域名如何解析别人网站,潍坊网站制作网络科技,wordpress 标题简码,网站开发的学习路线ATTCK#xff08;Adversarial Tactics, Techniques, and Common Knowledge #xff09;是一个攻击行为知识库和模型#xff0c;主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。本文简单介绍ATTCK相关的背景概念#xff0c;并探讨通过ATTCKAdversarial Tactics, Techniques, and Common Knowledge 是一个攻击行为知识库和模型主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。本文简单介绍ATTCK相关的背景概念并探讨通过ATTCK构建知识图的思考。
前言
随着攻击工具、方法的逐渐升级和复杂化安全数据的大规模融合攻防对抗愈加激烈。安全团队如何在浩瀚数据中有效发现高级威胁的蛛丝马迹如何把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力如何将对抗高级威胁的“炼金术”逐步升级为科学淘金指南如何将安全从业者从繁重的体力劳动中解放出来愈发成为安全能力亟需突破的难点和重点也是我们正在探索的方向。
正如医疗行业中治疗疑难杂症依赖医疗专家网络空间高级威胁的防护和处置也依赖安全专家的经验与知识。不过即使是最顶尖的外科医生也离不开高度自动化、精准化的医疗设备辅助其完成复杂高难度的医疗任务网络空间亦需要自动化平台与工具辅助从业者进行持续的攻防对抗。
“针对网络空间智能威胁分析技术的研究目的不是设计一个如何炫目的概念也难以实现一个放之四海皆可用的AI安全模型。回归到攻防的战场上我们希望也能够得到的是一个能吞吐海量异构多源数据快速检测、推理、响应、追踪威胁事件的高度自动化的统一平台及工具集辅助人进行安全的运营、研究和对抗。”在《智能威胁分析之图数据构建》文中基于对网络安全数据分析中常用数据源的重新审视提出了构建智能安全平台的图模型所需的环境、行为、情报、知识四张关键数据图以支撑“智能化”安全研究工作的进一步开展。构建自动化的威胁分析能力需要对网络安全大规模、多源、多维数据进行系统的梳理和组织以实现基于各类型数据的关联挖掘能力。图的组织形式能够充分发挥网络数据的图属性从存储、分析、可视化等多个环节提升安全数据分析的效率。
在环境、行为、情报、知识四张图中知识图具有可归纳、可推理、可建模的属性通过知识图内部的关联和与其他类型的图间关联能够有效拓展威胁事件分析的上下文支持威胁的检测、响应、溯源等复杂任务。ATTCKAdversarial Tactics, Techniques, and Common Knowledge 是一个攻击行为知识库和模型主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。本文简单介绍ATTCK相关的背景概念并探讨通过ATTCK构建知识图的思考。
一、 ATTCK相关背景
经过数年的知识积累ATTCK已经从针对企业内网的、Windows平台的、终端侧的、post-compromise行为分析模型拓展为多场景企业内网、移动环境等、多平台Windows、Linux、macOS等、针对多源数据终端、网络、文件等、攻击链全生命周期的行为分析模型。兼具丰富的实战效用和可拓展的顶层模型设计ATTCK越发得到安全业界的重点关注。关于ATTCK的介绍已有很多在此我们从多个关键词的角度来分析简单分析其特性。
1. MITRE
MITRE是美国的一家非盈利组织在美国国防部、国土安全部等政府组织的支持下运营了多个技术研究中心涉及网络安全等多方面国防高科技领域。MITRE发起或者运营了多个网络安全领域的标准如STIX/TAXII 1.0STIX/TAXII 2.0目前已由OASIS运营知识库如CAPECMAECCWECVEATTCK等针对网络安全领域的威胁建模、攻击分类、威胁情报等多方面研究构建了一个较为完整的安全生态。
2. APT
APTAdvanced Persistent Threat高级持续性威胁逐渐成为安全行业谈论的热门话题而ATTCK正诞生于对已知APT组织的分析过程中ATTCK发起自MITRE的FMXFort Meade eXperiment实验环境旨在通过攻防对抗数据的采集和分析提升对APT检测能力。ATTCK归类的攻击技术大部分源于公开的APT组织活动其主要的信息来源包括
