MITRE ATT&CK 資安框架淺談
MITRE設計了一套ATT&CK資安框架,可說是記錄攻擊者活動的一種共通語言,讓入侵手法描述有一致標準。本文將對MITRE ATT&CK框架進行概括式的介紹。
什麼是MITRE ATT&CK™ 框架?
- MITRE是美國的一間非營利機構,源自麻省理工學院,為美國聯邦政府作先進技術研發,專注於國防領域先進計畫,資金來源是聯邦政府。近年協助進行多項資安相關研究,同時也是維運CVE漏洞資料庫背後的組織。
- MITRE近年利用ATT&CK資安框架,發起一項評估計畫,透過模擬駭客實際進行APT攻擊之網路攻擊鏈(Cyber Kill Chain),來考驗EDR(Endpoint Detection and Response)與相關資安產品的成效。
- MITRE ATT&CK 框架是一個基於真實世界觀察攻擊者的戰術(Tactics)和技術(Techniques)的通用知識庫框架。
- MITRE ATT&CK 框架被用作在私人企業、政府以及資安產品和社群中開發特定威脅模型和方法的基礎。
- MITRE ATT&CK 框架是Open的,任何人或組織都可以免費使用它。
不僅是企業需要評估這個產品,業者也要向企業證明產品的偵測能力,而ATT&CK這樣結構化的驗證方法,就很有意義,能夠讓雙方都能好評估。 — 奧義智慧共同創辦人 邱銘彰
MITRE ATT&CK™ 核心重點
MITRE ATT&CK 框架的核心重點就是TTP。TTP 分別是戰術(Tactic),技術(Technique)跟程序 (Procedure)。
- 戰術(Tactic):戰術代表了ATT&CK技術的「Why」。戰術是對手執行某項行動的戰術目標。戰術是個別技術的有用類別,涵蓋了對手在操作過程中所做的事情的標準。如:入侵初期、執行、權限提升、防禦逃避、憑證存取、發現、橫向移動、收集、滲透、指揮與控制...等。
- 技術(Technique):技術代表對手通過執行動作來「實現戰術目標」的「手法」。技術也可以代表對手通過執行一項行動而獲得的「收益」。這對於發現戰術來說是一個有用的區別,因為這些技術可以突出顯示對手採取特定操作後要獲取的信息類型。實現戰術目標的方法或技術可能很多種,因此每個戰術類別中都有多種技術。
- 程序 (Procedure):程序代表了該小組使用該技術的過程,該過程是一個特定的使用實例或工具,它對於準確了解如何使用該技術以及使用對手模擬複製事件以及如何檢測使用中的實例非常有用。
攻擊者(或紅隊)首先會有一個戰略性的目標,例如竊取機敏資料或入侵至內網並埋入後門程式,會在不同的入侵階段,使用各種不同的戰術進行攻擊,而每個階段都會有一些技術手法產生去達成戰術目的,每一個技術手法也都會有他一定的程序跟步驟存在。攻擊者往往是「為達目的使用多重手段」,會常態性的結合戰術、技術和程序進行組合攻擊,以達到最終目的。
ATT&CK™ 矩陣 (ATT&CK Matrix)
戰術與技術之間詳盡的關聯,可在ATT&CK矩陣(Matrix)中看到。ATT&CK矩陣的版本如下圖所示,主要分為企業版(Enterprise)和行動版(Mobile),另還有工控系統ICS(Industrial Control Systems)的版本。企業版包含攻擊前準備(PRE)、Windows、macOS、Linux、Cloud和Network平台;行動版則包含Android和iOS平台。
下圖是Mobile版本的ATT&CK矩陣範例。我們可以看到目前共定義了12個戰術(Tactics),每個戰術下面有其各自的技術(Techniques)。
下圖是Mobile版本網頁導覽工具的範例。網頁導覽工具則具備了增加註釋、底色與指定分數的功能,也有對應Windows、Linux、Mac、Android、iOS…等平臺的篩選器,讓用戶能直覺的檢視自身的防禦範圍,並能將結果匯出成JSON檔、SVG向量圖檔或XLSX檔。
緩解措施(Mitigation)
每一個技術(Technique)手法都會有一些相對應的程序 (Procedure)工具和緩解措施(Mitigation)。緩解措施代表的是解決或減輕此入侵技術的一些可行措施。舉例來說,下圖是一個「利用作業系統的漏洞(Exploit OS Vulnerability)」技術的一個緩解措施的實例,可行的緩解措施包括:審查App(Application Vetting)、安全更新(Security Updates)、使用最新的作業系統版本(Use Recent OS Version)。
