几种威胁情报/分析模型整理

=Start=

缘由:

收集整理一下常见的几种威胁分析框架/模型相关的文档、资料,方便以后参考。

正文:

参考解答:
钻石模型 (Diamond Model)

钻石模型(Diamond Mode)是由Sergio Caltagirone、Andrew Pendergast、Christopher Betz在2013年论文《The Diamond Model of Intrusion Analysis》中提出的一个针对网络入侵攻击的分析框架模型,英文原文是:The Diamond Model。

钻石模型认为,不论何种入侵活动,其基本元素都是一个个的事件(Event),而每个事件都由以下四个核心特征组成:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。同时,模型还定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操作性的)两个重要的扩展元特征。

因此,可以将每个事件理解为对“对手在哪些基础设施上部署哪些针对受害者的入侵攻击能力”的结构化描述。在分析时,分析人员可运用转轴(Pivoting,也有翻译为“支点”)分析,提取单一的元特征作为起点,借助情报、告警等可观测数据源,结合对元特征间关系的理解和分析,进而发现其他相关的元特征,获取更多的关于对手的情报,发现新的攻击能力、已经/可能被攻击的基础设施和受害者(包括潜在受害者)。

杀伤链模型(Kill Chain)

Kill Chain是美国洛克希德-马丁公司于2013年前后借鉴军事领域“杀伤链”概念提出的网络入侵攻击杀伤链模型。

Kill Chain模型从攻击者的角度出发,将攻击者的网络入侵攻击行为过程进行分段式的任务描述,从而形成一个完整的“杀伤链条”:

  • 1)侦察追踪:寻找可能的目标,并追踪目标动态;
  • 2)武器构建:将恶意软件放入有效的载荷(如Adobe PDF和Microsoft Office文件)中,确定攻击方式,完成攻击准备;
  • 3)载荷投递:有针对性地将武器(恶意代码)输送至目标环境内(如通过邮件附件、网站或者USB驱动器);
  • 4)突防利用:利用漏洞或缺陷触发恶意代码,并获得系统控制权限;
  • 5)安装植入:植入恶意程序及后门,保证恶意程序的存活,持续保持控制权限;
  • 6)通信控制:与外部C2服务器建立通信连接,并用Web、DNS、邮件等协议来隐藏通信通道;
  • 7)达成目标:开展直接的入侵攻击行为,窃取数据、破坏系统运行,或者在内部网络进一步横向移动。

Kill Chain模型做到了从攻击者视角对外部威胁和入侵攻击行为进行解析和描述。根据这个链条,防护者可以针对性地构建一个以威胁情报为基础的纵深防御体系,以做到快速发现外部威胁,精准切断链条的关键节点,阻止甚至反制攻击者的入侵攻击行为。

目前,Kill Chain模型已被应用于STIX 2.0标准中。ATT&CK可看作是Kill Chain模型中针对后四个环节的加强版知识框架。

对抗性的策略、技巧和常识(ATT&CK)

ATT&CK是美国MITRE机构提出的一套知识库模型和框架,全称为:Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™)。

ATT&CK在洛克希德-马丁公司的“Kill Chain”模型(将网络入侵攻击分为七个阶段)基础上,对更具可观测性的后四个阶段中的攻击者行为,构建一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络对手行为知识库,以指导用户采取针对性的检测、防御和响应工作。

ATT&CK已提供了一个策略及执行技术矩阵,其中包含有11个策略类别,每个策略类别对应攻击者执行技术列表(即攻击者可采用哪些技术手段执行此项入侵攻击策略),并针对每项技术提供更细粒度的技术描述、指示器、有效的防御传感器数据、检测分析信息和可能的应对措施等知识模型结构。

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4258.html

《几种威胁情报/分析模型整理》上有11条评论

  1. RSAC 2019 | 威胁建模模型ATT&CK
    http://blog.nsfocus.net/threat-modeling-model-attck/

    1. 前言
    2. 越来越技术能力强大和敏捷的对手
    3. ATT&CK模型
    4 实践
    4.1 提升防御能力
    4.2 威胁捕获
    6. 绿盟科技建模研究实践
    7. 小结
    8. 相关资料

