新一代对抗作战框架 MITRE Engage V1 版本正式发布
2022 年 2 月 28 日,MITRE Engage 团队正式发布了 Engage V1 版本。我们都非常了解 MITRE ATT&CK 框架,但针对 ATT&CK 框架中的攻击技术,防守方如何进行主动防御呢?Engage 矩阵的推出给了我们很好的答案。本文将介绍 MITRE Engage 的基本信息及如何将 Engage 进行落地实践。
1. MITRE Engage 介绍
1.1 详解 MITRE Engage 矩阵结构
Engage 矩阵在纵向上被分为两类活动:战略活动和作战活动。
战略活动:战略活动(下图黄色部分)是矩阵的基础,确保防御者按照战略规划和分析推动作战行动。此外,战略活动可以确保防御者收集了利益相关者(管理层、监管机构等)的要求并确定了可接受的风险。在整个行动过程中,防御者将确保所有作战都在这些定义的规则范围内进行。
作战活动:作战活动(下图中间部分)是传统的网络阻断和欺骗活动,用于推动实现作战目标。
图 1:Engage 矩阵(黄色部分为战略活动,中间部分为作战活动)
Engage 矩阵在横向上被进一步细分为目标、方法和活动。矩阵的顶部是 Engage 目标,即用户希望通过作战能够完成的高层次的结果。“准备”和“理解”部分的重点是作战的投入和产出。虽然矩阵是线性的,但它应该被看作是循环的。随着作战的深入,用户要不断地调整作战活动,以推动作战目标的进展。作战目标包括“暴露”、“影响”和“引出”。这些目标的重点是针对攻击者采取的行动。下一行是作战方法,确保用户朝着选定的目标取得进展。其余部分是作战活动,这些是在对抗作战中使用的具体技术。
图 2:Engage 矩阵中的作战目标、作战方法与作战活动
1.2 MITRE Engage 与 MITRE ATT&CK 映射关系
当攻击者进行某项特定行为时,他们很容易暴露出一些意想不到的弱点。MITRE Engage 研究了每项 ATT&CK 技术,来发现攻击者的弱点并确定如何利用该弱点开展作战活动。将各项 Engage 作战活动与 ATT&CK 技术映射起来,可以确保 Engage 中的每项活动都是针对观察到的攻击者行为所开展的。
例如,当攻击者进行远程系统发现的 ATT&CK 技术 (T1018) 时,他们很容易收集、观察到欺骗性系统工件或信息。因此,作为防守方,我们可以使用诱饵让他们暴露行踪,使用更多或更高级的能力对付攻击者,并影响他们的驻留时间。
对于给定的 ATT&CK 技术,MITRE Engage 提供以下映射:
ATT&CK ID & Name——ATT&CK 技术 ID 和名称
攻击者缺陷——攻击者在进行特定行为时暴露的缺陷
作战活动——防御者可以采取的行动来利用攻击者暴露的漏洞
这些映射是一对多的关系(即单个 ATT&CK ID 可能对应一个或多个不同的漏洞和作战活动)。
图 3:MITRE ATT&CK 与 MITRE Engage 的映射关系图
1.3 Engage 与传统网络阻断、网络欺骗之间关系
防守者通常会使用纵深防御技术,来阻止攻击者访问网络或关键资产。毕竟,任何时候攻击者能够访问一个新的系统或从网络中渗出一些数据,他们就赢了。但是魔高一尺道高一丈,例如,当防御者引入欺骗性技术时,就能够在一定程度上迷惑攻击者,相关资产的不确定性能够极大增加攻击成本。
那 Engage 与传统网络阻断、网络欺骗之间有什么关系呢?如图 4 所示:
图 4:网络阻断、网络欺骗与对抗作战的关系
网络阻断:是指阻止或以其他方式损害攻击者开展行动的能力。
这种破坏可能限制他们的作战和收集行为,或者降低攻击者能力的有效性。
网络欺骗:是指故意暴露欺骗性的资产或架构,以诱导攻击者,同时隐瞒真实资产,以防止攻击者采取进一步的行动。
对抗作战:是指在战略规划和分析的背景下,综合使用网络阻断和网络欺骗就形成了对抗作战的基础。
根据 MITRE 官方内容介绍,对抗作战的目标包括:检测网络上的攻击者;获取情报以了解攻击者及其 TTP;通过提高成本影响攻击者,同时降低其网络行动的价值。当对抗作战与纵深防御技术搭配使用时,防御者能够主动地与网络攻击者“互动”,以实现防御者的战略目标。
