=Start=
缘由:
收集整理一下常见的几种威胁分析框架/模型相关的文档、资料,方便以后参考。
正文:
参考解答:
钻石模型 (Diamond Model)
钻石模型(Diamond Mode)是由Sergio Caltagirone、Andrew Pendergast、Christopher Betz在2013年论文《The Diamond Model of Intrusion Analysis》中提出的一个针对网络入侵攻击的分析框架模型,英文原文是:The Diamond Model。
钻石模型认为,不论何种入侵活动,其基本元素都是一个个的事件(Event),而每个事件都由以下四个核心特征组成:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。同时,模型还定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操作性的)两个重要的扩展元特征。
因此,可以将每个事件理解为对“对手在哪些基础设施上部署哪些针对受害者的入侵攻击能力”的结构化描述。在分析时,分析人员可运用转轴(Pivoting,也有翻译为“支点”)分析,提取单一的元特征作为起点,借助情报、告警等可观测数据源,结合对元特征间关系的理解和分析,进而发现其他相关的元特征,获取更多的关于对手的情报,发现新的攻击能力、已经/可能被攻击的基础设施和受害者(包括潜在受害者)。
杀伤链模型(Kill Chain)
Kill Chain是美国洛克希德-马丁公司于2013年前后借鉴军事领域“杀伤链”概念提出的网络入侵攻击杀伤链模型。
Kill Chain模型从攻击者的角度出发,将攻击者的网络入侵攻击行为过程进行分段式的任务描述,从而形成一个完整的“杀伤链条”:
- 1)侦察追踪:寻找可能的目标,并追踪目标动态;
- 2)武器构建:将恶意软件放入有效的载荷(如Adobe PDF和Microsoft Office文件)中,确定攻击方式,完成攻击准备;
- 3)载荷投递:有针对性地将武器(恶意代码)输送至目标环境内(如通过邮件附件、网站或者USB驱动器);
- 4)突防利用:利用漏洞或缺陷触发恶意代码,并获得系统控制权限;
- 5)安装植入:植入恶意程序及后门,保证恶意程序的存活,持续保持控制权限;
- 6)通信控制:与外部C2服务器建立通信连接,并用Web、DNS、邮件等协议来隐藏通信通道;
- 7)达成目标:开展直接的入侵攻击行为,窃取数据、破坏系统运行,或者在内部网络进一步横向移动。
Kill Chain模型做到了从攻击者视角对外部威胁和入侵攻击行为进行解析和描述。根据这个链条,防护者可以针对性地构建一个以威胁情报为基础的纵深防御体系,以做到快速发现外部威胁,精准切断链条的关键节点,阻止甚至反制攻击者的入侵攻击行为。
目前,Kill Chain模型已被应用于STIX 2.0标准中。ATT&CK可看作是Kill Chain模型中针对后四个环节的加强版知识框架。
对抗性的策略、技巧和常识(ATT&CK)
ATT&CK是美国MITRE机构提出的一套知识库模型和框架,全称为:Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™)。
ATT&CK在洛克希德-马丁公司的“Kill Chain”模型(将网络入侵攻击分为七个阶段)基础上,对更具可观测性的后四个阶段中的攻击者行为,构建一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络对手行为知识库,以指导用户采取针对性的检测、防御和响应工作。
ATT&CK已提供了一个策略及执行技术矩阵,其中包含有11个策略类别,每个策略类别对应攻击者执行技术列表(即攻击者可采用哪些技术手段执行此项入侵攻击策略),并针对每项技术提供更细粒度的技术描述、指示器、有效的防御传感器数据、检测分析信息和可能的应对措施等知识模型结构。
参考链接:
- 情报笔记 | ATT&CK
- 情报笔记 | Kill Chain
- 安全情报分析中的钻石模型
http://www.activeresponse.org/wp-content/uploads/2013/07/diamond_summary.pdf - Small and highly portable detection tests based on MITRE’s ATT&CK.
- 情报笔记 | MITRE
- MITRE ATT&CK™
- Enterprise Matrix
https://mitre-attack.github.io/attack-navigator/enterprise/ - 吕毅:从攻击视角构建弹性信息安全防御体系
- 通过蜜网和钻石模型对ICS威胁进行分析
- 经典阅读:Lockheed Martin 之“情报驱动防御”模型
=END=
《 “几种威胁情报/分析模型整理” 》 有 32 条评论
RSAC 2019 | 威胁建模模型ATT&CK
http://blog.nsfocus.net/threat-modeling-model-attck/
`
1. 前言
2. 越来越技术能力强大和敏捷的对手
3. ATT&CK模型
4 实践
4.1 提升防御能力
4.2 威胁捕获
6. 绿盟科技建模研究实践
7. 小结
8. 相关资料
`
ATT&CK
https://attack.mitre.org/
SIGMA
https://github.com/Neo23x0/sigma
Mitre Caldera
https://github.com/mitre/caldera
Endgame Red Team Automation
https://github.com/endgameinc/RTA
Redcanary Atomic Red Team
https://www.redcanary.com/atomic-red-team/
Uber Metta
https://github.com/uber-common/metta
Advanced-Threat-Hunting-with-Carbon-Black
http://the.report/assets/Advanced-Threat-Hunting-with-Carbon-Black.pdf
威胁情报导航 TI start.me
https://start.me/p/rxRbpo/ti
用一个个性化的启动页面提升你的生产力(Boost your Productivity with a Personalized Startpage)
https://start.me/cn
深入浅出略谈威胁情报
https://www.secpulse.com/archives/105379.html
`
一、业务层面的业务情报
1、针对业务情报网站定制化关键字抓取
2、社交群体(qq群等)
3、……
每个产品出现薅羊毛等情况肯定首先发布于一些网站,而我们需要做的无非就是梳理清楚自己业务线都有哪些相关业务、app等。我试过采用该方法去采集了很多相关的情报,联动推送至IM实时可看的情况。
但此处的不足是,当业务情报网站过多时会导致变成IM轰炸,而这种情况需要的无非就是运营层面和自动化判断文章内容看是否真的存在较大威胁(这里我没有做,也不会,就不讲了)。
也有会从qq群中发布羊毛活动供于群友去撸羊毛,有时候还会看到自动化软件去操作。
其实每个活动都是有它的一个时间线的,基本会在活动的前中期,还有类似于聊x宝这样的特殊情况上线不足48小时用户高达200万,为什么能有这么高?全因为邀请好友会有红包领取导致羊毛党借助接码平台进行薅羊毛。那么针对于qq群的监控要怎么做?首先要加相对较高质量的群再借助qq群控定制关键字。群控的工具有:酷q、QM等,大概都类似于这样吧。软件出现关键词时,软件会提醒,包括弹窗提醒、声音提醒、记录消息、自动回复、消息转发、自动保存……功能都非常完善了。
提交业务威胁情报时遵循4w原则,何为4w:
When + Where + Who + What
给予平台反馈,什么时候产生的这个情报、地址是什么、是否有相关人员信息等等。
二、网盘泄漏
三、攻击行为
四、黑色产业链
`
更多参考链接
https://mp.weixin.qq.com/s/TeXdjDcWLmLi4iw8ff9XvA
https://zhuanlan.zhihu.com/p/50998317
https://github.com/ym2011/SecurityTechnique/tree/master/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5
威胁情报开放平台:
1、微步在线 https://x.threatbook.cn/
2、Riskiq http://passivetotal.org
3、360威胁情报中心 https://ti.360.net/
4、virustotal https://www.virustotal.com/
5、OTX https://otx.alienvault.com/