    ATT&CK
    https://attack.mitre.org/

    SIGMA
    https://github.com/Neo23x0/sigma

    Mitre Caldera
    https://github.com/mitre/caldera

    Endgame Red Team Automation
    https://github.com/endgameinc/RTA

    Redcanary Atomic Red Team
    https://www.redcanary.com/atomic-red-team/

    Uber Metta
    https://github.com/uber-common/metta

    Advanced-Threat-Hunting-with-Carbon-Black
    http://the.report/assets/Advanced-Threat-Hunting-with-Carbon-Black.pdf

  2. 深入浅出略谈威胁情报
    https://www.secpulse.com/archives/105379.html

    一、业务层面的业务情报
    1、针对业务情报网站定制化关键字抓取
    2、社交群体(qq群等)
    3、……

    每个产品出现薅羊毛等情况肯定首先发布于一些网站,而我们需要做的无非就是梳理清楚自己业务线都有哪些相关业务、app等。我试过采用该方法去采集了很多相关的情报,联动推送至IM实时可看的情况。
    但此处的不足是,当业务情报网站过多时会导致变成IM轰炸,而这种情况需要的无非就是运营层面和自动化判断文章内容看是否真的存在较大威胁(这里我没有做,也不会,就不讲了)。
    也有会从qq群中发布羊毛活动供于群友去撸羊毛,有时候还会看到自动化软件去操作。
    其实每个活动都是有它的一个时间线的,基本会在活动的前中期,还有类似于聊x宝这样的特殊情况上线不足48小时用户高达200万,为什么能有这么高?全因为邀请好友会有红包领取导致羊毛党借助接码平台进行薅羊毛。那么针对于qq群的监控要怎么做?首先要加相对较高质量的群再借助qq群控定制关键字。群控的工具有:酷q、QM等,大概都类似于这样吧。软件出现关键词时,软件会提醒,包括弹窗提醒、声音提醒、记录消息、自动回复、消息转发、自动保存……功能都非常完善了。

    提交业务威胁情报时遵循4w原则,何为4w:
    When + Where + Who + What
    给予平台反馈,什么时候产生的这个情报、地址是什么、是否有相关人员信息等等。

    二、网盘泄漏

    三、攻击行为

    四、黑色产业链

    更多参考链接
    https://mp.weixin.qq.com/s/TeXdjDcWLmLi4iw8ff9XvA
    https://zhuanlan.zhihu.com/p/50998317
    https://github.com/ym2011/SecurityTechnique/tree/master/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5

  3. 安全分析中的威胁情报(一)
    https://mp.weixin.qq.com/s/GKHSOxTArqwGnrMZT4uXEA

    0x01 何为威胁情报
    我将威胁情报定义为:经过研判过的安全信息。

    这里有三个实体:研判,安全信息,威胁情报。三者的关系为:

    安全信息 + 研判 = 威胁情报
    任何未经研判的安全信息,都不能称之为“威胁情报”。威胁情报用于辅助支持决策或者安全分析,未知来源和真实性的安全信息将影响决策的正确性和分析结果的准确性。

    威胁情报是目标现在(以及过去)一段时间的状态描述;它受安全信息的数量、质量,以及研判过程合理性影响,使得威胁情报并不是百分百正确。

    0x02 安全信息收集
    针对信息本身,在收集时必须注意以下几点:
    •输入信息高清洁度,尽量避免无用的数据
    •信息的高可用
    •保证信息的高精度
    •信息源的覆盖面要没有疏漏
    •信息源必须可信
    •信息必须及时

    讲了那么多信息收集的要求,说一下信息的来源:OSINT、封闭、机密。

    0x03 信息研判
    在信息收集阶段,仅仅是构建信息获取的途径,针对的是来源,而不是信息本身。 对信息本身进行研判,才能将其转变成威胁情报。

    信息研判是威胁情报生命周期中极为重要的一个环节。主流的研判方式:人肉去看或者跑一些机器学习的算法。

    人的主观研判十分准确,既然是人,肯定有自己擅长的领域以及知识盲区,“人”对非擅长领域的信息是很难进行判断的;同时,人的精力是有限的,面对海量信息显得有些乏力。

    为了解决人主观研判的弊端,有一些厂家,引入了机器学习来进行信息研判这个工作。不可否认,这是信息爆炸时代下的趋势。受限于当前机器学习发展的瓶颈,很难有一个算法可以全自动地进行信息研判,然后把准确率四个九的处理结果拍我脸上,直接告诉我这就是准确的威胁情报。这是不可能的。

