【駭客戰略定義更廣、偵測類別定義更細】快速認識ATT＆CK框架的最新變化

關於ATT＆CK框架的應用及發展，正開始成為各界關心資安人士的焦點，而這個像是百科全書的剖析駭客入侵技術知識庫，其實也還在持續演進的階段。

為了推動ATT＆CK，近年MITRE做了很多努力，像是在這份知識庫中，對於現有入侵策略所採用的各式技術手法，都有詳細的介紹與說明，他們並提出了ATT＆CK矩陣，讓防守方可以更容易理解駭客的入侵過程。而且，每隔一段時間，就會將新的技術手法整入其中。目前看來，大約每3個月就會更新，讓這個框架能持續符合現實世界的攻擊態勢。

值得注意的是，最近MITRE對於ATT＆CK Enterprise，以及ATT＆CK評估計畫，都有明顯的調整與改變。因此，接下來，我們將介紹ATT＆CK的基本概念與最新變化，同時也請熟悉ATT＆CK的資安業者與專家，來幫助我們更進一步理解與認識這個框架。

將戰略階段擴大至衝擊面，且歸納的不同攻擊手法增加至244個

首先，以ATT＆CK矩陣而言，簡單來說，它的呈現方式如同一份表格，矩陣中的第一列，也就是最上面一橫排，列出了定義的駭客攻擊戰略階段，由左至右表示攻擊階段的前後順序。而在每一個戰略階段之下，則是列出該階段可能使用的各式技術手法。

例如，目前在ATT＆CK Enterprise中，將駭客在入侵駭客使用的戰略，畫分成12個階段：包括入侵初期（Initial Access）、執行（Execution）、持續潛伏（Persistence）、權限提升（Privilege Escalation）、防禦逃脫（Defense Evasion）、憑證存取（Credential Access）、發現（Discovery）、橫向移動（Lateral Movement）、收集（Collection）、命令與控制（Command and Control）、滲出（Exfiltration）與衝擊（Impact）。

值得注意的是，去年只分成11個階段，今年多出最後一項「衝擊」，而且，還有倒數第二項與第三項的戰略順序也予以對調。

對於新增的衝擊階段，奧義智慧共同創辦人叢培侃指出，他認為這是要完成整個風險計算公式，以更進一步將攻擊事件對企業本身的影響，也涵蓋在整體框架之內。

而在這12項戰略階段當中，目前總共歸納了244個不同的技術手法，比起我們在年初看到的223項，又多了21項。當中，不僅是多了新階段所包含的14個項目，既有11個階段所包含的內容，也有一些調整與新增。

特別的是，一些技術手法會用在不同戰略階段，因此，在ATT＆CK矩陣之下，若把每個階段下技術的數量相加，總和為314個，也比之前的291個要多。

更進一步來看，其中駭客使用技術手法最多元的階段，是在持續潛伏與防禦逃脫方面，分別包含了59個與67個技術手法，相對來說，像是有些階段的技術就較少，僅有10個左右。

對於這樣的現象，叢培侃提供了兩個觀點，首先，技術手法越多，也就代表越不容易防範，這也意味著，企業單位資安防護設施最容易被繞過，因此，能否從其他階段來觀測到整個攻擊行為，就是一種策略；另一個角度來看，若是各種駭客潛伏方式都能涵蓋，各種防禦逃脫方式都能監控到，也企業能在駭客必經路線設下重重關卡，同樣能觀測到攻擊行為的發生，及早反應。

此外，從這些技術手法的分類來看，奧義智慧共同創辦人邱銘彰也提到，過去業界大家對於攻擊手法每個人講法不一樣，像是對於駭客偷取密碼的行為描述，大家可能習慣說Keylogger，還有像是偷密碼、截畫面、側錄等，現在則有了能被業界接受的標準用法，例如，ATT＆CK就將這類技術手法歸類為Input Capture，這也讓大家在描述同樣的行為時，能對應到通用的語言去溝通。

借助自動化攻擊模擬平臺，企業可自行發起演練

在MITRE舉行的ATT＆CK評估計畫之外，他們也提供了開源的自動化攻擊模擬平臺Caldera，將可以透過ATT＆CK建立攻擊情境，因此，企業能夠應用來執行紅藍隊的攻防演練與產品評估。

評估計畫將偵測類型畫分更細，更有助於產品偵測能力的解析

另一方面，去年發起的ATT＆CK評估計畫，最近也有了新的進展。從首次計畫的進行來看，除了初期參與的7家業者，年初又有3家跟進，確實獲得更多資安業者響應，探究其主要原因，過去並沒有一個好的方式，去衡量EDR的偵測能力與覆蓋範圍，最近MITRE更是宣布將要啟動第二回合的評估計畫。

對此計畫的轉變，叢培侃提供了他們的觀察與心得，他說，這是需要付費參加的計畫，先前的第一回合已經結束，因為較晚參與的業者多半較為有利，可以看到別人的問題並補強，等於是一邊開票、一邊投票的狀況。目前，第二回合預計在8月開始測試，並將套用俄羅斯駭客團體APT29的攻擊情境，而不是之前的中國駭客團體APT3。

值得我們注意的是，MITRE在評估計畫的內容會有很大的變動。原本定義了6種主要偵測類別，以及3種子偵測類型。基本上，這部分就是企業在評估時的重要參考，可以了解產品在個技術手法的偵測能力。而在結果報告中，也可檢視分析人員提供的系統畫面截取，證明該攻擊行為的偵測。

而新的評估計畫有大幅調整，雖然主要偵測類別仍是6種，但僅無偵測（None）、遙測（Telemetry）相同，其他調整為MSSP、General、Tactic與Technique，子類別更是細分為7種，包括：Alert、Correlated、Delayed、Host Interrogation、Residual Artifact、Configuration Change與Innovative。