6、绿盟威胁分析中心 https://poma.nsfocus.com/
7、天际友盟 https://redqueen.tj-un.com/IntelHome.html
还有很多在此不一一赘述。
安全分析中的威胁情报(一)
https://mp.weixin.qq.com/s/GKHSOxTArqwGnrMZT4uXEA
`
0x01 何为威胁情报
我将威胁情报定义为:经过研判过的安全信息。
这里有三个实体:研判,安全信息,威胁情报。三者的关系为:
安全信息 + 研判 = 威胁情报
任何未经研判的安全信息,都不能称之为“威胁情报”。威胁情报用于辅助支持决策或者安全分析,未知来源和真实性的安全信息将影响决策的正确性和分析结果的准确性。
威胁情报是目标现在(以及过去)一段时间的状态描述;它受安全信息的数量、质量,以及研判过程合理性影响,使得威胁情报并不是百分百正确。
0x02 安全信息收集
针对信息本身,在收集时必须注意以下几点:
•输入信息高清洁度,尽量避免无用的数据
•信息的高可用
•保证信息的高精度
•信息源的覆盖面要没有疏漏
•信息源必须可信
•信息必须及时
讲了那么多信息收集的要求,说一下信息的来源:OSINT、封闭、机密。
0x03 信息研判
在信息收集阶段,仅仅是构建信息获取的途径,针对的是来源,而不是信息本身。 对信息本身进行研判,才能将其转变成威胁情报。
信息研判是威胁情报生命周期中极为重要的一个环节。主流的研判方式:人肉去看或者跑一些机器学习的算法。
人的主观研判十分准确,既然是人,肯定有自己擅长的领域以及知识盲区,“人”对非擅长领域的信息是很难进行判断的;同时,人的精力是有限的,面对海量信息显得有些乏力。
为了解决人主观研判的弊端,有一些厂家,引入了机器学习来进行信息研判这个工作。不可否认,这是信息爆炸时代下的趋势。受限于当前机器学习发展的瓶颈,很难有一个算法可以全自动地进行信息研判,然后把准确率四个九的处理结果拍我脸上,直接告诉我这就是准确的威胁情报。这是不可能的。
威胁情报是要用来做决策,支持我们分析的。但凡达不到准确率99.99%的威胁情报,都不能直接用于实际生产。非完全可信的情况下,必须要有人介入才行。这也间接说明了,安全分析和安全运营的必要性。安全分析领域,人机协同在未来一段时间依旧是主流。
0x04 信息研判模型
研判过程三个基本原则:
•不能有主观影响
•必须要对信息源进行评估
•信息要尽可能的靠近源头
我认为信息研判的两个方面:
•信息来源
•信息本身
许多人对信息研判只关注信息本身,而忽略来“信息来源”这个维度。补上来源可靠性判断,对信息研判准确率会有一个较大的提升。
0x05 实践
讲了那么多方法论,为了帮助更好的理解,这里举一个例子。
场景就设定为:企业安全建设,收集漏洞威胁情报进行安全运营。
•第一步:确定范围
•首先要了解企业资产信息,明确哪些漏洞是需要关注的。
•第二步:制订收集计划
•确定信息来源,信息格式,信息研判的方式,信息收集的方式。
•常见的漏洞信息来源有:CVE漏洞库,NVD漏洞库,CNVD漏洞库,媒体网站,邮件订阅,个人/组织博客,社交平台(Facebook,推特,微信群,朋友圈)等。
•明确信息格式。一般漏洞库都有RSS订阅服务,可以直接获得结构化数据进行正则、字典匹配。而媒体网站,blog,社交平台的信息往往是非结构化的,这样的数据一般需要NLP进行处理。不同的信息种类,处理方式不同。明确信息格式是为了更好的处理数据。
•不同信息来源的时效性,收集方式是不同。社交平台的时效性比较高,则信息爬取的时间间隔应当尽量小。而漏洞库则不必,一天爬一次足以。大多数情况都是通过爬虫采取主动的方式进行信息收集,也有个例,邮件订阅方面则需要被动的方式进行接收。
•第三步:设置尺码
•尺码的两个维度:来源信誉、信息质量
•来源信誉需要积累,当然也可以进行预设,官方的公告网站、推特的大V、专业的安全媒体等,这些的权值可以大一点。
•信息质量要根据不同来源进行匹配,例如厂商公告的产品我方是否关注,推文的热度如何,安全没媒体披露的漏洞是否在其他来源有相同的消息……
•第四步:机器分析研判
•如上一节所说,可以通过一些方法把威胁情报的层次区分开。
•第五步:人工研判
•机器研判是不可信的,它可以在一定范围内将高价值的信息区分出来。例如“微软发布了安全更新,而这次更新的产品我们有所使用”,这种情况肯定是映射到第一象限中的。但是很多情况,信息是映射到二四象限。特别是非结构来源的信息,比如某个不活跃在推特发了一个0day信息,这种信息来源可疑(指不活跃用户,而不是推特)的信息往往落到第四象限,这种情况就要接入人工研判。
•第六步:处置
•略
`
NSA 网络安全报告(NSA/CSS 技术网络威胁框架v2)
https://www.nsa.gov/Portals/70/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
红蓝对抗-攻击防御的链路分析及相关工具方法
https://blog.netspi.com/wp-content/uploads/2019/05/NetSPI_Scott_Sutherland_RedvsBlue_v3.2.pdf
复盘攻防,再聊安全
https://bithack.io/forum/352
`
1. 整体攻防的思考
本次攻防,从规则到各方实力,都是绝无仅有的。经常有人问,是攻击队厉害还是防守队厉害?经过我这些年的思考,还是没有得出一个确切的结论。有时候觉得攻击队厉害,因为攻击可以在非特定时间随意发起,出其不意攻其不备,甚至手持0day指哪打哪,毕竟木桶原理决定着攻破一处即可内部突袭;有时候又觉得防守方厉害,因为防守方拥有全部访问流量,随时洞察攻击者的探测并封堵IP,也可以在主机层监控攻击者一举一动,甚至部署蜜罐玩弄黑客于鼓掌之中。总之,这么些年的摸爬滚打经验告诉我,攻防就是这样,道高一尺魔高一丈,一如黑客防线中说的“在攻于防的对立统一中寻求突破”。
2. 从攻击方思考
a) 分布式扫描器
b) 菜刀?蚁剑?冰蝎?
c) 水坑&鱼叉
d) 内网渗透,还是要了解业务
e) 0day的优劣势
3. 从防守方考虑
a) 防御过度问题
b) 应急排查
c) 重边界、轻内网的防御策略
d) 威胁情报系统的意义
e) 面对0day攻击的无力感
f) 蜜罐
写在最后
`
实战化ATT&CK™:引言
https://mp.weixin.qq.com/s/pF_d4Jbqs8QGlWN0ITnm6g
`
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge,对手战术、技术及通用知识库)是一个反映各个攻击生命周期的攻击行为的模型和知识库。
ATT&CK 对对手使用的战术和技术进行枚举和分类之后,能够用于后续对攻击者行为的“理解”,比如对攻击者所关注的关键资产进行标识,对攻击者会使用的技术进行追踪和利用威胁情报对攻击者进行持续观察。ATT&CK也对APT组织进行了整理,对他们使用的TTP(技术、战术和过程)进行描述。
目前ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK Matrixfor Enterprise(包括Linux、macOS、Windows)和ATT&CK Matrixfor Mobile(包括iOS、Android),其中PRE-ATT&CK覆盖攻击链模型的前两个阶段(侦察跟踪、武器构建),ATT&CK Matrixfor Enterprise覆盖攻击链的后五个阶段(载荷传递、漏洞利用、安装植入、命令与控制、目标达成),ATT&CK Matrixfor Mobile主要针对移动平台。
PRE-ATT&CK包括的战术有优先级定义、选择目标、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力、分段能力。
ATT&CK Matrixfor Enterprise包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、命令和控制、数据获取、影响。
ATT&CK Matrixfor Mobile主要针对移动平台。
`
ATT&CK之后门持久化(一)
https://mp.weixin.qq.com/s/SavldFETaFea3l7kVX2RyA
ATT&CK之后门持久化(二)
https://mp.weixin.qq.com/s/Vh1ZyAIQjGY1WSomN7HWgQ
从ATT&CK看威胁情报的发展和应用趋势
https://mp.weixin.qq.com/s/zbAwTDZ5IuRCMkuIDo82Cw
https://www.sec-un.org/从attck看威胁情报的发展和应用趋势/
`
ATT&CK是对网络攻击手法的一种结构化、数据化的描述,通过对抗性的分析,进一步推动自适应的、弹性的防御体系的落地。ATT&CK让攻击手法有了一致性的标准,是结构化认知对抗的重要基础,是新一代以数据/情报驱动的安全体系的重要部分。