整个对抗作战是一个不断迭代的、目标驱动的过程,而不仅仅是技术堆栈的部署,绝不是部署一个诱饵就能取得成功的。相反,用户必须认真思考防御目标是什么,以及如何利用拒绝、欺骗和对抗作战来推动这些目标的进展。
2. MITRE Engage 矩阵入门实践
通过上文,我们已经了解网络阻断、网络欺骗和对抗作战的概念,接下来我们介绍如何将对抗作战流程和技术整合到防御策略中。我们会从研究 Engage 矩阵开始,这是开展对抗作战策略的基础。在讨论和计划网络阻断、网络欺骗和对抗作战活动时,Engage 矩阵提供了一个共享参考,弥合了防御者、安全厂商和决策者之间的差距。其核心是,Engage 矩阵让防御者确定了对抗作战目标,然后根据这些目标来确定他们的作战活动。
2.1 如何将 Engage 矩阵整合到企业网络战略中来
虽然我们已经探索了如何实施 Engage 矩阵,但我们尚未研究如何在企业更大的网络战略背景下应用该矩阵及对抗作战。
针对防御者的目标而言,Engage 可以用来补充传统的网络防御策略。暴露、影响和引出等作战目标本质上不是欺骗性的。可以想象得到,很多企业已经在按照这些目标来组织企业的安全实践了。
虽然我们经常将对抗作战视为一种独特的安全实践,但最有效和最成熟的实施方式是将安全无缝集成到组织文化中。正如培训员工养成良好的网络运维习惯一样,企业必须培训员工将欺骗视为最佳实践。有时,人们把欺骗病态化了,认为欺骗本质上是消极的、偷偷摸摸的和不诚实的。但是,Engage 认为,防御者要将网络阻断和欺骗活动常态化,将其视为常规、必要和智能的安全实践。
2.2 Engage 实践的四要素
一次成功的对抗作战活动可以分解为四个部分:故事叙述、作战环境、监控和分析。故事叙述是指用户计划向攻击者描述的欺骗故事。作战环境是一套精心定制的、高度感知化的系统,需要根据每次作战情况来设计,作为故事叙述的背景。这些系统可以是完全隔离的,也可以是集成到生产网络中的。监控是指用于观察攻击者在环境中移动的收集系统。监控对于在整个作战中保持行动安全至关重要。最后,分析是指用户采取一些行动,将行动的产出转化为可操作的情报。连接所有这四个要素的纽带就是作战目标,包括:暴露网络上的攻击者、通过降低攻击者的行动能力来影响攻击者、和/或获取情报以了解攻击者的 TTP。下图为开展对抗作战行动时应该围绕这几大要素考虑的问题。
图 5:开展对抗作战行动时应考虑的问题
2.3 Engage 实践落地流程:收集、分析、确认、实施
对抗作战行动应该是一个根据新情况、新机会不断迭代、不断改进和变化的作战活动。Engage 矩阵旨在推动讨论和规划活动,而不是一刀切地涵盖对抗作战活动的所有情况。MITRE Engage 周期图说明了 Engage 矩阵是如何在一次作战过程中实施的。
图 6:MITRE Engage 周期图
这个周期没有确定的开始或结束,但在这个模型中,我们首先要从采集器或 Agent 收集原始数据。这种收集与收集工具无关,只是指收集方法,收集工具可以是 Sysmon、Auditd 等,也可以是厂商提供的 EDR 等工具。然后,下一步是在现有 CTI 数据的背景下分析原始数据。在这里,我们可以使用 MITRE ATT&CK 等工具,对这些新数据进行背景分析。通过分析攻击者的行动,并将这些数据与过去的行为进行比较,防御者可以了解攻击者当前的活动、甚至可以预测其未来的活动。掌握了这些知识,防御者可以使用 Engage 矩阵来确定作战机会,以达到防御目标。
2.4 对抗作战实施:10 步流程法
结合对抗作战的四大作战要素,我们可以概括出对抗作战行动的流程。但企业通常无法有效规划如何在其网络中、以及在网络的哪些位置进行网络阻断、网络欺骗和对抗作战活动。如前所述,对抗作战是一个不断迭代的、目标驱动的过程,而不仅仅是技术堆栈的部署。为此,MITRE Engage 制定了 10 步流程法来帮助企业,将对抗作战活动纳入到网络防御流程中。
10 步流程法对于资源有限或安全计划不太成熟的组织尤其重要。如果企业能够明确定义作战目标,就可以紧密围绕这些目标有效缩小作战范围。所以,即使是小型组织也可以在资源有限的情况下将对抗作战整合到他们的防御策略中!
