威胁分析框架概述
ATT&CK和TCTF框架
从网空杀伤链模型演进到TCTF、ATT&CK等更细粒度的威胁框架体系,网空威胁框架已成为深入认知威胁,交换行动情报、改善防御能力、提升产品和体系能力的重要参考。
实现告警和知识标签输出靠拢到威胁框架体系,并在此基础上参照威胁框架不断完善安全引擎、产品能力和分析支撑工作。
网空威胁框架的发展历程
早期的网空威胁,往往表现为离散的威胁事件–因此,对应采取的威胁认知方式,也往往是离散化的,即单独地看待、分析和处置各个威胁事件。
然而,随着网络安全上升到国家安全的层面,网空已成为大国博弈与地缘斗争的激烈对抗领域,对网空安全构成严重危害的主体威胁,已转化为APT(Advanced Persistent Threat,高级持续威胁)形式的体系化攻击。鉴于APT攻击作业的持久性,跨时间域、跨网域而离散发生的多起威胁事件,本质上属于同一攻击作业过程。这些威胁事件,貌似是各个孤立存在的,然而,它们服务于同一攻击作业中不同阶段不同目的,具有前后关联、配合协作的内在联系。
当前网空对抗的严峻形势,就促成了网空威胁框架的提出与发展。网空威胁框架是一套科学的方法和工具体系,能够更深入地认知APT形式的网空威胁,系统全面地分析其攻击意图、手法、过程与技术,达成增强防御有效性的目标。
什么是威胁框架?
威胁框架是系统认知网空威胁、构建有效防御的方法与工具体系。简言之,威胁框架具有“约束性”和“支撑性”两个基本属性。
- 所谓“约束性”,即为界定所认知的问题;例如,“横向移动”是指一种什么样的攻击作业。
- 所谓“支撑性”,即为能够提供对问题的解析与处理;例如,“横向移动”的作业目标、作业过程、检测要素、缓解措施等。
具体来看,为了能够满足不同程度的分析需求,可简可繁,既能向高层概念抽象,又能向底层细节解析,威胁框架通常采取层次化的组成结构。这种层次化的组成结构,首先通过构造和定义核心概念与术语,达成分析的基础性共识;然后,进一步引入更多的或更为具象化的属性描述、特征提取、关系刻画、功能作用、甚至算法推演等,形成逐步深入的分析层次,最终构成多层结构的分析体系。借助这一分析体系,网空防御者即可实施对网空威胁的分析预测、交流共享情报、优化防御措施、改善防御态势等。
网空威胁框架的构建过程
具体的有影响力的威胁框架,主要是洛克希德-马丁的网空杀伤链框架(Cyber Kill Chain Framework)、MITRE的ATT&CK框架(Common Knowledge base of Adversary Tactics and Techniques,对手战术技术公共知识库)、ODNI的CCTF框架(Common Cyber Threat Framework,公共网空威胁框架),以及NSA的TCTF框架(Technical Cyber Threat Framework,技术性网空威胁框架)。
下面简单介绍下这几家:
洛克希德-马丁与网空杀伤链框架
洛克希德-马丁作为全球最大的防务承包商,对信息网络安全具有高度严格的需求以及全谱领先的能力。
其于2011年提出的网空杀伤链框架,将网空威胁划分为7个阶段,分别是“侦察-武器构建-载荷投送-突防利用-安装植入-通信控制-达成目标”。
网空杀伤链框架创立了网空威胁框架的基本设计理念,即基于攻击者视角、以整个攻击行动统一离散的威胁事件而形成整体性分析。不同于以往基于防御者视角的安全模型与分析方法,网空杀伤链从攻击者视角更为清晰地理解攻击行动,通过上下文建立起事件之间的关联分析,从而更有效地理解攻击目标与攻击过程,也更有助于找到潜在对策与应对手段。
MITRE与ATTCK框架
历史:MITRE是一家历史悠久的,专注于科学与技术研究,具有政府安全服务背景的非盈利机构,尤其以安全建模能力而见长。