ATT&CK在洛克希德-马丁公司提出的KillChain模型的基础上,对更具观测性的后四个阶段中的攻击者行为,构建了一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络攻击者行为知识库,以指导用户采取针对性的检测、防御和响应工作。
在应用层面,ATT&CK支持的用例(可以用来干嘛)包括:
(1)模拟攻击者的攻击手法,指的是通过特定攻击者的威胁情报和攻击手法来模拟威胁的实施过程,进而评估某项防护技术的完备性。模拟攻击者的攻击手法侧重在验证检测或缓解在整个攻击过程中的攻击行为,ATT&CK可用作构建模拟攻击者攻击手法的场景的工具,来对常用的攻击者攻击技术进行测试和验证。通过对攻击行为进行分解,将动态、复杂的攻击活动“降维”映射到ATT&CK模型中,极大降低攻击手法的描述和交流成本,进而在可控范围内对业务环境进行系统安全性测试。
在具体模拟攻击者攻击手法的使用方面,可以使用ATT&CK:1)对攻击者在不同攻击阶段使用的攻击技术进行模拟;2)对防护系统应对不同攻击手法的检测和防御效果进行测试;3)针对具体的攻击事件进行详细的分析和模拟。
(2)红队,指的是在红蓝对抗中,在不使用已知威胁情报的前提下,红队的最终目标是攻陷对方的网络和系统,而不被检测发现。ATT&CK则可以被红队用于制定和组织攻击计划的工具,以规避网络中可能的防御手段。另外,ATT&CK还可以用于研究攻击者的攻击路线,进而摸索出绕过普通防御检测手段的新方法。
(3)行为分析开发,指的是通过对攻击者的攻击行为进行检测分析,进而识别网络和系统中潜在的恶意活动,这种方法不依赖于已经识别的攻击工具特征和攻陷指标IoCs的信息,比传统的通过攻陷指标IoCs或恶意行为签名的方法更加灵活。ATT&CK可以用作构建攻击者攻击行为的工具,以检测环境中的攻击行为。
(4)防护差距评估,指的是对企业在网络防护能力的不足方面进行评估。ATT&CK可看作一种以攻击者攻击行为为中心的模型,用于评估企业内部现有的检测、防护和缓解系统,确定防护差距后,指导安全增强的投资计划,进而改进和提升现有的系统。
(5)SOC成熟度评估,指的是利用ATT&CK,对企业的安全运营中心在网络入侵时的检测、分析和响应的有效性进行评估。
(6)网络威胁情报增强,指的是将ATT&CK作为传统基于攻陷指标IoCs的情报应用的补充。网络威胁情报指的是影响网络安全的网络威胁和攻击者群体的知识,包括关联的恶意软件、工具、TTPs、行业、行为以及威胁相关的其它攻击指标信息。ATT&CK可从攻击组织行为角度对其进行理解和描述,分析和运维人员可以更好的理解攻击组织的共同行为,以采取更好地防御措施。可以看到将ATT&CK用于检测的方法较传统的IoCs的检测方法要复杂得多。
在判断未来威胁情报发展的方面,具体的,可以从广度和深度层面,预判威胁情报的应用方向。从广度层面,可以根据威胁情报规范支持的业务用例来分析威胁情报的应用方向,可以归纳为:
1)威胁检测;
2)事件调查和取证;
3)威胁分析;
4)情报共享;
5)事故管理;
6)漏洞管理;
7)风险评估;
8)红蓝对抗;
9)攻击者仿真;
10)SOC成熟度评估等。
在深度层面,可以从当前设备和系统支持的情报类型进行判断,以检测为例,当前支持的威胁情报检测主要集中在Hash、IP地址和域名上,后续可以尝试往网络或主机特征、网络工具和TTPs方面进行支持。
`
基于 ATT&CK 的 APT 威胁跟踪和狩猎
https://mp.weixin.qq.com/s/nqQmlWcemAGopy898I4cNg
`
我主要从今年上半年重点对 ATT&CK 框架进行研究,并且发现其有助于我对网络威胁攻击和对抗的更全面理解,甚至可以延伸至从数据和检测的视角来看待威胁本身。
从我的角度 ATT&CK 是:
· ATT&CK是对 TTP 的一种标准化表达,包括战术目的、技术手段以及攻击过程中技术手段的选择;
· ATT&CK 一定程度上是偏实战化的,毕竟其研究基础是真实曝光的网络威胁活动;
· ATT&CK是具有应用场景限定的,同样因为其关注的威胁类型和研究基础所选取的来源范围,其更适用与面向具有网络边界的网络攻防场景,而和像云安全、业务安全、工控安全,甚至移动安全的威胁场景都存在一些不太适用或不太全面的情况。
我在研究 ATT&CK 的框架时,也研究了国外安全研究人员对其的一些应用和实践,并且在一些群里也看到相关研究者对其应用和实践存在疑惑或是存在差异,我认为其和威胁情报的概念一样,当研究者自身的知识储备和视角,以及其面对的需要解决的问题不同时,对其的理解和认知就会出现差异。所以,在这里我只是以我个人过去的安全经验对 ATT&CK 本身的一些看法和思考罢了。
OK,啰嗦了这么多,下面将进入正文,那么这篇文章会从以下几个维度来介绍 ATT&CK:
1、从其设计角度剖析 ATT&CK 的框架原理;
2、从数据视角谈谈如何对 ATT&CK 进行运营;
3、对 ATT&CK 的战技术以及其在分析狩猎时的应用进行简单介绍。
`
大型互联网企业威胁情报运营与实践思考
https://mp.weixin.qq.com/s/8eY1Es71mmrvuDGnWL4lfA
`
0x00 大规模系统下的威胁
通过对各种角度上的威胁进行梳理后,我们可以把整个互联网企业可能面临的安全威胁分为三大类,一类是以通用组件漏洞、僵木蠕为首的面向基础设施的威胁,第二类是以业务系统缺陷、越权漏洞为代表的面向业务系统的威胁,第三类是以POI/UGC爬取、欺诈流量(也就是刷差评/好评的)等面向业务数据层面的威胁。有了威胁,才能去谈威胁的情报。
首当其冲的是情报的准确性,很多情况下我们抓到一条情报之后,无从判断真伪,更有的时候直接抓到了就直接定性是虚假情报了,这样无形增加了很多的运营成本。
第二个问题就是消息不对称,很有可能情报从原始处获取到了之后,由于生产的问题导致情报出现了失真,最后拿到手里是残缺甚至是错误的情报,安全运营拿到了之后不知道如何处理这类的情报,在这里举一个例子,在漏洞预警中,可能不小心没有注意到告警描述里面的prior,导致了影响版本的误判。
第三个问题其实更比较常见,我们买了很多IOCs、买了很多情报服务,数据量可能非常之巨大,但是实际上能拿来运营的往往就那么几条。举一个很常见的例子,我们在购买的IOC中只会提及IP是个扫描器、是个僵尸网络,从来没有人主动了解也没有人去询问他扫描了哪个端口,被哪个家族的僵尸网络bot控制了,更有甚者会将一些公司的正常资产标记成恶意的,这个时候没有人为威胁情报的结果负责,标签就变成了无意义的话题。安全运营的同学见的多了自然就会对威胁情报产生了严重的质疑,再加上前面提到的安全运营会因为海量的告警出现了告警懈怠,导致真正有用的情报没有能够及时处理,让真的威胁情报变成了”无效情报“,变成了为企业添堵。
最后就是情报的滞后,举个很简单的例子,就是通用漏洞的威胁情报。通用漏洞的情报很多时候都是看到朋友圈大量转发或者群里大面积讨论才知道有漏洞了,实际上这个漏洞很有可能是很早之前就发了修复补丁大家完全没注意的。
老板的连环追问:
● 买了威胁情报服务是不是全接进来?
● 威胁情报数据质量是否有保证?
● 能不能及时产生有效的威胁情报通知或者工单?
● 工单有没有人跟进闭环或者处理?
● 解决以后有没有事后复盘等等问题接踵而至…
0x01 如何构建威胁情报能力
如果要建立一个完整的威胁情报体系,那么就必须要把业务系统、业务数据等业务层面的攻击面以及闭环流程也纳入进来,这样的话我们对于针对企业各个层次上的威胁都有对应的威胁情报能力,这就是我们所认为的真实环境下应具备的威胁情报能力:能够为发现潜在或已发生的威胁(包括但不限于业务数据、业务系统和基础设施)提供有效且可靠的消息类型或者知识类型的数据,且该数据能够通过安全运营进行高自动化的闭环处理能力,称之为威胁情报能力,提供的数据称之为威胁情报数据。
0x02 如何评价威胁情报能力建设的好坏
诸多血淋淋的案例和运营经验告诉我们,威胁情报的能力构建不是简单“买买买”就能搞定的,“买买买”不能解决实际的安全运营问题,这个时候我们就需要自己打造威胁情报能力体系了。
但是在正式开始威胁情报的建设前,我们需要明确威胁情报能力的一个指标,也就是如何去评价威胁情报能力建设的好坏,我们通过内部的讨论以及我们对于安全运营的经验和实践,为我们的威胁情报能力设置了四个比较现实的目标:低延时、高精度、可运营和能闭环。
0x03 威胁情报生命周期和体系建设
在确定了清晰的目标之后,就应该开干了,我们在建设威胁情报能力体系的过程中,把整个威胁情报能力体系划分成了四个部分:
1. 威胁情报数据
2. 情报生产工具
3. 情报管理平台
4. 安全运营团队
这也就是外界所说的人+数据+平台的方式建设体系。
0x04 威胁情报的闭环与运营
首先我们先来谈一下企业的威胁情报生命周期,根据我们的业务特性和运营与闭环模式,我们根据实际的安全运营经验和威胁情报的一些理论知识将威胁情报能力的运营和信息的闭环分为了四个阶段,分别是:威胁情报策略制定、威胁情报采集与分析、威胁情报成品交付与情报运营和事后的复盘分析。
