【摘 要】 ATT&CK威胁框架是基于攻击者视角,从现实世界的网络威胁中提炼并归纳出各种技战术特点的知识库。本文对ATT&CK威胁框架的演进、价值作用、发展难点及应用现状等进行了研究,阐述了ATT&CK威胁框架在国内外网络安全企业的实践落地情况,以期为网络安全人员在防御体系设计、高级威胁分析、安全应急响应等方面提供借鉴。
【关键词】 ATT&CK 威胁框架 技术发展 防御能力评估 安全能力提升
1 引言
随着越来越多的威胁事件和攻击组织被发现、曝光,“曝光”这一手段对于攻击组织的威慑力正在快速下降。同时,各种追溯方法也大量暴露在对手的视野中,现有追溯方法几乎都能够通过技术手段和资源规避或实现仿冒,追溯的有效性也在不断下降。网络安全防御工作的重点逐渐转移到构建有效的积极防御体系及实现防御能力的持续提升等方面。为更好地实现防御目标,使安全人员能够识别对手活动的趋势和变化,系统全面地分析对手入侵的战术、技术、过程(Tactic, Technique and Procedure,TTP),政府部门、研究机构及网络安全企业提出了一系列威胁框架。其中,ATT&CK(Adversary Tactics Techniques Common Knowledge)威胁框架是一个基于真实世界观察对手技战术的知识库,其将已知对手行为转换为结构化列表并能够覆盖对手入侵活动的全生命周期。ATT&CK威胁框架的理论发展及基于实际产业运用角度的应用,可为网络安全人员在防御体系设计、高级威胁分析、防御能力评估、安全应急响应等方面提供清晰的思路。
2 ATT&CK威胁框架概述
2.1 发展历程
美国MITRE公司(The MITRE Corporation)于2013年开始开发ATT&CK威胁框架,于2015年5月正式发布。该威胁框架自发布后迭代更新较快,几乎每隔3―6个月,就会完成1次更新,更新内容主要包括战术、技术、攻击组、软件、缓解措施等内容。
ATT&CK威胁框架刚推出时还较为单薄,但随着MIERE公司不断对其进行丰富,现在该威胁框架涉及的内容已较饱满,逐渐发展成为原子化、高精准的安全知识库。ATT&CK威胁框架目前分为3个模块,包括企业矩阵(Enterprise Matrix)、移动矩阵(Mobile Matrices)、ATT&CK工控系统矩阵(ATT&CK for Industrial Control Systems),其中Enterprise Matrix是针对企业网络环境下对手入侵技战术的知识库。
最初,Enterprise Matrix威胁框架仅包含8个战术阶段,在2016年扩展至10个战术阶段,后续该威胁框架获得网络安全领域的广泛关注并迅速发展。目前,MITRE网站上显示最早的是V3版本(2018年10月23日),该版本包括11个战术阶段,233种技术;V4版本(2019年4月30日)中增加了“影响”战术阶段,战术阶段增至12个;V5版本(2019年7月31日)在介绍界面中加入“缓解”措施;V6版本(2019年10月24日)增加了云、工控领域的相关技术;V7 Beta版本(2020年3月31日)将攻击技术进一步细化至子技术层面,2020年7月8日,MITRE公司发布了V7正式版本;V8版本(2020年10月27日)将PRE ATT&CK威胁框架与Enterprise Matrix威胁框架进行结合,形成能够覆盖网络入侵全生命周期的新威胁框架版本,战术阶段扩展至14个;V9版本(2021年4月29日)对数据源的描述方式发生了变化,增加了容器和谷歌工作区(Google Workspace)平台;V10版本(2021年10月21日)在企业矩阵中添加了一组新的数据源和数组件对象,补充V9版本中数据源名称更改。2022年4月25日发布V11版本,该版本对技术、子技术作了进一步更新细化,其中包含14个战术阶段、191种技术、386个子技术。
从安全知识库体系构建来看,ATT&CK威胁框架包含的技战术逐年细化、覆盖入侵活动的范围逐渐增加,呈现出不断丰富细化的趋势。
2.2 价值作用
ATT&CK威胁框架具有较大的战略价值。MITRE公司收集来自全球安全社区贡献的基于现实世界网络威胁事件的战术、技术、过程,不断充实、更新ATT&CK威胁框架。
网络安全人员利用ATT&CK威胁框架有机会从对手视角看待入侵事件,并从入侵行为角度进行分析。ATT&CK威胁框架不仅为网络安全人员分析对手入侵策略、行为等提供理论基础,还为网络安全防御部署提供指导,而且可作为一种可行的通用网络语言。ATT&CK威胁框架能够提供更易于共享上下文的行动和潜在对策,简化威胁情报创建过程。网络安全对抗模式已演进为全面体系化对抗,安全人员能够基于ATT&CK威胁框架进行威胁对抗行为研究,有利于将对手入侵行为进行原子化拆解、为网络红队提供入侵知识和工具、方便进行渗透测试、开发更全面的应急响应机制。安全人员还可据此为主要场景制定有针对性的行为分析方案、评估攻防差距、构建安全部署、提升防御能力等。
2.3 发展难点
ATT&CK威胁框架是一个由MITRE公司打造并持续进行迭代更新的知识库,其发展难点主要体现在多种平台覆盖、全生命周期入侵行为枚举等方面。