前缺:由于洛克希德-马丁网空杀伤链框架的抽象层次较高,虽然有助于描述攻击整体过程与理解攻击目的,但难以实际运用于表述和分析敌方的各个行动、行动之间的因果作用、行动序列与战术目标的关系,也缺乏分析攻击行动所涉及的与平台相关的数据源、防御措施、安全配置和解决对策等要素。
创新:为针对性解决威胁框架在战术技术层面上实践实用的问题,MITRE提出了ATT&CK框架。ATT&CK框架在网空杀伤链框架基础上,从大量的现实网空威胁中提炼出攻击行动的具体信息,对这些信息进行了细致的技术分解与特征描述,进而构造了丰富的攻击者战术技术知识库;通过知识库以及相关的工具系统,可以深入分析攻击行动的过程与细节,从而得以有效地改善防御态势、提高防御水平、优化安全产品与安全服务的技术能力。
更新:此外,ATT&CK框架的迭代更新非常积极,从2015年正式推出,几乎每隔三至六个月,都会有一次显著的更新,这使得ATT&CK框架能够及时地跟踪、涵盖最新的APT攻击特征,从而保持ATT&CK框架的生命力与有效性。
过渡:从网空杀伤链框架到ATT&CK框架,反映了对网空威胁的认知,在技术层面上由浅入深的演进。然而,网空对抗的本质是国家行为体的对抗,网空威胁不仅仅只是技术层面的问题,也不仅仅是只依赖安全厂商就能解决的问题。政府与国家情报体系必须密切关注网空威胁,并依据国家安全利益,对网空威胁的防御和反制进行分析研判、规划决策、资源协调、组织联动等方方面面的工作。为此,相关机构就提出了另外两个具有情报体系背景的网空威胁框架,分别是CCTF框架和TCTF框架。
美国国家情报总监办公室与 CCTF框架
背景:CCTF框架是ODNI(Office of the Director of National Intelligence,美国国家情报总监办公室)于2017年发布的面向政府机构、情报部门、政策与决策部门的网空威胁交流分析框架。
创新:该框架将威胁过程划分为“准备- 突破- 存在- 作用与后果”四个阶段,并通过分层描述,实现对网空威胁的分类与特征化,进而支撑分析、高层决策、趋势与差距研判等工作。
优点:总体而言,CCTF框架的攻击阶段划分是极为广义化的,其层次化的分析模型也是极度简化与高度概括的,所采用的术语与描述也不受网空专业技术语境的约束。这样的设计特性,使得网空专家和非网空专家都能够借助该框架进行清楚沟通与相互理解,有助于政府高层对网空威胁的分析决策。
缺点:然而,对网空威胁的认知与对抗,终究是一个高度技术化的问题;与此同时,任何涉及网空威胁的高层分析与决策,也终究需要技术部门与安全厂商去落实执行。有机地将政府高层决策与厂商安全实践能力紧密结合在一起,是网空体系化对抗所必然要求的。
NSA与TCTF框架
NSA(National Security Agency,美国国家安全局)于2018年提出了TCTF框架,以作为CCTF框架的技术性扩展。在大国博弈与地缘竞争背景下,NSA在全球网空对抗态势中,具有极为特殊与重要的角色和地位。一方面,NSA是美方情报体系中体量最大的成员机构,另一方面,NSA长期专注于技术情报,是全球网空攻防实力最强的一方。基于NSA的情报角色和技术优势,TCTF框架深入到网空威胁专业技术语境中,完成了对攻击意图、作业阶段、行动特征的拆解与刻画,形成了“政府情报机构”与“安全执行厂商”之间密切交流的粘合剂。
综上,ATTCK&CK框架是对网空杀伤链框架的改进,TCTF框架是对CCTF框架的改进与扩展,所以选择最新的框架即可。
概括性地来看,二者都涵盖了网空威胁从高层目标意图到底层行为细节,但二者并非简单的冗余或重复,不同点如下:
ATT&CK框架侧重现实攻击的技术分析层面,以面向技术研究和产业界为主;TCTF框架侧重攻防对抗的情报研判层面,以面向政府和情报机构的技术部门为主。