    威胁情报是要用来做决策,支持我们分析的。但凡达不到准确率99.99%的威胁情报,都不能直接用于实际生产。非完全可信的情况下,必须要有人介入才行。这也间接说明了,安全分析和安全运营的必要性。安全分析领域,人机协同在未来一段时间依旧是主流。

    0x04 信息研判模型
    研判过程三个基本原则:
    •不能有主观影响
    •必须要对信息源进行评估
    •信息要尽可能的靠近源头

    我认为信息研判的两个方面:
    •信息来源
    •信息本身
    许多人对信息研判只关注信息本身,而忽略来“信息来源”这个维度。补上来源可靠性判断,对信息研判准确率会有一个较大的提升。

    0x05 实践
    讲了那么多方法论,为了帮助更好的理解,这里举一个例子。

    场景就设定为:企业安全建设,收集漏洞威胁情报进行安全运营。

    •第一步:确定范围
    •首先要了解企业资产信息,明确哪些漏洞是需要关注的。

    •第二步:制订收集计划
    •确定信息来源,信息格式,信息研判的方式,信息收集的方式。
    •常见的漏洞信息来源有:CVE漏洞库,NVD漏洞库,CNVD漏洞库,媒体网站,邮件订阅,个人/组织博客,社交平台(Facebook,推特,微信群,朋友圈)等。
    •明确信息格式。一般漏洞库都有RSS订阅服务,可以直接获得结构化数据进行正则、字典匹配。而媒体网站,blog,社交平台的信息往往是非结构化的,这样的数据一般需要NLP进行处理。不同的信息种类,处理方式不同。明确信息格式是为了更好的处理数据。
    •不同信息来源的时效性,收集方式是不同。社交平台的时效性比较高,则信息爬取的时间间隔应当尽量小。而漏洞库则不必,一天爬一次足以。大多数情况都是通过爬虫采取主动的方式进行信息收集,也有个例,邮件订阅方面则需要被动的方式进行接收。

    •第三步:设置尺码
    •尺码的两个维度:来源信誉、信息质量
    •来源信誉需要积累,当然也可以进行预设,官方的公告网站、推特的大V、专业的安全媒体等,这些的权值可以大一点。
    •信息质量要根据不同来源进行匹配,例如厂商公告的产品我方是否关注,推文的热度如何,安全没媒体披露的漏洞是否在其他来源有相同的消息......

    •第四步:机器分析研判
    •如上一节所说,可以通过一些方法把威胁情报的层次区分开。

    •第五步:人工研判
    •机器研判是不可信的,它可以在一定范围内将高价值的信息区分出来。例如“微软发布了安全更新,而这次更新的产品我们有所使用”,这种情况肯定是映射到第一象限中的。但是很多情况,信息是映射到二四象限。特别是非结构来源的信息,比如某个不活跃在推特发了一个0day信息,这种信息来源可疑(指不活跃用户,而不是推特)的信息往往落到第四象限,这种情况就要接入人工研判。

    •第六步:处置
    •略

  4. 复盘攻防,再聊安全
    https://bithack.io/forum/352

    1. 整体攻防的思考
    本次攻防,从规则到各方实力,都是绝无仅有的。经常有人问,是攻击队厉害还是防守队厉害?经过我这些年的思考,还是没有得出一个确切的结论。有时候觉得攻击队厉害,因为攻击可以在非特定时间随意发起,出其不意攻其不备,甚至手持0day指哪打哪,毕竟木桶原理决定着攻破一处即可内部突袭;有时候又觉得防守方厉害,因为防守方拥有全部访问流量,随时洞察攻击者的探测并封堵IP,也可以在主机层监控攻击者一举一动,甚至部署蜜罐玩弄黑客于鼓掌之中。总之,这么些年的摸爬滚打经验告诉我,攻防就是这样,道高一尺魔高一丈,一如黑客防线中说的“在攻于防的对立统一中寻求突破”。