我们在经过一段时间的运营和实际的应用的结果来看,结合我们现有的安全能力和体系,我们的威胁情报体系如下图所示,该体系分为了五个层次,分别对应上文中威胁情报生命周期中的四个环节,规划部分对应策略制定环节,数据研判、情报处理、情报分析对应采集与分析环节,情报运营、闭环处理和复盘分析分别对应情报运营环节。
0x05 情报分析技术探秘
一个好的FINTEL必须满足以下条件:保证情报内容可在短时间之内读懂,所有评估所需要素一应俱全,提供闭环所需解决方案,影响范围一目了然,方便后续运营闭环操作。当然同类型FINTEL的交付模式应有对应的交付验收,以保证情报FINTEL满足运营团队的运营需要。
0x06 威胁情报与安全设备的联动
生成的威胁情报成品如果还有包含信誉类检测的功能,我们应当保证这些功能是被安全设备调用的,这也是威胁情报赋能的一种表现。企业内部的安全产品如果按照生产环境和办公环境划分的话,生产环境的三大件是IDS、WAF和防火墙,办公环境的三大件是DLP、EDR和邮件网关(绝大多数EDR厂商的前身都是杀软厂商,所以杀软和EDR在好的产品中应该是打包的)。对于各自的三大件,情报的赋能限于检测和查询,如以下的告警则是和HIDS进行联动的应用场景。
当然业务层面上的情报,除了与反爬系统联动之外,最好的应急方式是拉群定损,这个时候情报的评价就会体现在快不快上,因为快意味着损失会少,产出会更明显一些。
0x07 summary
其实威胁情报能力对于企业安全的价值最重要的两点是减少信息不对称带来的损失、赋能于安全提高威胁发现率。但是由于行业内各家对于威胁情报的理解和看法都不尽相同,所以在威胁情报具体落地实施的情况下都是各走各的路,各有千秋。但是我们始终认为威胁情报是规划导向的产物,在实际威胁情报运营和闭环中,我们发现很多问题在规划阶段就可以完全避免这一类问题的发生。所以在构建企业级威胁情报能力的时候,往往坑在规划,重在生产,难在运营,结果取决于闭环的结果。
但是即使做好了,在面对考核和评价的时候,往往也要给自己定一个小目标,也就是评价威胁情报能力好不好的四大标准:速度快、情报准、可运营、能闭环。有了体系,就需要将能力沉淀下来,构建人+平台+数据的解决方案,在威胁情报体系建设中,情报体系、自动化平台、数据资源、获取渠道都是会影响威胁情报能力的关键指标,过程不重要,在结果导向的环境下,FINTEL的好坏才是成败的关键,因为FINTEL的好坏直接决定运营难度,好的FINTEL需具备易读懂、可操作、能运营的特性,让运营同学一看就能用。
虽然各家对于威胁情报的看法不尽相同,但是希望这篇文章阐述到的观点能够成为一个可供同行参考的模型,这才是真正意义上的威胁情报为行业赋能。
`
浅谈“归因”
https://mp.weixin.qq.com/s/WILKc7v_lJqoodiWCz9zog
`
攻击的归因(Attribution)总是作为威胁分析师最为头疼的问题,这也是近半年来我时常思考的一个问题,即使我在这块并不擅长。巧合的是,最近在 Twitter 上也看到部分讨论归因的推文,我觉得有些观点还是比较认同,所以决定写一篇自己的思考。由于自身水平实在有限,只能作为浅谈来抛砖引玉了。
`
https://struct.github.io/attacker_attribution.html
威胁情报的私有化生产和级联:威胁狩猎及情报共享
https://mp.weixin.qq.com/s/BhUZffG_HyvWoJFpsdtAMQ
`
(一)背景
1. 威胁情报库建设的背景和需求
2. 现有威胁情报库
(二)研究目标
在威胁情报的应用过程中,我们发现仍然有一些问题有待解决。
1. 情报合法有序共享
当情报库建立之后,情报共享的需求马上就被提出。与公司内部、行业机构等进行情报共享,一方面能够快速实现威胁感知能力的提升和风险共担,另一方面情报的合法有序共享,也有利于整个生态的健康持续运转,降低运行成本。
2. 私有情报生产
银联是典型多职场、多组织协同防御的结构,拥有较多安防设备且对攻击敏感,会有海量的告警信息,如何从海量告警信息中获取真实的攻击行为是一个大的挑战。同时来自外部的威胁情报数据无法完全支撑对于真实攻击的检测、阻断和溯源分析,攻击者对于外围资产实施跳跃式攻击时,也可能导致联动防御困难。在这些场景中,我们对威胁情报数据和威胁情报生产均有强需求。
为了实现这两个目标,我们进行了情报共享技术和全流量威胁狩猎的研究。
(三)情报共享技术研究
1. 情报上传下达的基本逻辑
2. 情报完整流转流程
3. 技术的重点和难点
(四)全流量威胁狩猎
1. 威胁狩猎的定义和流程
2. 威胁狩猎的技术重点和难点
3. 全流量威胁狩猎技术
(五)研究的产出和意义
1. 安全建设保障延续性
在原有情报管理平台与威胁检测平台上,附加更多的能力,基于现有能力不断升级,保证原有能力的持续运营,与新技术的无缝衔接,保证持续有效的安全建设。
2. 增加全网威胁可见性
在原有威胁检测平台边界检测失陷主机的能力上,增强流量的覆盖度,覆盖内网流量,并应用流量文件还原技术、引擎与动态沙箱技术、机器学习技术等提升检测能力,对威胁攻击过程进行分析狩猎,提升对内网中威胁与全攻击过程的可见性。
3. 行业情报共享,增强响应能力
在原有情报管理平台整合情报与提供情报检测接口的能力上,增强行业情报共享能力、提供批量接入挖掘情报的接口,并建设与现有安全设备联动的能力,基于威胁情报进行自动化的响应。
4. 对于整个网络安全威胁情报共享体系建设发展的意义
在前期威胁情报中心能力之上,增强流量监控与威胁狩猎分析能力,精准定位攻击全过程;同时提升情报挖掘能力,并在行业情报共享机制进行探索研究,为将来的实践应用奠定理论和技术基础。
`
ATT&CK 实战指南
https://mp.weixin.qq.com/s/-K5B_ZdxLxN7oSCVfWMWpg
`
# 理论学习使用
图5:APT29 使用的攻击技术
图6:根据平台和阶段进行选择
图7:红蓝对抗攻守图
图8:EDR产品安全技术覆盖度
图9:CARET 网络图
# Red Team使用
图10:MITRE与Red Canary的用例数量示意图
图11:入侵检测进展示意图
图12:APT3 模拟计划示意图
图13:ATT&CK™ View 示意图
# Blue Team使用
图14:单元测试示例
图15:实现方式示例
图16:EQL语言示意图
图17:数据收集质量示意图
# CTI(Cyber Threat Intelligence)Team 使用
图18:痛苦金字塔
图19:ENISA的CTI项目图
图20:Sigma用途示意图
图21:使用sysmon检测webshell的示例
图22:Sigma支持的系统
图23:Sigma规则在ATT&CK框架中的覆盖度
图24:MISP威胁情报平台示意图
# CSO使用
图25:Atomic Threat Coverage项目示意图
图26:ATT&CK的常见使用场景
ATT&CK的常见使用场景这里就介绍到这里了,常见的内容是模拟攻击、评估和提高防御能力、威胁情报提取和建模、威胁评估和分析。
ATT&CK框架涵盖的内容还有很多没有介绍,比如Pre-ATT&CK、mobile、ICS、Evaluation、SOC Assessment及Sightings等等。我们希望与大家携手努力,共同研究这个来源于真实场景的安全框架,为提高安全能力、维护网络安全贡献绵薄之力。
`
张福:MITRE ATT&CK威胁检测框架研究心得分享
https://mp.weixin.qq.com/s/6fQLlM-B3UAoK6jttBRXYA
`
由于敌暗我明,防守方始终处于一个被动地位。这个情况在网络安全中尤其普遍。在网络安全领域,攻击方始终拥有取之不竭、用之不尽的网络弹药,可以对组织机构随意发起攻击,而防守方则必须每次都要成功地防止攻击者攻击成功。
由于这种天生的劣势,防守方始终会为以下问题而困扰:
1. 我们的防御方案有效吗?
2. 我们能检测到APT攻击吗?
3. 我们收集的数据有用吗?
4. 我们的安全工具覆盖范围是否有重叠呢?
5. 这款新产品对于我们组织机构的防御有用吗?……等等
因为缺乏一个明确的,可衡量,可落地的标准,所以防守方对于入侵检测通常会陷入不可知和不确定的状态中,从而无法有效的弥补自己的短板。
MITRE为了解决防御者面临的困境,基于现实中发生的真实APT攻击事件,创建了一个对抗战术和技术知识库,即MITRE ATT&CK框架。由于该框架内容丰富,实战性强,最近几年发展得炙手可热,得到了业内的广泛关注。
以上是背景介绍,下面我们开始今天的主要内容,分为三个部分:
1、MITRE与ATT&CK概念介绍;
2、ATT&CK背后的核心设计思想;
3、ATT&CK的四大使用场景;
一、下面是第一部分:MITRE与ATT&CK概念介绍:
ATT&CK是对抗战术、技术和常识的缩写。战术(Tactics)代表了实施ATT&CK技术的“原因”。战术是攻击者执行某项行动的战术目标。战术提供了各项技术的环境类别,并涵盖了攻击者在攻击时执行活动的标准、高级标记,例如持久化、信息发现、横向移动、文件执行和数据泄露.