顯然，新評估計畫提出的偵測類別，區分得更細，等於是讓偵測能力可以有更好的程度畫分，例如，Delayed細分成兩個子類型，以提供有關事件延遲原因的更多資訊，幫助用戶更容易去評估，而MSSP偵測類別的新增，也相當引人注意，符合MDR服務興起的態勢。

對此，叢培侃表示，最好的偵測能力表現，就是要達到Technique與Alert，而能自動發出警告；至於MSSP偵測類別的加入，不僅有助於評估產品面，同時也還評估後端分析人員的分析能力，考驗這邊的人員如何使用系統找出駭客攻擊行動，因為有時需要專家知識。

更進一步來看，這也將反映出各家資安產品，在自動化程度的未來趨勢。叢培侃預期，業界會越來越重視自動化偵測警告，而邱銘彰也觀察到，一旦這種評估方法變成標準，將對舊型態產品開發商有很大的衝擊，因為改動成本太大，會因此拉開新舊業者的差距，另外，資安服務化也會變得越來越明顯。

同樣地，達友科技副總經理林皇興也有類似看法。以第一回合的測試結果為例，他表示，對於每個技術手法，產品是只有遙測到，還是有辦法去知道前後情境，甚至能夠正確描述其特殊行為，才更具意義，而且，偵測也有即時與非即時的差別。同時，他也以CarbonBlack測試結果為例，強調即時分析、與不需人工過濾的重要性，應是未來這類資安產品發展的目標，而像是Sophos等業者，近期正併購與SOAR有關的公司，顯示不少業者都是朝此方向邁進。

另外，從首次評估結果也可以看出，針對APT3所使用的各項技術手法，每個產品並非都能全部偵測到。但重要的是，如果能夠在整個攻擊流程裡面，某一地方偵測到或阻擋，事實上就能破壞整串攻擊行動。

不過，可能基於中立的緣故，MITRE並未將這些偵測能力，量化成可以打分數的指標，但至少讓企業能有一個較為客觀的架構來檢視，自己對既有駭客攻擊手法的涵蓋率與偵測能力。

最後值得一提的是，在ATT＆CK評估計畫之外，MITRE也提供了開源的自動化攻擊模擬平臺Caldera，將可以運用ATT＆CK的框架來做攻防演練。

關於這一方面，OPSWAT亞太區副總經理林秉忠在年初接受我們採訪時，曾指出；市面上這類開源模擬平臺，已經不少，包括：Metta、APT Simulator、Red Team Automation、Invoke、Atomic Red Team、Infection Monkey、Blue Team Training Toolkit、DumpsterFire與AutoTTP等。而這些工具大部分都有支援ATT＆CK，有些甚至是因ATT＆CK框架而起。因此，企業也可以利用這樣的工具，來驗證業者產品的偵測能力，像是作為評估EDR產品的參考。

新版ATT＆CK Enterprise，將攻擊戰略增加為12階段

在今年4月更新的ATT＆CK框架，開始將駭客使用的戰略擴大至衝擊面，而既有的技術手法內容也有一些調整與新增，例如，在圖中的黃色部分，就是技術手法項目有變動，而綠色部分則是這次新增。圖片來源／MITRE

在ATT＆CK Enterprise矩陣的第一列，也就是最上面的橫排（圖中藍色區域），由左至右列出了駭客入侵攻擊的戰略階段，下方則是該階段的各式攻擊技術手法。其中持續潛伏與防禦逃脫的階段，駭客使用過的攻擊手法最多，因此也讓整個矩陣外觀的呈現，是一個容易往下擴張的表格形式。

較特別的是，在今年4月的更新版本中，最後階段新增了衝擊的戰略，此外，命令與控制與滲出這兩個戰略的順序也被對調。而從整個矩陣來看，各階段下方累計呈現出314個技術手法，比之前291個更多，不過，一個手法可能會出現在不同階段，若扣掉重複的部分，目前ATT＆CK共區分出244個不同的技術手法。

10家業者參與評估計畫，驗證產品入侵偵測能力，第二回合會將偵測類別更細分為13項

在MITRE ATT＆CK框架之下，不僅有系統且具體的歸納出駭客的攻擊流程，MITRE還發起了ATT＆CK評估計畫，透過已經建立的既有駭客團體攻擊情境，來檢視端點防護產品的偵測能力，目前已有10家業者參與這樣的測試。最近，MITRE更是即將施行第二回合的評估計畫，預期將會有更多業者加入。

在第一回合針對APT3所有技術手法的測試中，已經解析了各業者針對該攻擊情境，在每項技術手法的偵測能力，報告中也可看到證明偵測到這個攻擊行為的系統畫面截取。而在第二回合的評估計畫中，將以ATP29的攻擊來驗證，特別的是，MITRE為了讓偵測能力的表現，可以更具體且清楚，因此，將其定義的主要偵測類別與子類別，做出大幅度的調整。例如，在主要偵測類別並加入MSSP一項，在子類別更是增加到7項。

更進一步來看，這對於企業與資安業者都有好處，將更容易理解企業的防禦或業者的產品，對於這些手法的涵蓋率有多廣，以及偵測能力的程度。而企業也可從企業自身環境來考量，需要優先補足或強化的部分。

在首次ATT&CK評估計畫之下，是以APT3作為攻擊情境，從評估結果中，可檢視各家產品，對於APT3使用各技術手法的偵測能力表現。

在即將展開的第二回合的ATT＆CK評估計畫中，除了將改以APT29為攻擊情境，MITRE並將偵測能力做出更細緻且具體的畫分。圖片來源／MITRE

 1 　 2 　 3