“Engage 10 步流程法”分为三类:准备、作战和理解。在准备阶段,用户确定作战目标。然后,用户要构建一个支持这一目标的故事叙述,为作战环境的设计和所有的作战活动提供参考。在这一阶段,用户还可邀请任何利益相关者来确定可接受的风险水平。通过预先设定风险水平,用户就可以构建清晰的作战规则(RoE)。监控和分析能力应足以确保作战活动保持在这些范围内。在作战阶段,用户要实施和部署他所设计的活动。最后,在理解阶段,用户可以把作战产出转化为可操作的情报,以评估是否达到了作战目标。而且,这种评估有助于用户进行经验总结,以便完善未来的作战活动。
图 7:10 步流程法
步骤 1:评估对攻击者和组织的了解情况
孙子说,知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆。
这句话在网络作战中也是正确的。创建威胁模型来了解组织的风险、漏洞和优势,这是规划有效的对抗作战行动的基础。在威胁模型中,防御者必须识别组织的关键网络资产。同样,防御者应该使用网络威胁情报来了解威胁形势。
步骤 2:确定作战目标
在了解自己的优势、劣势和威胁的基础上,防御者应该确定他们的作战目标。这些目标应反映已确定的优先事项。对于成熟的组织,对抗作战是组织战略的核心支柱,这些目标也应该反映这个更大的战略。这些目标应该是具体的、可衡量的行动,让防御者能够推动实现更大、更具战略性的目标。在确定作战目标时,防御者还应确定目标攻击者,即某次作战行动优先针对的攻击者。可以出于多种原因选择目标攻击者。目标攻击者可能是过去以你的组织或与类似的组织为目标的威胁。目标攻击者也可以是威胁情报中存在差距的地方。无论出于何种原因,有了目标攻击者,都可以让防御者集中注意力并优先考虑作战活动。
步骤 3:确定你希望攻击者作何反应
现在,防御者必须确定他们希望攻击者在作战期间作何反应,以便朝着作战目标取得进展。重要的是要记住攻击者的想法和他们的反应之间是有区别的。如果防御者只考虑他们认为攻击者会怎么想,就很容易误判攻击者的反应。这种不匹配可能导致攻击者做让防御者意外的反应。
步骤 4:确定你希望攻击者感知到什么
现在防御者已经确定了攻击者应该会作何反应,接下来,防御者就该考虑攻击者应该在环境中感知到哪些东西来支持实现作战目标了。这时,防御者必须计划好将哪些事实和虚假信息暴露给攻击者,应该将哪些信息向他们隐藏起来。
步骤 5:确定与攻击者互动的渠道
在确定了攻击者应该作何反应以及他们应该感知到哪些事情之后,防御者必须探索可用的手段来向攻击者展示这种效果。作战环境和作战故事叙述都可以充当攻击者被欺骗的渠道。
步骤 6:确定成功和把控标准
在规划对抗作战行动时,防御者必须了解怎样算是成功和失败。每次操作都存在风险因素。通过设置可接受与不可接受风险的明确界限,防御者可以创建明确的把控标准,或触发作战活动结束与暂停的节点。这样,防御者可以避免在作战过程中出现任何混乱、事故或其他可预防的风险。此外,在触发把控标准的情况下,防御者应确定明确的响应行为,知道超出某些标准时应该如何进行响应。最后,应该清楚地了解作战目标是否成功完成。如果成功的定义不明确,很容易因为作战持续时间过长或忽视初始目标而浪费资源。
步骤 7:执行作战行动
此时,作战行动从计划转向执行。防御者实施计划的作战活动并开始积极与攻击者作战。接下来的步骤是分析,这些步骤不应仅在达到预定把控标准后才考虑,而是应该不断地分析作战情况,不断迭代、优化实施细节。在整个行动过程中,防御者应该不断地循环规划、执行和分析,促使作战活动达到既定目标。
步骤 8:将原始数据转化为可操作的情报
随着行动的进行,作战的原始输出结果应提炼为可操作的情报,这可以确保作战活动的结果对于防御者是有用的。提炼情报的一种关键方法是使用数据分析。通过数据分析,防御者可以将作战期间收集的原始数据映射生成攻击者的攻击行为。行为分析等自动化分析对于产生有意义的情报至关重要。在这一步骤中产生的情报可以酌情在组织内部和外部共享,并用于改善威胁模型和未来的防御活动。
步骤 9:反馈情报
从作战中获得的可操作情报必须反馈到现有威胁模型中,以便为未来的决策提供信息。每次更新威胁模型时,都必须重新审视利用原有情报做出的作战决策。
步骤 10:分析成功和失败,为未来的活动提供信息
每当达到把控标准时,就必须分析作战中成功和失败的地方。通过回顾,团队可以分析作战中的事件,确保朝着实现作战目标发展。这包括回顾规划、实施、对抗活动和产生的影响。除了回顾作战情况之外,还要评估团队和其他利益相关者的沟通和合作情况。虽然这类审查应在作战行动结束时进行,但在长期作战时,应定期进行,这对于确保实现作战目标至关重要。
写在最后
多年来,青藤作为前沿技术的引领者,对 ATT&CK 框架进行了系统化的研究,也实时关注 Engage 矩阵的发展情况,有关 MITRE Engage 更多资料,可登录青藤官网下载(www.qingteng.cn)。
此外,青藤积累了大量较为成熟和系统化的 ATT&CK 研究材料,出版了全球首部系统化研究 ATT&CK 的专著——《ATT&CK 框架实践指南》。本书由邬贺铨院士作序,并得到 10 余位权威专家的联袂推荐。
评论