技术(Techniques)代表攻击者通过执行动作来实现战术目标的“方式”。例如,攻击者可能会转储凭据,以便访问网络中的有用凭据,之后可能会使用这些凭据进行横向移动。技术也可以表示攻击者通过执行一个动作要获取“内容”。这与“发现”战术有明显的区别,因为技术侧重的是攻击者采取特定动作是为了获取什么类型的信息。
由于战术代表了攻击者的战术目标,因此随着时间的推移,这些战术将会保持相对不变,因为攻击者的目标不太可能改变。战术将攻击者试图完成的任务的各方面内容与他们运行的平台和领域结合了起来。通常,不管是在哪个平台上,这些目标都是相似的,这就是为什么Enterprise ATT&CK战术在Windows、MacOS和Linux系统中基本保持一致。
二、下面是第二部分:ATT&CK背后的核心设计思想。
ATT&CK背后的设计思想是十分明确的,主要有三个核心思想。
1、始终从攻击角度看待问题,保持攻击者的视角。
2、不断进行实践证明,通过跟踪APT活动来更新技术。
3、进行抽象提炼,通过抽象提炼,将进攻行动与防御对策联系起来。
三、最后说一下ATT&CK的实际使用场景,主要有以下四个用途;
1、威胁情报:使用ATT&CK框架来识别攻击组织;
2、模拟攻击:基于ATT&CK进行红蓝攻防演练;
3、检测分析:基于具体的”技术“,有效增强检测能力;
4、评估改进:将解决方案映射到ATT&CK威胁模型,发现并弥补差距。
`
关于ATT&CK/APT/归因的讨论
https://weibo.com/ttarticle/p/show?id=2309404450471736639616
为什么ATT&CK对APT关联归属分析用处不大
https://mp.weixin.qq.com/s/Cb7tROj0BXSOxnqyjftlRw
`
# 记录事实的能力受限
# 关联分析的核心在于细节
从信息论的角度看,特征的价值高低取决于其消除不确定性的能力,所以不是所有的特征都是平等的,比如知道已知某个攻击团伙的C2域名用到了某个域名注册商远不如知道其用到了某个特定IP,因为域名注册商并不只服务于攻击者,而IP在特定阶段只被特定攻击者使用,排他性消除了很大部分不确定性。
# 元数据为王
APT分析的核心是看见的能力,获取信息量的能力,分析方法上其实并不需要多复杂,没必要搞得高深莫测。随着摩尔定律主导下的计算存储成本的指数级降低,以及支持大数据处理技术的完善,我们正在进入到一个元数据为王的时代。不理解这一点的读一下当年美国司法部对Lazarus团伙成员的起诉书就知道了:
https://www.justice.gov/opa/press-release/file/1092091/download
上图是部分对文档中提到的一些对象的梳理,文档中体现的美国人收集元数据的能力是惊人的:
特定IP的访问记录
特定IP与社交账号的关系
人员所使用的IP
人员使用的社交账号
人员的邮件记录
人员的社交信息收发
人员的搜索记录
掌握这些信息,还需要什么特别的机器学习方法吗?简单的图关联就够了。
# (足够全的)元数据 + 足够独特性的细节/特征
`
以ATT&CK为例构建网络安全知识图
https://mp.weixin.qq.com/s/qCogicaOQGLzM_HPjjgpOg
入侵分析钻石模型学习笔记
https://mp.weixin.qq.com/s/akb1SLiXj8ts3-RxiXks2w
`
《TheDiamond Model of Intrusion Analysis》是Sergio Caltagirone等人在2013年发表的一篇论文,这篇论文详细介绍了一个描述入侵分析的模型,作者称之为“钻石模型”。本文是安恒安全研究院猎影团队基于该论文的学习笔记,旨在帮助国内网络安全从业人员了解钻石模型。
# 钻石模型提出的背景
如何有效描述入侵检测的核心问题:who(对手、受害者), what(基础设施、能力), when(时间), where(地点), why(意图), how(方法)
公理1:每个入侵事件中必存在对手,他借助一些使用基础设置获得的能力,采取若干步骤攻击受害者,以产生某种结果。
公理2:存在各种对手(内部人员,外部人员,个人,团体和组织),它们试图破坏计算机系统或网络,以增强其意图并满足其需求。
公理3:每个系统,扩展到每种受害者的财产,都存在漏洞和风险。
公理4:每个恶意活动都包含两个或更多阶段,为了达到预期的目的,这些阶段必须被成功执行。
公理5:每个入侵事件都需要一个或多个外部资源才能成功。
公理6:对手和受害者间必存在某种关系,即便这种关系是遥远的、易逝的和间接的。
公理7:对手中存在一个子集,该子集拥有在抵御缓解的同时,针对一个或多个受害者,长期维持恶意影响的动力、资源和能力。此子集中的对手—受害者关系称为持续性对手关系。
`
威胁狩猎101文档
https://mp.weixin.qq.com/s/0hOtnTz9QrKlLivAobjU7Q
`
在Kill Chain攻击框架发布了近10年后,ATT&CK框架做为后继者极大丰富了攻击分析和场景,包含了黑客渗透过程中利用具体的各种技术。在这么多攻击技术和手段的攻击下,传统的安全设备堆叠已经失守。比如各种Webshell的混淆、加密流量、社会工程对于终端的渗透,这些技术基本都可以穿透所有的传统安全产品下堆叠出的安全架构和系统。
在FireEye 的M-Trends 2020 Reports中,发现攻击者隐藏或者驻留时间的中位数为56天。近几年的威胁检测时间都在不断缩短,主要是由于对于内部威胁的情况发现较早,极大的减少了中位数,但是外部威胁的驻留时间还在141天,接近5个月之久。
高级威胁的存在背后是拥有高级黑客技术的人和相关的动机。对于攻击行为的动机可以分为随机的、自动化的、报复性的、经济目的、政治目的和军事目的,威胁的等级也不同。攻击者组织方式无论从时间精力和武器库的丰富度来说,对于防御方来说都是极大的不平衡。缺少高级的攻击防御经验、没有太多时间精力去保证全面的安全,缺乏相关高级的技术手段来应对。
根据Sans网络安全滑动标尺模型有五个阶段,架构安全、被动防御安全、主动防御安全、威胁情报和反制安全。在整个安全建设的过程中,目前整体都是在架构安全和被动防御安全这两个方面努力,而在主动防御方面,投入的技术、人力和产品还严重不足。要提高整个安全态势向更高层面的提升,必须要重视主动防御安全的建设。
针对以上四种情况:
1. 攻击手段多样性,
2. 攻击者驻留时间长,
3. 高级威胁检测难度高,
4. 安全建设的进一步要求,
网络威胁狩猎(Cyber Threat Hunting)应运而生。威胁狩猎是主动安全的代表性技术,依赖于相关技术手段和人的知识,利用威胁狩猎可以减少我们目前的威胁。威胁狩猎的定义:威胁狩猎是一个高级安全功能,集成了主动防御、创新技术、技术专家以及深度威胁情报来发现和阻止恶意的并且极难检测的攻击行为。同时,这些攻击行为也是传统自动化的防御无法检测出来的。
`
ATT&CK 框架图中文翻译版
https://github.com/NomadCN112/Chinese-translation-ATT-CK-framework
http://vulhub.org.cn/attack
美国网络安全 | MITRE Shield 积极防御知识库
https://mp.weixin.qq.com/s/cljI9AFVNEb4YkglzYayDg
`
提到MITRE,安全人员最先想到的可能是引领全球网络安全攻防潮流的对手战术和技术知识库框架ATT&CK。ATT&CK知识库被用作私营部门、政府、网络安全产品和服务社区开发特定威胁模型和方法的基础。
而本文要介绍的MITRE Shield,则是一个MITRE正在开发的【积极防御】【知识库】,用于捕获和组织关于积极防御和对手交战的知识,旨在为防御者提供用于对抗网络对手的工具。Shield知识库描述了积极防御、网络欺骗、对手交战行动中的一些基本活动,可用于私营部门、政府、网络安全产品和服务社区的防御性利益。
MITRE特别强调了Shield与ATT&CK的联系,认为从ATT&CK到Shield是一个自然而然的过程,认为同时使用ATT&CK和Shield可以帮助防御者有效增强防御能力。
MITRE Shield创建于2019年,是一个非常新的知识库,目前只是Shield知识库的第一个版本。MITRE表示,Shield的下一个版本将有改进的结构和更多的内容。2020年8月,MITRE发布了《MITRE Shield 介绍》。笔者获悉后,第一时间整理此文,以引起业内重视。
笔者愿意相信:Shield积极防御知识库将成为网络安全行业重要的发展方向之一,将成为各组织机构实施积极防御的指导框架和重要资源。
一、Shield背景介绍
1)Shield简介
2)为何创建Shield
3)Shield术语
4)何谓积极防御
二、Shield矩阵模型
1)战术和技术的关系
2)积极防御的战术
3)积极防御的技术
三、Shield与ATT&CK的映射
四、小结与展望
`
https://shield.mitre.org/
https://shield.mitre.org/resources/downloads/Introduction_to_MITRE_Shield.pdf
ATT&CK驱动下的安全运营数据分析,如何“落地”?