威胁情报报告会议报告、研讨会、社交媒体、博客、开源代码库、恶意软件样本等
可以说ATTCK知识库的数据基础决定了其具有更贴近真实攻击者行为的实战效果同时对APT攻击组织的分析和相关威胁情报的关联有得天独厚的优势。MITRE目前已发起的两轮基于ATTCK的厂商能力评估中也是以已知APTAPT3和APT29作为攻击模拟的范本。
3. 威胁建模和知识库
威胁建模是网络安全威胁分析的一个重要环节ATTCK的概念抽象层次是其区分与其他威胁模型、威胁知识库的关键。MITRE公司对威胁模型和威胁知识库的概念抽象层次进行了粗粒度的划分如下所示。划分到不同层次的模型、概念没有优劣之分。区别在于不同的抽象层次决定了模型的表达能力和能够覆盖的概念的粒度。较高层抽象可谓高屋建瓴从宏观的角度给威胁事件定性、给风险评级。较底层的概念更贴近细节能够给威胁威胁事件更确切实际的解释、指导和评估。 图1 知识模型抽象分层[3] ATTCK被划分为中层次模型相对的Cyber Kill Chain和STRIDE威胁模型可以划分为高层次模型可以用来表达和理解高层次的攻击者目标和防护系统风险。这些高层模型抽象层次高自然难以表达具体的攻击行为和攻击行为关联的具体的数据、防护措施、配置资源等。例如我们可将某一IOC或攻击行为对应到攻击链的“CC”阶段这提醒防御方需要采取必要的措施了但采取怎样的措施攻击链模型是难以表达的。而在ATTCK中该IOC可能对应到战术 “Command and Control”同时采用的是“Multi-hop Proxy”的技术手段以达成战术目标至此我们可以进一步获取针对该技术手段的一些通用的防护措施。当然中层次的ATTCK所描述的仍然是TTP的抽象具体到实例化的行为描述仍然需要细粒度的划分。
漏洞库及漏洞利用模型划分为低层次概念。我们可以认为CAPEC、CWE属于这个抽象层次。CAPECCommon Attack Pattern Enumeration and Classification关注的是攻击者对网络空间脆弱性的利用其核心概念是攻击模式Attack Pattern。从攻击机制的角度CAPEC通过多个抽象层次对攻击进行分类和枚举。其目标是全面的归类针对已知的应用程序脆弱性的攻击行为。相对而言ATTCK的目标不是对不同攻击战术目标下技术的穷尽枚举而是通过APT等攻击组织的可观测数据提取共性的战术意图和技术模式。战术意图是CAPEC枚举库难以表达的。从攻击检测的角度来看只有明确攻击技术的战术意图才能进一步推测攻击的关联上下文信息以支持攻击威胁的评估和响应。此外通过提供攻击组织group和软件software信息ATTCK还能够串联起威胁情报和事件检测数据打通对威胁事件的理解链路。
4. STIX 2.0
Structured Threat Information Expression (STIX)是MITRE发起的威胁情报交换语言和标准。Trusted Automated Exchange of Intelligence Information (TAXII) 则是用于威胁情报安全传输的应用层协议。STIX 2.0目前已转交OASIS的网络威胁情报技术委员会CTI TC维护。为了促进威胁情报的共享STIX 2.0设计了12种域对象SDOsSTIX Domain Objects和两类关系对象SROsSTIX Relationship Objects。12种SDO如下所示。 图2 STIX 2.0对象[5] 为什么说STIX 2.0是ATTCK的一个关键词呢首先ATTCK本身就是建立在威胁情报的验证与抽象之上在威胁检测应用中能够自然打通外部威胁情报与内部的行为分析与检测结果实现检测告警的上下文扩充。其次将ATTCK作为知识库构建知识图需要通过本体库实体种类、实体关系、实体属性、关系属性等的设计实现兼容性和拓展性。例如与CAPEC、CWE、CVE等分类模型和枚举库的兼容。STIX 2.0提供了描述网络空间威胁情报的对象构成方案也同样对安全知识库的本体设计有参考价值。当然STIX 2.0的对象构成可能难以适应不同的应用场景中实体的描述粒度不过以其当前的使用范围和接纳程度来看定制化的知识图架构也最好能够兼容该方案。 图3 ATTCK与STIX 2.0映射 上图展示了ATTCK Tactic战术、Technique技术、Group组织及Software软件所覆盖的STIX 2.0对象。与STIX 2.0的对应能帮助我们更好的理解ATTCK对象的内涵例如Group对应的是Intrusion Set这个对象。
