ATT&CK作为近几年最火的攻防框架,对于安全行业实际检测的指导性价值日益凸显。8月13日,第八届互联网安全大会(ISC 2020)的技术日正式启动,备受专业人士瞩目的ATT&CK安全能力衡量分论坛如期而至。ATT&CK覆盖的攻防技术非常庞杂和具体,大概有300项技术点,如何体系化了解其中的攻击方案,并基于网络空间安全攻防全景知识库框架,相应提出其防御方案是亟需当下网络安全行业重点解决的问题,这场论坛恰好为这些问题提供了答案。
出席本场论坛的嘉宾有来自青藤云安全COO程度、360政企安全能力评估中心负责人林聚伟、安天科技集团安全研究员侯方勇、360灵腾安全实验室成员戴志斌,他们围绕“ATT&CK高频攻击技术的分析与检测” “基于ATT&CK的安全能力评估与改进实践”“威胁框架的端点安全实践” “全补丁环境下的域内攻防对抗”等议题展开技术探讨与激烈的思维碰撞。
在网络安全领域,随着攻击工具、方法的逐渐升级和复杂化,安全数据的大规模融合,攻防对抗愈加激烈。安全团队正在从浩瀚数据中发现高级威胁的蛛丝马迹,把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力。
(青藤云安全COO程度)
青藤云安全COO程度在演讲中系统介绍了ATT&CK高频攻击技术TOP5、以CARET为代表的攻击检测技术方法论等干货。同时,结合自身研究和实践经验,总结了ATT&CK框架中最高频和最具代表性五大攻击技术(Valid Account、Powershell、Masquerading、Credential Dumping、Scheduled Task),通过对攻击技术概念、攻击技术复现和检测分析三个维度的讲解,使大家全面了解针对ATT&CK攻击研究的三大常规步骤。
以Valid Account 攻击介绍为例,程度指出攻击者会使⽤利⽤漏洞获取凭证访问的权限技术来窃取⼀个特定⽤户或服务账户的⽤户名密码或凭证,或者是通过社会⼯程学侦查获得特定⽤户或服务账户的⽤户名密码或证书,从⽽获得初始访问的权限。攻击者可能使⽤的账户分为三类:默认账户、本地账户和域账户。他基于一个Valid Account攻击过程复现,向大家展示了如何针对此类攻击,收集“异常登录”、“账号变更”等数据源,追踪异常黑客的异常活动,检测潜在威胁。
程度总结,要实现ATT&CK高频攻击技术的检测,需要利用一些平台工具方可实现。首先,需要能够收集到高质量的数据;其次,还需要能够解决异构数据源头的连接问题。最后,还需要一个强大分析引擎,能够支持复杂的分析算法,此外还需要一个灵活的分析员。
(360政企安全能力评估中心负责人林聚伟)
360政企安全能力评估中心负责人林聚伟基于ATT&CK的安全能力评估与改进实践展开演讲,林聚伟表示,安全运营面临一些挑战,例如当前安全防御体系有效性如何;如何确定安全投资建设的优先级;能否将攻防演练的实战经验用以持续提升安全防御系统,在“战时”运维人力和厂商安全服务回归“平时”后依然能有效应对“常态化”攻击。这些挑战,本质是无法衡量。那么,究竟有没有办法衡量防御体系应对攻击的有效性?实践是检验真理的唯一标准,相信大家的第一个想法就是攻防演练。确实,不少企业也组织了红蓝对抗,但这样的对抗是否全面?是否覆盖了当前流行的攻击行为?对于未覆盖的点是否有记录并持续推动纵深防御体系改进?相信能做到的很少,其根源是缺乏框架和标准。MITRE ATT&CK 模型和知识库解决了这个问题。
基于ATT&CK框架和知识库设计符合自身需求的防御场景,可以有效评估安全防御体系,入侵者模拟正是基于这样的思路而设计的,可以模拟各种安全场景,以此衡量这些安全挑战应对的状态。入侵者模拟提供自动化模拟攻击与安全设备评估,模拟攻击使用自研无损的payload。这些模拟攻击既基于ATT&CK自上而下进行安全设备评估,也基于应急响应自下而上进行安全设备评估。
(安天科技集团安全研究员侯方勇)
端点是网络攻防战中的主战场。安天科技集团安全研究员侯方勇着重讲解了威胁框架的端点安全核心能力,侯方勇表示,以 MITRE ATT&CK 为代表的威胁框架是迄今最有实用性、最具实战价值的高级威胁分析手段。
据侯方勇介绍,端点防护作为防御的最后一道防线,应具有以下能力:第一,应具有合理的架构安全体系,增强安全运维能力,以减少被攻击面;第二,具有足够纵深的主动防御能力,才能够在多个环节逐步抵消威胁;第三,具有全面的信息采集与分析能力,以便发现常规防御手段无法发现的威胁。
侯方勇认为,威胁框架使我们对端点主动防御和数据采集的能力指标有了更清晰认知和衡量标准,我们应以威胁框架为科学指引,在实践中不断积累经验、提高认知、优化产品,打赢端点主战场的网络攻防战。
(360灵腾安全实验室成员戴志斌)
随着对抗的升级,域安全在红蓝对抗中越来越重要。360灵腾安全实验室成员戴志斌表示,域控网络权限广,网络凭据多,能够集权管理机器,在攻击眼里即便不是靶标也是关键节点。此外,域控不可或缺,作为信息化设备的统一管理认证,是多数企业的必备基础架构。
针对域内的渗透测试,很多人还停留在打历史漏洞的阶段,相应的安全防护还停留在打补丁上。那么全补丁环境下的域是否绝对安全?戴志斌通过从信息收集、横向移动、权限提升三个安全维度,针对在全补丁环境下域内的攻击方式进行讲解并相应提出其防御方案。
正如医疗行业中治疗疑难杂症依赖医疗专家,网络空间高级威胁的防护和处置也依赖安全专家的经验与知识。或许这也正是本场ATT&CK安全能力衡量论坛的意义所在,这些经验丰富的网络安全从业者们将最前沿、最先进的知识与理念与大家分享,并试图将对抗高级威胁的技巧逐步升级为权威的科学指南。