https://mp.weixin.qq.com/s/RtojPn9CTS_2mC66uu1exA
`
在ATT&CK的驱动下,越来越多的数据源采集能力成为企业威胁防护的标配。不过,对于安全运营团队来说,大规模、规范化的采集数据的接入只是起点,如何利用数据对抗愈发隐匿的高级威胁行为,持续降低企业和组织的风险才是关键所在。本文将从实践出发,探讨总结ATT&CK驱动下安全运营数据分析的实用性挑战。
一、数据挖掘的新机遇
ATT&CK之前,LockheedMartin的攻击链模型(Cyber Kill Chain),微软的STRIDE模型等是威胁建模、告警分类分级、知识库建设的重要基础。各个安全厂商普遍量身定做了细粒度威胁模型。MITRE通过开源众筹的ATT&CK知识库,以适中的抽象方法,较成功地实现了系统化的攻击者技战术行为建模,有效地降低了威胁情报、威胁建模等领域的沟通成本。如果说传统威胁分析能力的建设是大家在各自的语境方言里自说自话,那么ATT&CK就给出了一个词典基线,识不识字、能力强弱的问题大家对齐语义就可以拿出来比一比了。
总结来看,ATT&CK驱动下的数据融合为威胁防御方带来以下新的机遇:
1、促进数据归一化、本体化及关联性提升。无论是内部检测能力命名,还是与外部威胁情报对接,ATT&CK矩阵为企业或组织内数据湖的数据融合提供了技战术抽象层次的对齐方案。基本的,类似告警或事件有了明确的归类层次。进阶的,数据中隐含的数据实体及其关联关系,能够在统一的框架下实现本体化建模,为知识图谱等基于网络和图的数据结构构建提供基础。
2、促进分析能力与业务的解耦。诸多机器学习算法已经应用于威胁检测、溯源等环节。然而,许多技术底层集成类似的分析算法却形成看似不同的应用方案。其中的技术冗余为数据分析能力的可拓展性带来瓶颈。ATT&CK矩阵从攻防视角为“安全能力中台”的构建提供了新思路。通用算法能力能够从传统的数据分析孤岛中抽象出来,并与上一层的安全业务需求解耦。例如,经典的序列分析模型可用于事件预测、异常检测等不同层次的场景。在统一的数据湖之上,分析算法能够充分模块化,形成可编排的调用接口以供灵活的调用与集成。
3、促进分析算法的语义化。欠语义化一直以来都是数据驱动威胁检测的痛点。基于统计的模式识别与因果分析,往往需要在适当先验知识的约束下,才能适应安全数据的分析目标。ATT&CK通过矩阵的战术阶段划分,在目标层、分析层以及数据层上自然的提供了有明确语义的关联关系。这一语义增强,给数据驱动威胁分析结果提供了讲故事的范本,为运营人员提供了可解释、可理解的线索入口。
二、数据挖掘的实用性挑战
本质上,大规模安全运营数据分析的困难来自于攻守的不平衡性。常态化安全运营的目标是在合理的投入产出比下,持续的监控并降低企业和组织的系统化安全风险。能够在态势大屏上展现出来的威胁趋势,很难适用于高隐匿性、低频的高级威胁的狩猎任务。在攻守失衡的条件约束下,ATT&CK似乎给出一剂良药的配方,那么按照配方收集好每一味药材,熬一熬就能预防病害吗?网络安全威胁的破坏性,要求防御方不能求诸玄学。以下,将从数据接入、线索发现、事件重建三个角度,总结在探索ATT&CK科学化应用中的关键性挑战。
1. 数据接入:系统瓶颈与数据风险
2. 线索发现:召回模型与高误报率
3. 事件重建:一词多义与依赖爆炸
`
MITRE ATT&CK基本概念
https://mp.weixin.qq.com/s/yOJNWazCeGKKMR8titj3cg
`
在介绍ATTCK之前,作为一个甲方安全从业者,请大家思考几个问题:
怎么回答老板对你的灵魂拷问:
* 我们现在的安全做的怎样了,能防住哪些攻击,与业界差距是多少?
* 为什么今年的预算又要采购这些设备,去年不是刚刚买了XX吗,怎么又买?
* 为什么买了那么多安全设备,还会出这样那样的问题?
如果要搭建一套SIEM或者SOC系统:
* 需要采集哪些数据?
* 做了哪些规则,可以检测哪些场景,这些规则场景到底可以在我们的环境中适用吗?
* 怎么验证规则场景有效?
如果要自建威胁情报
* 怎么收集威胁情报,有哪些内容可以收集?
….
那么多问题,归根到底就是如何去评价组织内安全现状,到底哪里做的好,哪里做的不好,好的话好在哪里,不好的话又不好在哪里,以及如何逐步去推动安全防御建设。
有人可能就会说了,我们部署了主机防护,也有WAF,也有下一代防火墙,可以检测webshell、反连马,有流量分析检测DNS隧道,可以检测恶意域名,还有全部修复高危漏洞、没有高危端口… 等等这些列举现有的安全检测设备的功能和场景。
这就有一个问题,你怎么保证你所列的这些检测防护场景是覆盖所有已知的攻击手法呢?等等,已知的”攻击手法“又有多少?如果不是全覆盖,又是覆盖多少呢?通常有经验的安全从业者,会直接告诉你,列出的这些检测方法场景就是经验得出的最佳实践。(当然,如果基于”经验“的理由来向老板拿来年的安全经费,如果老板能接受,还是挺好的)
的确是这样,可靠的安全经验是很重要的,这些经验可以根据组织现状制定出最佳的安全建设方案。但经验是很个人的东西,每个人安全人员都明白自己的最终目标是保护组织内的信息资产,但出于安全经验不同、对安全的理解也不同,就会产生不同的安全实践,不同的实践也会产生不同的安全效果。
那有没有可能存在一种方法论可以很好的集合所有安全从业者的经验,形成一套通用的安全知识框架呢?
MITRE ATT&CK 就是一个很好的工具,可以解决上述的问题。
`
ATT&CK 2020更新指南
https://mp.weixin.qq.com/s/cPiVersg8VyK4fBTK8W1Ag
`
# 前言
自上一篇《ATT&CK实战指南》发布以来,这一年间ATT&CK更新的内容比较多,有必要再写一篇文章来对这些更新进行说明。去年的ATT&CK版本是V6.3,目前的ATT&CK版本是V8.1,可见更新了两个大的版本,目前的ATT&CK for Enterprise包含了14个战术,177个技术以及348个子技术。根据ATT&CK的Roadmap来看,今年在社区的努力下更新了很多的内容。下面,本文将分几个方面进行说明。
# 子技术更新
子技术的更新是今年最大的变化,之前版本的ATT&CK只有技术的概念,没有子技术。
子技术是技术里面一些很特定的技术点,比如进程注入这个技术就包含了11个子技术:动态链接库注入、PE文件注入、线程执行劫持、异步过程调用、线程本地存储、Ptrace系统调用、Proc文件系统注入、EWM注入、Process Hollowing技术、Process Doppelgänging技术、VDSO截获。这些技术都属于进程注入的子技术,但是具体技术实现细节不一样,所以都从属于进程注入技术。
# 网络技术的新增
ATT&CK之前的矩阵主要是主机端、云端、移动端和工控方面的内容,今年新增了网络方面的攻击技术内容的单独矩阵。从下图可以看出内容并不是很多,只有18项攻击技术,有些还是重复的相关技术,比如命令和脚本引擎。
# PRE和Enterprise合并
今年的另外一个重大变化是将PRE-ATT&CK和ATT&CK for Enterprise进行了合并,对ATT&CK 增加了两个战术,一个是侦查(信息收集),另一个是资源开发(工具开发)。
# 检测中的DataSource说明
谈到ATT&CK的时候,我们谈论更多的是TTP以及检测和缓解措施,但是忽略了更重要的一点就是数据源。比如我们在实现ATT&CK的某种检测技术的时候,首先选择一个技术,然后了解这个技术如何工作的,确定数据源,再次设计检测场景,获取数据源日志,再进行检测查询,最后调整检测的漏报率和误报率问题。
【真正落地ATT&CK检测的产品,首先要考虑的就是如何规划数据源的问题。】现在每一项技术/子技术都有数据源的说明。
标准化地从这些数据源收集数据为后来标准化地检测攻击技术提供了很好的基础。
略过MITRE的分析过程,直接的结论就是将数据分级分类表达出来,比如下图首先是数据源,然后是数据组件,再是关系和数据元素,最后就是数据的最终来源Windows下的EID。
最终使用的过程就是先选择一个攻击技术,再对应相关的数据源,针对数据源中具体的组件进行对应。当然,前提是要了解到此种攻击技术检测的具体数据组件,再找到相关的数据根源,这可能来自于系统或者其他工具,比如sysmon等。有了这一套标准的数据格式,并按照这种数据格式做到尽可能全面的采集,才能做到攻击技术的检测。
# 缓解措施更新
前面的几个版本的ATT&CK对缓解措施描述的比较少,而这个版本的缓解措施(Mitigations)还是言之有物的。目前每个技术和子技术都有相关的缓解措施。以命令和脚本引擎为例,可以看出缓解措施的相关内容。
一共有五种措施进行缓解,第一个是防病毒,可以自动隔离文件;第二个是脚本签名;第三个是禁用和删除不需要的shell或者脚本引擎;第四个是使用应用控制;第五个是进行权限控制;第六个是限制web层面的内容执行。
检测能力主要是通过数据源收集并分析得出的结果,缓解措施基本都是事前的技术手段,也可以很好地从攻击面减缓的角度来减少这些攻击技术的危害。除了从攻击技术来看缓解措施,也可以从缓解措施来反查能够缓解哪些攻击技术。
# TRAM项目介绍
简单来说,TRAM(Threat Report ATT&CK Mapper)项目就是将自然语言书写的安全报告中涉及的ATT&CK技术标记出来。现在越来越多的安全报告会提到很多的技术,但是要对照到ATT&CK上可能需要完全学习框架所涉及的200多种技术,这样的工作量比较大,无论对于厂商还是ATT&CK社区来说都是如此。TRAM项目可以通过安全报告迅速地分析出这种安全事件中使用的ATT&CK内容包括哪些,如果有些不存在,也可以人工补全。
# 云原生技术的ATT&CK
随着云原生技术的普及,对于容器技术的安全也日益重视起来。微软根据相关容器编排工具(Kubernetes)可能遇到的安全攻击,根据ATT&CK矩阵设计了一个针对Kubernetes的安全攻击技术矩阵。
