首先,MITRE是美國聯邦政府資助的非營利組織,協助多項資安相關研究的進行,同時也負責CVE漏洞資料庫計畫的維運。
對於ATT&CK框架這項研究計畫,是MITRE在2015年5月發起,最早他們是想把許多的APT攻擊事件統整起來,畢竟,不同資安業者對於每個駭客團體都有不同的稱呼與分析,而在處理的過程中,他們發現可以將每個駭客團體使用的技術手法,進一步的分類,例如,他們將每個攻擊方式,以較為簡短且通泛的說明來描述,並歸納到會使用該技術手法的戰略階段中。
基本上,目前ATT&CK模型可以分為三大部分,分別是PRE-ATT&CK、Enterprise與Mobile。
簡單來說,PRE-ATT&CK定義了駭客攻擊前置作業,目前畫分為15個戰略階段,而Enterprise是指具體的攻擊入侵過程,也是現在各界最主要討論的項目,當中並涵蓋Windows、Linux與macOS這三種系統平臺;至於Mobile則是針對行動平臺所發展,而其中的戰略與Enterprise有些相似,但還是存在一些差異。
另外,在MITRE過去的簡報中,也有針對ICS的部分,但也可能官建基礎設施較為敏感,目前未列在ATT&CK官網上。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19