ATTCK Technique - STIX Attack-PatternATTCK Tactic - STIX Attack-Pattern.Kill-Chain-Phase, STIX Tool.Kill-Chain-Phase, STIX Malware.Kill-Chain-PhaseATTCK Group - STIX Intrusion-SetATTCK Software - STIX Malware (OR) STIX ToolATTCK Mitigation - STIX Course-of-Action
目前ATTCK知识库已可以通过STIX 2.0进行完整的表达。具体的内容可以查阅MITRE官方Github的cti项目[6]。
二、 安全知识图构建思考
通过图模型组织安全大数据能够充分发挥网络数据的“图基因”提升多源、异构安全数据分析的效率例如能够大幅缩短多跳关联数据检索的时间能够根据新的关键“链接”构建新的知识链条等等。通过威胁模型和安全知识库构建网络安全知识图能够在网络环境图、行为图、情报图之外提供可推理、可拓展、可关联的威胁上下文促进数据细节的多跳关联支持威胁事件的检测、响应、溯源等任务。 图4 行为图与ATTCK知识图的关联 上图是一个图数据构建实例化的简单示例。ATTCK作为知识库内容以及威胁建模的框架能够在一些核心节点上将告警数据、漏洞扫描数据及威胁情报数据进行碰撞融合。大规模的数据所能够组成的数据将是一个复杂的网络结构能够提供数据的多跳检索分析的数据基础能够通过图算法模型进行综合的评估。
当然实际环境下所构建的数据结构及关联远比上图复杂。环境、行为、情报、知识图的关联需要对各个图结构进行系统性的设计。以下讨论基于ATTCK的内容构建知识图的几个关键问题思考。
1. 本体库设计
图结构设计的一个关键任务就是设计合理的本体库。本体包括了图中实体节点类型、实体的属性类型以及实体间的关系类型即表示图结构的抽象概念结构“类”。本体库的构建既要讲科学也要讲艺术。讲科学是指需要遵循一定的规范标准同时契合适当的威胁模型和描述模型讲艺术则指的是概念的抽取很多时候是一个仁者见仁智者见智的过程并且要符合特定应用场景下的指定需求。
ATTCK知识库提供了四个核心的实体战术, 技术, 软件, 组织及其之间的关系CAPEC则主要覆盖TTP、防护手段、脆弱性等概念如果直接参照STIX 2.0则需要覆盖十余种对象。攻防模拟、威胁狩猎、合规检查、风险评估、检测响应、APT演练分析等等不同的业务场景ATTCK本身所提供的概念类型是不可能完全覆盖的。因此ATTCK在知识图构建中可作为威胁检测行为模型的知识源和建模方法而不是一个完备的网络安全知识图。构建可用、可拓展的知识图在顶层本体结构系统设计的基础上一方面需要整合吸收所需的公开知识库另一方面需要通过知识图谱的手段主动进行知识拓展和延伸。
2. 知识库的关联
以MITRE生态下多个知识库为例包括CAPEC、CWE、ATTCK等有密切的联系同时有不同的应用场景。CAPEC针对基于应用脆弱性的攻击通过攻击模式的抽象和分类构造了攻击行为的可查询词典[7]。CAPEC和ATTCK是两种不同的攻击建模方式 ATTCK更贴近威胁检测的实战。在下图中我们通过STIX 2.0架构对比一下两者所处的位置。可以看出两大知识库在概念的表达上有交叉又各具特点。 图5 ATTCK、CAPEC、CWE与STIX 2.0映射对比 下图展示了ATTCK与CAPEC攻击模式分类的关联关系。其中ATTCK以战术目标为列组织成矩阵结构CAPEC通过攻击模式的抽象组织成树形结构。以Discovery战术下的System Owner/User Discovery技术为例与该技术关联的CAPEC攻击模式为Owner Footprinting同时该攻击模式关联的CWE为Information Exposure。 