# ATT&CK会议变化
前两届的会议都是集中式的一天会议,而今年的会议叫做Power Hour,分为4次,从2020年10月开始,一个月一期,每期维持在1个小时左右,一共有四期,一直持续到2021年1月。会议上会针对这些更新或者一些社区成员的使用场景进行了一些说明,会给大家一些新的角度。比如美国Temple大学使用ATT&CK相关框架进行网络犯罪教育的素材,最重要的是提供了一些关键基础设施的勒索软件的数据库。FPT集团使用ATT&CK作为通用语言进行威胁狩猎,并对威胁狩猎和威胁检测做了区分。威胁狩猎是主动性地发现更多的威胁,但是需要高级的安全专家并耗时进行搜索和分析;威胁检测是被动性的,成本比较低,但是需要更多的事件进行误报的排查。其他的主题也重点的介绍了在云计算和工控方面的应用。
# 总结
本篇文章是继《ATT&CK实战指南》之后的一篇更新指南。在社区的努力下,ATT&CK框架更新的速度较快,在一年的时间内发布了三次大的更新,重点的更新内容是:子技术更新、PRE矩阵和Enterprise结合。需要关注的一些细节是数据源的内容和缓解措施的相关内容,之前框架里面强调的并不是很多。后来,又新增了相关的TRAM项目,可以方便大家针对安全报告迅速对应ATT&CK的相关技术。ATT&CK框架适应能力比较强,可以针对新技术对安全进行全面的思考,比如云原生的相关安全风险,也可以按照这个框架进行梳理。笔者也观察到,相关人工智能的相关攻击技术也在按照ATT&CK的架构进行梳理。
`
`
工欲善其事,必先利其器。
要想做好威胁狩猎或是异常检测/溯源,最重要的或者说前提条件是——【高质量的数据源】,如果没有准确的数据,任你的检测算法说的神乎其神,那也是瞎扯淡,巧妇难为无米之炊。当然,在(现实)企业中做安全,前期不可能面面俱到,但是抓重点还是必要的,先找出能覆盖大多数场景的数据,然后不断地采集、优化,只要你能做到这种程度,你就已经比大多数人做的要好了。
`
Defining ATT&CK Data Sources, Part I: Enhancing the Current State
https://medium.com/mitre-attack/defining-attack-data-sources-part-i-4c39e581454f
Defining ATT&CK Data Sources, Part II: Operationalizing the Methodology
https://medium.com/mitre-attack/defining-attack-data-sources-part-ii-1fc98738ba5b
Mapping ATT&CK Data Sources to Security Events via OSSEM
https://medium.com/threat-hunters-forge/mapping-att-ck-data-sources-to-security-events-via-ossem-%EF%B8%8F-b606d99e738c
MITRE ATT&CK 框架“入坑”指南
https://www.aqniu.com/learn/61033.html
`
最终决定要检测哪种技术时,要确保具备检测该技术的恰当数据源。事情开始变得复杂的地方就在这里了。以上面的“注册表中凭据”(Credentials in Registry) 为例,您看到的数据源有“Windows 注册表”(Windows Registry)、“进程命令行参数” (Process command-line parameters) 和进程监视 (process monitoring)。
下面的幻灯片源自 Rodriguez 兄弟 Roberto 和 Jose 的演讲“Hunters ATT&CKing with the Data”。据两兄弟所言,可以通过观察自家环境中不同 ATT&CK 技术的通用数据源,来排序想要实现的基于攻击技术的检测。
`
https://attack.mitre.org/resources/attackcon/
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data
https://www.slideshare.net/attackcon2018/mitre-attckcon-2018-hunters-attcking-with-the-data-robert-rodriguez-specterops-and-jose-luis-rodriguez-student
`
Process Monitoring,
File Monitoring,
and Process Command-line parameters
are the Data Sources with the highest number of techniques.
`
McAfee 如何使用图思考 ATT&CK
https://mp.weixin.qq.com/s/rlFmQdZZTHUnX2D1JSVtFQ
`
# 简介
“攻击者以图的方式来思考”——微软著名威胁情报研究员 John Lambert 曾经这么说过。展现图真正的力量不在于构建图而在于如何使用图,为此需要反思数据的性质以及如何使用图来理解数据。
在 McAfee Advanced Threat Research(ATR)团队,威胁情报都经过整理和标准化存储在高度冗余、可扩展的关系数据库中。威胁情报中包括但不限于涉及的 ATT&CK 技术、使用的工具、攻击者与攻击组织以及归属国家和地区。通过查看历史数据可以发现很多东西,但是将信息整合在一起识别威胁和攻击之间的关系是一个极大的挑战。
最近 McAfee 在尝试使用图来对威胁情报进行分析,也尝试使用图算法来发挥数据更大的价值。
# 研究目标
McAfee 拥有的数据量极大,且分散在数据库的不同位置,将所有数据串起来是一件很难的事情。McAfee 用图来快速连接和可视化相关信息,识别数据中的模式来揭示攻击行动。通过这种方式,可以发现以下问题的答案:
* 攻击的频率如何?
* 最常用的攻击技术是什么?
* 那些攻击者最活跃?
* 是否可以使用相同的技术来识别攻击组织?
* 攻击者是否以相同的方式使用攻击技术?
# 方法论
如果构建的图过于密集且过度连接,则构建图不会产生任何意义,所以构建图之前必须要确定数据集是可构建图的。接着就是要定义节点与边,McAfee 定义了以事件为中心和以攻击者为中心的两种视图。
# 结论
构建正确的图可以帮助可视化分析大型数据集、帮助研究人员更好地理解数据。数千个节点的图需要很长时间才能完成渲染,Graph Playground 根据浏览器的客户端文件生成图加快了这块的速度。
研究不一定都以攻击事件为中心,也许有时也需要以攻击者为中心的视角。而密度过高、关联过强的数据可能会导致无法进行分析。当然,尽管缺乏进一步的细粒度的数据,这种研究仍然是卓有成效的。
正如 John Lambert 所说:“防御者以列表的方式思考,攻击者以图的方式思考,分析人员可以构建适当的图来对攻击者进行分析”。
`
McAfee ATR Thinks in Graphs
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-atr-thinks-in-graphs
https://github.com/JohnLaTwC/Shared/blob/master/Defenders%20think%20in%20lists.%20Attackers%20think%20in%20graphs.%20As%20long%20as%20this%20is%20true%2C%20attackers%20win.md
TechWorld2021绿盟科技技术嘉年华 / 基于情报驱动的实战化运营体系
https://vipread.com/library/topic/3535
2021 INSEC WORLD 成都·世界信息安全大会 / 通过自动化入侵模拟提升威胁狩猎能力
https://vipread.com/library/topic/3675
Mandiant网络威胁情报分析师核心能力框架
https://mp.weixin.qq.com/s/FPh4IKJulmhaK1MGAA89lg
`
本文包括两篇文档,都是关于网络安全从业人员的综合发展能力描述的。
Mandiant网络威胁情报分析师,大家可以对比一下自己的能力,能符合多少。 Meerah Rajavel的建议,大家也可以作为参考和指南。
# Mandiant网络威胁情报分析师核心能力框架
框架将个人能力分为四个部分:解决问题、专业效率、技术素养和精通网络威胁。
多位Mandiant和非Mandiant 网络威胁情报专业人员共同开发并审核了框架,以确保所呈现的内容代表了网络威胁情报从业人员的实际情况。截止日期到2022年5月。
## 解决问题
批判性思维
研究和分析
调查型思维
## 专业效率
沟通
团队合作与情商
商业头脑
## 技术素养
企业IT网络
网络安全生态系统
组织的网络安全角色和责任
## 精通网络威胁
攻击视角运营
威胁的概念和框架
威胁行为者和TTP
# 想在工作中进一步提高技术能力吗?关注这三个领域(云、安全以及编程和脚本语言)
今天的IT专业人员应该努力培养哪些类型的技能?
Rajavel:技术在不断变化,发展速度比任何人都要快。归根到底,这一切都归结于韧性和持续学习。要想从事任何工作并保持高效,技术专业人士需要对新想法持开放态度,愿意承担风险,快速失败并继续前进。此外,他们需要有良好的沟通技巧,并能够清晰地表达如何应用技术来解决业务问题和减轻客户的痛苦。
随着云计算和数字转型的兴起,IT技能要求发生了怎样的变化?
Rajavel:现在每个公司都是软件公司。从手机银行、虚拟医疗服务到自动驾驶汽车、自动食品备货和配送服务,软件程序几乎嵌入了经济和日常生活的方方面面。
为了保持相关性,技术专业人员需要关注三个领域:云、安全以及编程和脚本语言。如今,Azure、AWS和GCP等云平台的技术人员认证非常重要,需求也非常旺盛。随着混合工作已经成为新常态,数字工作空间公司的认证也非常重要,此外还有CISM、CCISP和CISA等安全认证。
是否某些工作角色或技能会被自动化、人工智能或低代码/无代码取代?