这种差异,并不会形成对二者综合运用的障碍,反而恰恰是由于二者差异的存在,能够产生互补与价值叠加的效果。
框架内容介绍
ATT&CK框架
ATT&CK框架是一套技术细节丰富、易于共享应用的攻击行为分析模型和知识库。
核心要素是TTP:
TTP(Tactics, Techniques and Procedures;战术, 技术与过程)
- 所谓战术,是指对攻击行动的概括性要求,表达的是目的或行动原因,常用于攻击作业规划与过程追踪;
- 所谓技术,是指通过什么动作执行来达成战术的目标,包含预期完成的行动,但不包括完成行动的规定性指导;
- 所谓过程,是特定的案例化或参照化技术执行说明,是完成任务的详细、具体的操作说明和指导,重点在于提供完整、详细、正确的任务步骤说明。
TTP使得防御系统摆脱或降低了对IOC(Indicators of Compromise)的依赖,将防御从检测机器层执行动作信息,提升到检测作业层行为信息。相比于恶意代码Hash值、IP地址等IOC指标,基于TTP的行为特征,是很难改变的,攻击者需要付出大量努力才能发现新的作业手法并实现防御规避的目的,其技术难度、时间周期和成本代价都是巨大的。
因此,TTP刻画了攻击者相对稳定的行为特征;也因此,基于TTP的攻击行动检测分析,对于识别攻击和提升防御,都具有更高效和更鲁棒的安全价值。
下面具体介绍ATTCK的知识库:
对照网空杀伤链(前一)的阶段划分,如下图,ATT&CK框架的内容包括“Pre-ATT&CK”与“Enterprise(企业)ATT&CK”。
Pre-ATT&CK对应杀伤链的前两阶段;企业ATT&CK对应杀伤链的后五阶段。鉴于ATT&CK框架侧重于“突破后”防御,因此,相比于Pre-ATT&CK,企业ATT&CK是ATT&CK框架的主体内容。这一点,也正符合APT攻防对抗的现实状况。对于以APT作业为主要形式的网空威胁,边界和预设的防御措施,总会被突破;因此,认知与防御APT威胁的要点,应以“敌已在内”为敌情想定的基础,强化网络内部的威胁防御。具体地,企业ATT&CK还可再进一步依据执行环境而细分为Windows版、Linux版、MacOS版以及云计算(Cloud)版(其下又具体对应若干种不同云平台环境),其中,又以Windows版为重点。除此之外,还有适用于移动(Mobile)环境的版本。
对于企业ATT&CK,网空威胁所涉及的对手战术与技术,汇总形成一个矩阵(Matrix),即ATT&CK框架的知识库。该矩阵形式的知识库是ATT&CK框架的知识主体,也是进一步扩展形成其它分析工具、分析方法与分析资源的知识基础。知识库矩阵的总貌如下图所示。
该矩阵中列举了12项攻击战术,如“初始访问”、“执行”和“持久化”;需要注意的是,这12项攻击战术并不限定执行的时间或先后顺序,攻击者可以按任意顺序来组合运用这12项攻击战术。
在每一战术下,包含可支持此战术的攻击技术;例如,为达成战术“初始访问”,可运用技术“水坑攻击”、“通过可移动介质复制”或“使用鱼叉式钓鱼附件”。如果需要了解某一具体攻击战术或攻击技术的细节,可访问MITRE网站。在攻击技术的细节说明中,包含此项攻击技术的定义与描述,也包含与检测此项攻击技术密切关联的信息如数据来源,还包含此项攻击技术被哪些APT组织所采用,以及其它技术性细节信息。
如何使用ATTCK框架?见下。
检测分析方面,ATT&CK框架可指导如何防御某一具体攻击技术。对于特定的攻击技术,知识库给出了诸如检测方法、缓解措施以及检测所需数据源等信息;防御者可依据相关信息,部署对应的数据传感器,分析捕获的数据以实施有效的检测。
