2022-01-28
摘自:《网络安全技术和产业动态》2022年第1期,总第19期。
中国网络安全产业联盟(CCIA)主办,安天科技集团股份有限公司供稿。
2021年10月底,最新版ATT&CK威胁框架10.0版(以下简称V10版威胁框架)发布,与9.0版最大不同之处在于量化了“数据源”组件(Data Sources),为技术、战术的落地实践提供了更加具体、明确及可操作的威胁情报来源。
一、V10版威胁框架主要变化
数据源(DS)是从V9版威胁框架开始实际使用的概念。数据源(DS)即数据的来源,提供各种原始的数据集合,来自各类网络和信息安全传感器的日志信息、进程以及网络流量特征等,其可作为技术或者子技术的具体参数属性、数值等,为各种技术的实现提供细节支撑,从而增强威胁框架落地实践的便捷、高效。V10版威胁框架对数据源(DS)进行了量化,给出了38项数据源,标号从DS0001到DS0038。其中,DS0001为固件(Firmware),最后一项DS0038为域名(Domain Name)。目前,V10版威胁框架中共有六类组件,分别是:数据源(DS)、战术(TA)、技术(T)、减缓措施(M)、组(G)以及软件(S)。
数据源(DS)必须与其他的组件配合使用,其中最主要的组件是技术(T)。数据源(DS)可以通过系统或者应用程序日志或者其他客户端部署的各类传感器来检测,这些检测结果直接反应的是各种不同的技术(T)实现的过程。具体的关系图如下:
图1 数据源(DS)与战术(TA)和技术(T)之间的关系
从上图可以看出,攻击者采用一些特定技术(T)来实现其恶意目的,而这些具体的技术(T)可以通过部署监测手段、装置来捕获,38项数据源(DS)单独或者组合使用可以形成不同的数据组件,以便为检测攻击者的技术手段提供支撑。
V10版威胁框架发展难点主要体现在两个方面:攻击者的技术变化以及操作系统平台的功能与外延不断延展。
首先,由于V10版威胁框架的主体部分不管是技术(T)、战术(TA)还是数据源(DS)都来自于攻击者的实际攻击案例,因此紧跟攻击者的发展动向,对于威胁框架的技术发展至关重要。
但是攻击者在暗处,同时一些高级的攻击者并不像普通攻击者那样带有明显的外在特征或者后果。不管是外在表现明显的勒索攻击,还是隐藏较深的高级威胁,其技术实现机制和流程往往变化较大,特别是不同的攻击组织的技术偏好、技术能力和资源储备不同,造成的实际攻击效果就会截然不同。但数据源(DS)的引入,使得追踪这些攻击者向着自动化防御、智能化防御迈进了一大步。
其次,除了攻击者的技术变化外,Windows等操作系统平台的不断发展变化,也给威胁框架的发展提出了全新的挑战。V10版威胁框架主要基于的Windows操作系统,其操作系统平台不仅功能上逐步增强,而且在支持的系统类别上不断延展。
Windows 10操作系统开始加入WSL(The Windows Subsystem for Linux)。利用WSL,用户可以在Windows操作系统平台上执行Linux命令行,相当于在Windows操作系统内开辟了一个专区,来兼容和支持Linux的系统操作,无需单独安装虚拟机。WSL给用户带来方便的同时,也为攻击者提供了一个新的攻击窗口。当前,最新的Windows 11操作系统平台除了支持WSL,还将支持移动操作系统Android平台,这一特性被称为: Windows Subsystem for Android。虽然目前仅支持部分应用商店,但可以预想,该范围一定会逐步扩大。
随着云、物联网和5G等技术的不断发展,除了以上的两类技术挑战和难点外,一定还会延伸出更多种类的新应用场景和威胁挑战。为了应对这些挑战,ATT&CK威胁框架必须不断跟踪攻击者的最新技术变化,才能适应不断变化的网络安全形势,为防范者提供技术参考依据。
ATT&CK威胁框架是随着产业不断落地实践和应用中发展变化的。当前,根据V10版威胁框架最新发展情况,国内外网络安全行业研究机构以及安全厂商均已从具体实践出发,开展了相关工作。
美国网络安全与基础设施安全局(The Cybersecurity and Infrastructure Security Agency,CISA)经常联合FBI、NSA等其他政府部门和机构以威胁框架为技术支撑,发布勒索软件预警、APT攻击者威胁防范建议、针对美国关键信息基础设施的网络攻击预警等指导性文件。2021年9月至10月,CISA连续发布了三份预警文件,分别是Conti勒索软件预警、APT组织利用漏洞攻击预警以及针对美国水资源和废水处理系统的网络攻击预警等。
国内外主流的网络安全厂商均在跟踪并支持V10版威胁框架的落地和实践。当前主要的最新实践方向有两个:特定恶意代码分析和威胁整体态势综合报告。国外厂商包括Microsoft、McAfee、Trendmicro、Checkpoint、AT&T Security、FireEye、IBM以及Cisco等;国内厂商包括安天、启明星辰和360等。
微软公司威胁响应部门在其具体的个案网络威胁分析时,积极采用V10版威胁框架来分析其发现的网络攻击的具体技术实现。如2021年8月的“采用摩尔电码的网络钓鱼攻击分析”以及2021年11月的“如何避免遭受乌克兰停电的网络攻击”等。McAfee公司将V10版威胁框架应用在恶意代码的分析以及阶段性恶意代码趋势报告中,2021年10月发布“2021年第二季度高级威胁研究报告”,总结了2021年第二季度的V10版威胁框架的战术、技术被使用情况的排名。
2021年下半年,安天科技以V10版威胁框架为支撑,连续发布九篇恶意代码技术分析报告,归纳总结各种不同类型的网络威胁采用的不同战术编排、技术手段,涉及勒索软件防护、窃密软件解析、高级威胁组织攻击活动动态以及挖矿活动等,并不断提升安天安全防御框架质量。
随着数据源(DS)在V10版威胁框架的不断量化和细化,ATT&CK威胁框架发展进入了一个新的阶段,可以预见,这并不是其发展的终点。一方面,攻击者一定会寻找、挖掘新场景和新技术应用的各种弱点、漏洞并加以利用,形成新的攻击技术,各种不同的新技术组合成各种不同的战术打法,因此ATT&CK威胁框架一定会随攻击者技战术的变化而进化改进,以适应最新的攻击态势;另一方面,对防守方而言,技术储备和防御装备资源不足的状况短期很难根本改变,这就需要网络安全主管部门、用户单位、安全厂商之间加强合作、分享对抗技术经验,增强综合对抗技术实力。
综上,建议网络安全相关主管部门、行业机构以及网络安全厂商,根据各自自身的定位和职能,充分研究和利用ATT&CK威胁框架。
首先,建议网络安全相关主管部门和行业机构借鉴ATT&CK威胁框架庞大的知识库,结合我国自身国情和威胁态势,形成一套符合我国目前网络和信息技术发展水平现状的防御框架体系,强调动态防御以及关口前移,增强网络威胁防御的有效性和预见性。
其次,对于网络安全厂商,实践ATT&CK威胁框架是最好的方式。目前,ATT&CK威胁框架大多数的实践来自于国外网络安全厂商,整体而言,国内安全厂商在这方面的应用和实践相对较少,这不仅体现在技术分析,也体现在综合态势评估、攻击对手仿真等应用场景。我们只有具体运用和实践ATT&CK威胁框架,并逐步形成和锻造符合自身行业定位和国内安全现状的安全态势的威胁框架,才能有效开展威胁检测、对抗和响应等各项工作,从而为产业营造一个良好的网络安全环境。
微信公众号