图6 ATTCK与CAPEC的映射关系例子 威胁检测的实践不断证明基于行为的检测更能够适应动态环境下的高级威胁分析不过特征行为的组合检测能力是当前威胁检测效率提升的关键。从知识库构建的角度讲CAPECCWE和ATTCK都是不可或缺的。MITRE生态的持续完善能够充分降低各个知识库之间建立关联的难度例如CAPEC和ATTCK目前都能够纳入STIX 2.0的表达体系同时两大知识库之间也已建立了知识的关联引用当前ATTCK Enterprise对应的244个Attack Pattern中与CAPEC关联的有44个。 图7 MITRE针对金融服务机构的威胁事件模型[8] 在威胁建模和知识库积累方面无论是基于已有的知识库还是通过知识图谱算法抽取知识构建知识图一方面需要兼容已有的标准和架构另一方面也需要根据实际的应用场景选定合适的知识范围。MITRE于2018年提出过一个针对金融服务机构的增强威胁模型[8]。该模型虽然采用了较老版本的ATTCK和CAPEC知识库但也为我们展示了两个模型知识库联合使用枚举攻击能力的案例。在这里我们简单看一下该拓展模型的事件归类方式。从上述表格的最后一列可以看到该模型以CAL (Cyber Attack Lifecycle) 模型与Kill Chain模型一致为基础把ATTCK和CAPEC统一纳入到事件模型中将Exploit阶段及其前后阶段进行了细粒度的扩充。具体设计细节可以参考相关文章。
3. 威胁模型升级
不同威胁检测方案、设备提供商对威胁事件的理解层次和粒度不一样输出的事件日志也难以打通。ATTCK的出现为促进统一的知识抽象带来曙光为提供商自身能力的验证、不同提供商之间检测能力的横向对比、技术能力的共享提供了全新的视角。在此我们重点关注的是使用ATTCK作为知识图增强数据关联、提升威胁行为检测能力的应用场景。
无论是基于静态特征特征还是基于机器学习的异常行为检测各个威胁检测能力提供商往往有自成体系的威胁分析模型和事件命名体系。除非企业方案设计之初即采用了最新的威胁模型本地化的检测能力要想和ATTCK等知识库进行关联需要合理的映射机制。很多企业已将Kill Chain攻击链模型作为威胁建模的基础因此转向全新威胁模型体系的过程必然会给整个企业的威胁检测架构带来一定的冲击。威胁模型的升级对相对成熟的安全能力提供商更不友好因为这些企业往往已具备大规模的IOC库、异常行为库并且对应着各种自定义的命名规范。专家校验和归类自然是必不可少的过程同时也需要自动化的关联和归类手段。在统一的威胁模型和命名体系下多源行为图、环境图、情报图才能够有效关联威胁知识图获取理解行为模式、分析推理的基础知识打通各类数据间的检索壁垒。
4. 攻击模拟与知识拓展
ATTCK矩阵的构建不是简单的抽取APT情报和相关报告。各种行为的提取依赖的是在特定的场景下复杂、真实网络环境下的攻击模拟与对抗的不断验证、补充、完善。此外ATTCK知识库也远未成熟针对不同场景、不同领域的威胁行为的知识需要整个社区不断的积累和贡献。因此将ATTCK知识库转化成企业自身的知识图并用于威胁分析能够提升企业自身的检测能力但更重要的是需要企业建立自己的攻击模拟环境验证、精炼、修正知识结构发现新的知识关联以适应指定场景下的威胁分析任务。目前支持ATTCK的攻击模拟或渗透工具已有不少如MITRE Caldera[9]Endgame RTA[10]等开源项目。
搭建攻击模拟环境的要点基于ATTCK验证流程、设计分析算法以及创建新的ATTCK知识概念相关经验和手段我们可以通过官方文档深入研究。
三、 总结
网络安全大数据的分析给威胁的检测与响应带来机遇也同样带来挑战。我们需要更加有效的数据收集合理的数据组织准确的数据分析以及丰富的可视化能力支撑分析任务中的模拟、关联、知识沉淀等过程进而逐步自动化安全防御能力。随着ATTCK行为知识的积累和相关技术的日益完善不止在攻击模拟、红蓝对抗领域更多的检测响应、用户实体行为分析、威胁狩猎、防病毒等威胁分析产品和方案逐渐向战术-技术矩阵靠拢、对齐。以ATTCK进行威胁建模并建立行为分析的知识库并以图数据形式组织能够打通数据间壁垒加速威胁情报、原始日志、检测数据、扫描数据、威胁知识库等多源数据的融合分析。ATTCK不仅仅是一个模型一个字典矩阵一个标尺ATTCK所促成的生态将促进生态下组织内外部的数据交互和共享。本文从ATTCK的相关概念出发介绍了基于ATTCK构建安全知识图的思考不成熟之处烦请专家指正。