威胁情报的利用方式是灵活多样的;通过威胁框架,能够将威胁情报结构化,便于对APT报告的理解,以及通过威胁情报提升防御。例如,可通过攻击战术技术在矩阵中的映射状态,来分析APT组织。由于不同APT组织的作业方式各不相同,其所采用的战术技术集合也各不相同、且具有相对稳定的特点,因此,基于矩阵映射状态的分析,可区别不同的APT组织,跟踪特定APT组织的战术技术变化,从而针对性地调整防御措施。
对手仿真的主要目的,在于可靠检验防御措施对真实APT攻击的有效性。
评估与工程,则依托威胁框架改变了防御差距评估缺乏明确指标的模糊性问题。通过验证防御措施对攻击技术的覆盖范围与覆盖深度,防御差距评估具有了清晰的“可见性”,使得防御方能够避免盲目性,有的放矢地优化防御部署、聚焦防御重点,从而更为有效地提升防御水平。
ATTCK框架的扩展资源:
CAR (Cyber Analytics Repository,网空分析库)从防御者角度形成对ATT&CK知识库的有效利用。对应ATT&CK知识库中所列举的每一攻击技术,CAR都说明了对应的分析方法(包括如何实现的伪代码描述)、数据模型以及如何收集数据。
Navigator(导航器)是一个便捷的在线工具,可将威胁情报中获取的攻击者战术技术在知识库矩阵中进行标注,以辅助分析攻击者组织。
ART(Atomic Red Team)是第三方开发的映射到ATT&CK框架的小型、高度可移植的检测测试库;防御者可选择要测试的攻击技术,利用测试库生成测试程序并执行测试,通过分析对该测试程序的检测结果,来达到改善防御的目的。
Mitigations(缓解库)则专门提供对攻击技术予以缓解的指导措施;例如,如何设置账号管理策略,以阻断对账号密码的暴力破解攻击。除此之外,大量丰富的专家资源与解决案例,都提供了对安全实践的有效帮助,是ATT&CK框架得以广泛运用的强大助力。
TCTF框架
当前的TCTF框架是NSA于2018年11月发布的第二版。通过参考网空杀伤链、ATT&CK等多种现有威胁框架,TCTF框架以阶段(Stage)、目标(Objective)、行为(Action)和关键短语(Key Phrases)所组成的四层描述结构,构造了一个与网空行为活动紧密结合的通用技术词典。
阶段:TCTF将攻击行动划分为6个阶段,分别是“行动管理与资源保障、目标勘察与环境整备、接触目标与进攻突防、持久化驻留潜伏、致效能力运用、全程持续支撑作业”。
创新:这一阶段划分,既有与网空杀伤链相同之处,也有不同之处。例如,阶段“行动管理与资源保障”实际已超出单纯的网空专业技术范畴和窄带的攻防行动范畴,涉及到组织、资金、规划计划等战略性作业筹划。再例如,特别强调在对方网络内部的持久潜伏与持续存在,而不仅仅只是为了达成某种破坏性目标,这突出显示了情报作业的典型特质。通过隐蔽渗透与持续监控搜集,形成对对方网络的深远控制和无形威慑,并能够在任何需要的时刻,立即由网空情报刺探行动(即CNE,Computer Network Exploitation)转换为网空军事进攻行动(即CAN,Computer Network Attack)。
目标与行为:分属于上述6个阶段的,是各个阶段所要达成的目标,这些目标共计有21个,与此21个目标相关联,则包含188种可达成目标的行为。
TCTF对阶段、目标和行为都给出了细致的定义描述。举例来说,在意图获得受害者的物理或虚拟计算机、信息系统、网络和数据存储的访问权限而进行的“接触目标与进攻突防”阶段,为了达成通过技术、认知、物理手段向被攻击对象投递恶意载荷的“投递”目标,可采取“发送恶意邮件”行为以在电子邮件中嵌入恶意附件或链接。
关键短语:针对行为,进一步通过关键短语来施加更多的特征细化描述,从而形成第4层分析结构。例如,“发送恶意邮件”行为所包含的关键短语有“鱼叉式网络钓鱼、网络捕鲸、恶意附件、iFrame、嵌入式代码等等”。