    2. 从攻击方思考
    a) 分布式扫描器
    b) 菜刀?蚁剑?冰蝎?
    c) 水坑&鱼叉
    d) 内网渗透,还是要了解业务
    e) 0day的优劣势
    3. 从防守方考虑
    a) 防御过度问题
    b) 应急排查
    c) 重边界、轻内网的防御策略
    d) 威胁情报系统的意义
    e) 面对0day攻击的无力感
    f) 蜜罐
    写在最后

  5. 实战化ATT&CK™:引言
    https://mp.weixin.qq.com/s/pF_d4Jbqs8QGlWN0ITnm6g

    ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge,对手战术、技术及通用知识库)是一个反映各个攻击生命周期的攻击行为的模型和知识库。

    ATT&CK 对对手使用的战术和技术进行枚举和分类之后,能够用于后续对攻击者行为的“理解”,比如对攻击者所关注的关键资产进行标识,对攻击者会使用的技术进行追踪和利用威胁情报对攻击者进行持续观察。ATT&CK也对APT组织进行了整理,对他们使用的TTP(技术、战术和过程)进行描述。

    目前ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK Matrixfor Enterprise(包括Linux、macOS、Windows)和ATT&CK Matrixfor Mobile(包括iOS、Android),其中PRE-ATT&CK覆盖攻击链模型的前两个阶段(侦察跟踪、武器构建),ATT&CK Matrixfor Enterprise覆盖攻击链的后五个阶段(载荷传递、漏洞利用、安装植入、命令与控制、目标达成),ATT&CK Matrixfor Mobile主要针对移动平台。

    PRE-ATT&CK包括的战术有优先级定义、选择目标、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力、分段能力。

    ATT&CK Matrixfor Enterprise包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、命令和控制、数据获取、影响。

    ATT&CK Matrixfor Mobile主要针对移动平台。

    ATT&CK之后门持久化(一)
    https://mp.weixin.qq.com/s/SavldFETaFea3l7kVX2RyA

    ATT&CK之后门持久化(二)
    https://mp.weixin.qq.com/s/Vh1ZyAIQjGY1WSomN7HWgQ

  6. 从ATT&CK看威胁情报的发展和应用趋势
    https://mp.weixin.qq.com/s/zbAwTDZ5IuRCMkuIDo82Cw
    https://www.sec-un.org/从attck看威胁情报的发展和应用趋势/

    ATT&CK是对网络攻击手法的一种结构化、数据化的描述,通过对抗性的分析,进一步推动自适应的、弹性的防御体系的落地。ATT&CK让攻击手法有了一致性的标准,是结构化认知对抗的重要基础,是新一代以数据/情报驱动的安全体系的重要部分。

    ATT&CK在洛克希德-马丁公司提出的KillChain模型的基础上,对更具观测性的后四个阶段中的攻击者行为,构建了一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络攻击者行为知识库,以指导用户采取针对性的检测、防御和响应工作。

    在应用层面,ATT&CK支持的用例(可以用来干嘛)包括:

    (1)模拟攻击者的攻击手法,指的是通过特定攻击者的威胁情报和攻击手法来模拟威胁的实施过程,进而评估某项防护技术的完备性。模拟攻击者的攻击手法侧重在验证检测或缓解在整个攻击过程中的攻击行为,ATT&CK可用作构建模拟攻击者攻击手法的场景的工具,来对常用的攻击者攻击技术进行测试和验证。通过对攻击行为进行分解,将动态、复杂的攻击活动“降维”映射到ATT&CK模型中,极大降低攻击手法的描述和交流成本,进而在可控范围内对业务环境进行系统安全性测试。
    在具体模拟攻击者攻击手法的使用方面,可以使用ATT&CK:1)对攻击者在不同攻击阶段使用的攻击技术进行模拟;2)对防护系统应对不同攻击手法的检测和防御效果进行测试;3)针对具体的攻击事件进行详细的分析和模拟。

    (2)红队,指的是在红蓝对抗中,在不使用已知威胁情报的前提下,红队的最终目标是攻陷对方的网络和系统,而不被检测发现。ATT&CK则可以被红队用于制定和组织攻击计划的工具,以规避网络中可能的防御手段。另外,ATT&CK还可以用于研究攻击者的攻击路线,进而摸索出绕过普通防御检测手段的新方法。