團隊(Groups)
團隊(Groups)是由資安社群中記錄相關入侵活動集合的通用名稱。資安分析師使用各種分析方法和術語來記錄入侵活動的群集,例如威脅團隊(Threat Groups)、活動團隊(Activity Groups)、威脅參與者(Threat Actors)、入侵集(Intrusion Sets)和活動(Campaigns)等。由於各個團隊使用不同的名稱參與相似的活動,因此某些團隊具有與相似的活動相關聯的多個名稱。組織團隊定義可能與其他組織指定的團隊部分重疊,並且可能在特定活動上存在分歧。MITRE ATT&CK團隊使用團隊(Groups)一詞來指代以上針對任何敵對活動的指定。
舉例來說,APT3為一中國駭客團隊,為2018年MITRE資安評測計畫中配合執行EDR攻防演練評估的模擬團隊。而2019年則找了俄羅斯駭客團隊APT29執行,我國奧義智慧和趨勢科技都有參賽,奧義智慧CyCraft AI產品還獲得了告警最高分。2020年則找了Carbanak與FIN7這兩個專門攻擊金融業的駭客組織團隊來執行。APT29和APT3團隊的簡介如下圖所示:
進一步說明,以APT29在2019的ATT&CK評估計畫中的評估檢測類別為例,MITRE將偵測能力做出更細緻且具體的畫分。下圖為APT29所使用的評估方法與分類。有效的即時偵測類別包括了一般型(General)、戰術型(Tactic)、戰技型(Technique);其他兩種是遙測型(Telemetry)與專家告警型(MSSP),這兩者都需要專家介入,不具即時性。自動化產品分析的有效告警為一般型/戰術型/戰技型,不足以識別為有效告警的雜訊則列為低階資料(Telemetry)或無效(None)。
遙測型(Telemetry)屬於資訊精確度最低的偵測類型,包括像是產品記錄到的Log資訊等;一般型(General)則是可以自動偵測到惡意的行為,但還不夠具體;戰術型(Tactic)不只偵測到惡意行為,還能進一步偵測到攻擊策略;戰技型(Technique)是資訊精確度最高的偵測類型,可以更進一步偵測到並指出明確攻擊的手法,可說是最好偵測能力的展現。
總結
進攻是防禦的最佳動力。通過維持強大的進攻和防禦團隊協同工作,組織檢測和阻止入侵的能力將大大提高。如下圖的使用情境,ATT&CK用於構建攻擊團隊擬真方案的一套框架,團隊使用這些方案模擬並執行入侵活動,以測試與驗證和分析終端防禦設備,是否有偵測與掌握資安威脅情資(Cyber Threat Intelligence),是否正在檢測與執行相應的告警和防護行為。導入此框架方法可使得檢測評估能力的快速提高,最重要的是,以一種可測量且可重複的方式。
過去業界大家對於攻擊手法每個人講法不一樣,像是對於駭客偷取密碼的行為描述,大家可能習慣說Keylogger,還有像是偷密碼、截畫面、側錄等,現在則有了能被業界接受的標準用法,例如,ATT&CK就將這類技術手法歸類為Input Capture,這也讓大家在描述同樣的行為時,能對應到通用的語言去溝通。 — 奧義智慧共同創辦人 邱銘彰
MITRE ATT&CK 資安框架為一個標準化、架構化的知識庫,著重在攻擊情境與攻擊手法的一整套APT或攻擊鏈,可做為業界一套共通的評估標準。不論是業者跟企業之間的討論,向管理層或客戶解釋複雜的概念,或是要進行攻防演練的模擬,都會變得較為容易。只要使用一張框架圖去呈現,就能看出攻擊者所使用的戰略與戰術,並能有更一致的程序來確定威脅的階段。總結來說,就是透過標準化、架構化的資訊,可以更快速檢視網路安全事件的全貌,有助於讓所有人快速地理解已知攻擊者行為可能帶來的資安風險。
個人認為,MITRE ATT&CK 框架對於一些次世代防毒(NGAV)、進階端點防護(EDR)與全球威脅情資(CTI)設備或產品,進行其資安成熟度的評估上很有幫助,但對於Mobile行動應用端這一部分,因上述於行動應用端的設備或產品不多,且目前官方也尚未舉辦過Mobile端的產品競賽,其評估有效性尚待實例驗證。但無論如何,作為一套結合攻擊戰術技術、偵測防禦、程序工具、緩解措施的標準共通知識庫來使用,提供了面面俱到的評估分類和相當值得參考的指引方向,總是很好的。