s所有的分析层次,包括阶段、目标、行为和关键短语,均不涉及环境约束,也不具体限定检测规则和数据传感。可见,TCTF框架是定义在网空威胁技术语境中,虽与网空安全行业的定义紧密结合,但又脱离了具体执行约束,从而适合于上下沟通(比如政府管理部门与安全厂商之间的沟通)。
二者的区别
总体来看,ATT&CK框架与TCTF框架,都提供对网空威胁的标准化定义、分类描述和特征刻画,都可用于威胁信息的共享,以及支持对威胁的预测、分析,进而可指导防御有效性的提升。但二者又具有显著的不同,主要体现在三个方面的差异性。
- 背景意图方面。设计者不同的身份背景,决定了其所看待网空对抗的视野、所关注的利益焦点、所侧重的威胁分析要素。因此,MITRE作为民间研究机构,必然与作为情报机构的NSA,具有不同的威胁框架设计意图,所想定的框架的作用领域也各不相同。ATT&CK框架专注于攻击技术的解析,面向安全实践领域或操作实施层面。TCTF框架旨在提供更广范围的沟通,在操作实施、任务流程、组织策略等多个层面上,加强不同工作角色和知识背景人员之间的协作,方便安全客户对网络威胁活动的理解,以及推动高层决策的制定。
- 结构内容方面。二者所覆盖的攻击作业范畴不同:ATT&CK框架只涵盖攻击作业全生命周期的突破后部分,而TCTF框架不但包含全部的攻击作业周期,还涉及到供应链、甚至非网空攻击行动。二者的核心概念不同:ATT&CK框架完全围绕TTP,而TCTF框架则通过阶段、目标、行为、关键短语来有效支撑层次化的分析结构。细节粒度与提炼程度不同:ATT&CK框架具有丰富的技术操作性细节,强化了对具体攻击行为的分析准确性和辨识力;TCTF框架的细化则侧重于拆解攻击动作以实现对各种可能的攻击行为的全面覆盖,但其技术特征刻画并不包含与具体攻击直接关联的操作性细节。
- 应用发展方面。ATT&CK日益被越来越多的安全厂商所支持,而TCTF则普遍应用于美方情报系统中,二者都具有广泛的现实应用。由于ATT&CK突出对APT攻击的实时跟踪与技术提炼,因此,ATT&CK会保持较快的知识库更新速度,并可能会响应某些困难问题而作出结构和内容上的较大调整。对于TCTF而言,攻击作业手法的分类、以及脱离具体执行约束的特征刻画,会保持相对长期的稳定,预计不会进行频繁的更新。
应该意识到,二者差异的存在,并不会形成对威胁协同分析的障碍。恰恰相反,差异性提供了分析能力互补与安全价值叠加的途径。
如何利用威胁框架
利用威胁框架可以进行以下方面的应用:
- 分析攻击行为与威胁发展态势、指导攻击者模拟、跟踪特定对手的技术集合、检测/缓解攻击者着重使用的技术
- 分析防御差距、评价安全技术,优化安全部署
无论是ATT&CK框架,还是TCTF框架,二者均是梳理高/超高能力网空威胁行为体攻击活动的有效框架方法和工程体系。
从威胁框架出发,分析威胁所采用的战术、技术,推演威胁所关联的阶段、目标与行为,无论是对威胁事件和威胁行为体进行深度分析,还是评估当前防御体系能力及相关防御机制的有效性,指导形成体系化的防御规划与建设目标,都是不无裨益的。
二者可以协同作用、互补互益:
利用ATT&CK框架,完成网空威胁在技术层面的分析,实现防御技术的优化改善。与网空威胁相关的事件捕获、情报线索以及研究发现等技术性信息,通过ATT&CK框架而完成对攻击者战术、技术等要素的解析提炼,依据解析结果而指导防御能力的优化提高;例如,对特定攻击技术防御的优先级,可采取的有效的检测分析方法,等等。
与此同时,在网空对抗大背景下,考虑大国博弈、地缘政治、产业竞合等更为广泛的因素以及更为根本的动机,运用TCTF框架,对高/超高能力网空威胁行为体发起的APT攻击作业,在作业意图、行为、能力水平、危害程度等方面,作出更为全面深入的分析研判,有效支撑情报与决策体系应对网空威胁,以满足更高层次的安全需求、维护更为广泛的安全利益。