    (3)行为分析开发,指的是通过对攻击者的攻击行为进行检测分析,进而识别网络和系统中潜在的恶意活动,这种方法不依赖于已经识别的攻击工具特征和攻陷指标IoCs的信息,比传统的通过攻陷指标IoCs或恶意行为签名的方法更加灵活。ATT&CK可以用作构建攻击者攻击行为的工具,以检测环境中的攻击行为。

    (4)防护差距评估,指的是对企业在网络防护能力的不足方面进行评估。ATT&CK可看作一种以攻击者攻击行为为中心的模型,用于评估企业内部现有的检测、防护和缓解系统,确定防护差距后,指导安全增强的投资计划,进而改进和提升现有的系统。

    (5)SOC成熟度评估,指的是利用ATT&CK,对企业的安全运营中心在网络入侵时的检测、分析和响应的有效性进行评估。

    (6)网络威胁情报增强,指的是将ATT&CK作为传统基于攻陷指标IoCs的情报应用的补充。网络威胁情报指的是影响网络安全的网络威胁和攻击者群体的知识,包括关联的恶意软件、工具、TTPs、行业、行为以及威胁相关的其它攻击指标信息。ATT&CK可从攻击组织行为角度对其进行理解和描述,分析和运维人员可以更好的理解攻击组织的共同行为,以采取更好地防御措施。可以看到将ATT&CK用于检测的方法较传统的IoCs的检测方法要复杂得多。

    在判断未来威胁情报发展的方面,具体的,可以从广度和深度层面,预判威胁情报的应用方向。从广度层面,可以根据威胁情报规范支持的业务用例来分析威胁情报的应用方向,可以归纳为:
    1)威胁检测;
    2)事件调查和取证;
    3)威胁分析;
    4)情报共享;
    5)事故管理;
    6)漏洞管理;
    7)风险评估;
    8)红蓝对抗;
    9)攻击者仿真;
    10)SOC成熟度评估等。

    在深度层面,可以从当前设备和系统支持的情报类型进行判断,以检测为例,当前支持的威胁情报检测主要集中在Hash、IP地址和域名上,后续可以尝试往网络或主机特征、网络工具和TTPs方面进行支持。

  7. 基于 ATT&CK 的 APT 威胁跟踪和狩猎
    https://mp.weixin.qq.com/s/nqQmlWcemAGopy898I4cNg

    我主要从今年上半年重点对 ATT&CK 框架进行研究,并且发现其有助于我对网络威胁攻击和对抗的更全面理解,甚至可以延伸至从数据和检测的视角来看待威胁本身。

    从我的角度 ATT&CK 是:

    · ATT&CK是对 TTP 的一种标准化表达,包括战术目的、技术手段以及攻击过程中技术手段的选择;

    · ATT&CK 一定程度上是偏实战化的,毕竟其研究基础是真实曝光的网络威胁活动;

    · ATT&CK是具有应用场景限定的,同样因为其关注的威胁类型和研究基础所选取的来源范围,其更适用与面向具有网络边界的网络攻防场景,而和像云安全、业务安全、工控安全,甚至移动安全的威胁场景都存在一些不太适用或不太全面的情况。

    我在研究 ATT&CK 的框架时,也研究了国外安全研究人员对其的一些应用和实践,并且在一些群里也看到相关研究者对其应用和实践存在疑惑或是存在差异,我认为其和威胁情报的概念一样,当研究者自身的知识储备和视角,以及其面对的需要解决的问题不同时,对其的理解和认知就会出现差异。所以,在这里我只是以我个人过去的安全经验对 ATT&CK 本身的一些看法和思考罢了。

    OK,啰嗦了这么多,下面将进入正文,那么这篇文章会从以下几个维度来介绍 ATT&CK:
    1、从其设计角度剖析 ATT&CK 的框架原理;
    2、从数据视角谈谈如何对 ATT&CK 进行运营;
    3、对 ATT&CK 的战技术以及其在分析狩猎时的应用进行简单介绍。

发表评论

电子邮件地址不会被公开。 必填项已用*标注