Rajavel:我不相信AI/ML会取代人类。相反,你将看到的是工作的增加和重新思考,这导致出现新的岗位。例如,从以用户为中心的思维转向人加机器的思维。在工作流设计过程中,除了用户体验之外,还引入了人工智能、机器学习和分析。这种技能现在还不普及。
当低水平的任务被取代时,是否有一些角色或技能会变得更加重要?
Rajavel:安全仍然是首席信息官们的首要任务。在现在的混合云、远程工作和BYOD的世界里,需要更多的资源来确保企业网络和资产的安全,我想你会看到公司会优先考虑保护它们。
在IT的非技术方面,产品思维、强大的项目管理和优秀的沟通技巧将继续是我们需要的,因为我们希望用技术解决复杂的问题,并需要跨职能工作来做到这一点。
你对想要提升管理水平的IT专业人士有什么建议?
Rajavel:如今,每家公司都在迈向数字化转型。寻求在管理岗位更进一层的IT专业人员需要展示出一种清晰的能力,与他们的业务同行保持一致,并从行业和公司范围内的角度从内到外共同处理事情,加快完成速度。
`
从架构角度看网络安全:数字化时代企业如何构建防御体系?
https://mp.weixin.qq.com/s/Z8BqJE-xB8j5ULCq7F__aA
`
快速翻阅完文章之后的感受,谭校长的视野和能力确实非一般人能比,这一篇文章中包含了太多的知识点,从缘起到经典的EA企业架构方法论列举到经典的网络安全模型解读,还有太多的内容需要深入的学习和理解。
# 数字化转型推动网络安全立法完善
数字化已成为不可逆转的发展趋势,而近年来,万物互联已成为主流趋势,数字化转型已不再是技术的局部应用,而逐步演变为影响整个社会运营模式的趋势。
自 2016 年起,国家便相继出台了《网络安全法》、《个人信息保护法》和《数据安全法》等相关法律法规,尤其是去年出台的《网络安全审查办法》的颁布,意味着网络安全相关立法正逐步完善。伴随着更为严格的《个人信息保护法》和《数据安全法》的出台,网络安全作为政府监管的一把利剑,使得更多领域的安全得到保障。
# 企业架构方法论指导网络安全建设
值得一提的是,企业架构方法论对于企业网络安全建设能够发挥很好的指导作用。其实,企业架构思路经历了从 1987 年提出的 Zachman 到 TOGAF、FEA 和 DoDAF 等企业架构模型的发展演变,并且这些思想在传统企业应用开发中得到了广泛的应用。
根据 TOGAF 架构开发方法,企业架构的构建需要遵循以下步骤:首先从业务架构入手,构建信息系统架构和技术架构,同时始终关注需求管理。在整个过程中,还需充分考虑企业愿景、使命、价值观等方面。这种思想与过去 30 多年的企业管理思想发展相符,企业需关注发展目标和经营规模,同时信息化和安全也至关重要。
使用 TOGAF 开发方法来进行企业架构设计时,需要遵循以下步骤:首先,明确企业的愿景和使命,确定企业的价值观和业务,然后制定业务架构,进而通过相应的信息系统架构和技术架构,最后以需求管理为中心对其进行管理。这些步骤反映了企业管理思想的根本原则,即首先明确组织的使命和目标,然后根据业务需求进行信息化和安全方面的建设。在此过程中,一个组织可以根据 TOGAF 开发方法体系,实现从业务到技术架构的全面规划和管理。
除了 TOGAF 模型,IBM 的架构方法也类似,也强调确定组织的能力和业务架构,支持企业的愿景、使命和价值观。这种方法有助于企业规划信息化和安全建设,并确保能够更好地支持业务需求。
企业架构的细化包括确定应用和数据架构,以支持信息系统架构更好地支持业务需求。最后需要考虑技术实现方案和进行治理工作,确保企业架构的有效实施和持续改进。
在当今大型企业中,安全系统面临日益复杂的情况,需要考虑如何将安全组件有效整合和协同工作,并进行集成和运维管理。企业还应将安全视为一项业务,并视安全架构设计为企业开发的一部分进行规划和实施。安全架构设计包括建模、需求分析、设计开发、部署和运营等方面,需要严格按照企业架构设计的标准进行规划和实施。
在我看来,将 EA 方法论应用于网络安全领域,通过规划实现从零散建设演进到体系化建设,是建设“能力导向、架构驱动”的新安全体系的重中之重。当我们将企业架构(EA)方法论应用于网络安全领域时,需要将其视为一个完整的流程,包括架构的构建过程以及在安全战略层面的规划。在此流程中,下图左侧代表着 EA 架构建设的过程,而在最右侧,代表着安全战略的规划,这也是企业架构设计中的重要组成部分。
# 解读经典的网络安全模型
在过去的二十多年的发展中,安全行业其实出现了多种模型,例如 P2DR 模型、IATF 框架(NSA,1998/1999)等,其中经典 P2DR 模型(Prevent、Protect、Detect、Respond),是将安全变成了一种防护行为,包括策略、防护、检测和响应。IATF 模型是一种采用纵深防御的思想的安全模型。另外,NSA 在 2014 年推出了 CGS 框架模型,主要采用杀伤链模型,将网络入侵过程分为七个步骤。根据这个模型,只要在攻击过程中的任一步骤中发现或拦截攻击,就能够成功地阻止攻击。
现今的各种模型对于安全领域而言都有重要影响,从 P2DR 模型到安全木桶理论,安全领域经历了巨大的发展。
NIST 随后提出了 CSF 网络空间安全框架,这是一种经典的立体防御的思想。该框架将网络安全工作分为识别、保护、检测、响应和恢复五个步骤。此框架可用于对照网络安全防御工作,并且每个步骤下都有许多细项,可以探讨并找到实施措施的方法。
ATT&CK(MITRE,2013-)是一种安全模型,该模型列举了攻击者可使用的各种 TTP(战术、技术和程序)手段。在进行防御时,可以根据 ATT&CK 模型中列出的每个攻击方法、策略等内容进行对照,以确定是否能够在防线中进行有效的防御。
Gartner 提出的安全模型—— CARTA,强调在业务发展速度和安全性之间需要平衡,而不是追求绝对安全。在面对风险时,我们需要评估自己是否有足够的应对能力,但不应过分专注于风险防御,因为这可能会拖慢业务发展的速度。在 CARTA 模型中,强调需要在动态评估当前风险的基础上采取合适的防御措施,找到安全与业务发展之间的平衡点。
随着业务开发和运营的发展,出现了一个全新的术语 “DevSecOps”。在这种思想下,开发和运维工作进行周期性迭代,将安全作为整个开发和运维过程的重要保障,强调安全与开发、运维的紧密结合,以实现更高效、更安全的业务运营。
值得注意的是,我们可以引入滑动标尺模型和网络防御矩阵(Cyber Defense Matrix)来提升企业的网络安全能力。
在滑动标尺模型中,越靠左的工作企业可以最大限度地掌控和把握,而越靠右的工作则需要外部资源和政府力量的支持和介入。该模型核心思想是将企业可以掌控的工作从左到右排序,在资源有限时从最左侧开始进行。目前,滑动标尺模型已经被国内许多安全公司广泛应用和推崇。
而网络防御矩阵(Cyber Defense Matrix)作为另外一个保障企业网络安全的工具,它又被称为 CDM 模型,是将 IDPRR 五个步骤与设备、应用、网络、数据和用户五个维度相结合,形成一个五行五列、共 25 个格子的防御矩阵。左侧的保护步骤在识别之前进行,即对数据资产进行识别并设立各种防线,右侧的三列则是事件发生后进行的检测、响应和恢复步骤。该模型结合滑动标尺模型,可以更好地了解需要进行的安全工作。
在网络安全工作中,可以将网络安全能力组件合并和抽象,从而得到 200 来种安全能力组件,这些组件具有相互组合的特性,可能跨越多种组件的能力,使得网络安全产品变得越来越复杂。为了更好地利用这些组件,我们试图从中抽取出与其他能力有较大差异的能力,并将它们归类为基础架构安全、纵深防御、主动防御和威胁情报等模块。这些能力构建了一个完整的基础架构安全体系。
# 探索网络安全建设的未来
近两年的网络安全建设趋势包括:BizDevSecOps 敏捷开发、XDR 扩展检测响应、入侵攻击模拟、攻击面管理、安全运营服务、软件供应链开发的安全、数据安全平台、云原生应用保护、安全访问服务边缘以及 API 安全防护等。这些技术解决方案可以帮助企业有效应对各种安全威胁和攻击,并保护关键财产和资产免遭未知攻击的危害。
随着更多数据和敏感信息存储在云端,网络安全已成为数字化时代中一个重要议题。企业必须深入了解各种安全威胁和攻击,并寻求创新的网络安全技术来应对这些威胁。只有这样,企业才能确保在数字化时代更加安全和可靠,同时维护自身业务的可持续性。
网络安全作为数字经济发展的基础和前提,其问题的解决需要全社会共同努力,也需要政府和企业的合作。政府应加强网络安全监管和立法,促进网络安全产业的发展,同时企业也要加强网络安全投入和合作,提高网络安全的整体水平,为数字化时代的发展提供保障。
`