阅读: 919
网络防御传统上侧重于使用纵深防御技术来抵挡攻击者访问组织的网络或关键网络资产。如果,当一名防御者(defenders)引入了欺骗性的工件(artifacts)和系统,这会立刻增加攻击者的怀疑:我刚刚访问的系统合法吗?我刚刚窃取的数据是真的吗?这无疑会提高巨额的攻击成本并降低攻击者网络行动的价值。但是同时,这样的做法也会提高防御者的运营成本。美国国防部将积极防御定义为“利用受限的进攻性行动和反击,以拒止敌手进入有争议的地区或阵地。”积极防御的范围从基本的网络防御能力到网络阻断、网络欺骗和对手交战行动。这些防御措施的组合,使一个组织不仅能够抵制当前的攻击,而且能够更多地了解对手,更好地为将来的新攻击做好准备。
Mitre一直希望在积极防御方面给予防御者帮助,同时在防御者(defenders)、供应商(vendors)和决策者(decision-makers)之间的架设一道桥梁。在这种背景下, 2021年9月 Mitre 推出了Engage框架,同时取代了 MITRE Shield知识库(积极防御知识库)。在积极防御方面给予防御者指导。在防御范围内进一步控制攻击者,主动在内部网络环境与之互动及抗衡,是MITRE对于积极防御的一大重点。
二、前言
2022年2月28日,全新改版的MITRE Engage网站上线。距离2021年9月,Mitre发布Engage 不到半年的时间,Engage框架迎来了又一重大动作。
(1)本次更新,MITRE 发布了Engage框架的V1.0版,并且公开了一系列指导文件,对Engage框架落地进行了一些可实际操作的指导;
(2)本次发布了对手交战的10步流程,可帮助防御者完成从计划到交战再到分析的操作过程;同时增强了Engage与ATT&CK的关联性。
(3)但是我们也要看到,本次Engage框架V1.0中活动的具体内容描述还有缺失,网站的内容更新还在持续,指导文件的实际可操作性还需要实践检验。
MITRE Engage主要用于规划和讨论对手交战行动。建立之初,创建Engage框架是为了帮助企业、政府、网络安全产品和服务社区进行对手交战战略计划,执行对手交战技术。这次的新版的Engage,再次明确Engage 矩阵是防御者(defenders)、供应商(vendors)和决策者(decision-makers)之间的桥梁,协助制定阻断、欺骗和对手交战等活动的协同作战计划。
防御者通过规划和分析的视角看待阻断和欺骗活动,可以发现对手交战的更多机会
2、对手交战的目标
对手交战的目标包括:检测网络上的攻击者;获取情报以了解攻击者及其TTP;通过提高成本影响攻击者,同时降低其网络行动的价值。当对手交战与纵深防御技术搭配使用时,防御者能够主动地与网络攻击者“互动”,以实现防御者的战略目标。整个对手交战行动是一个不断迭代的、目标驱动的过程,而不仅仅是技术堆栈的部署,绝不是部署一个诱饵就能取得成功的。相反,用户必须认真思考防御目标是什么,以及如何利用阻断、欺骗和对手交战来推动这些目标的进展。
使用MITRE Engage循环将Engage整合到你的网络防御战略中
一个成功的对手交战行动包括四个主要要素:叙述故事、交战环境、监控和分析。每个组成部分都扮演着特定的角色,为一项行动的既定目标贡献着特定的目标。叙事故事是在交战行动中向攻击者描述的整个欺骗故事。
交战环境是指交战活动进行的环境系统。这个环境是精心定制的,高度仪器化的环境。这个环境可能是完全隔离的,独立部署的,也可能是在生产环境中集成的。
运营的监控是对手交战活动成功的重要要素。交战的操作员在环境中对攻击者各种行动的可视化至关重要。
分析利用现有的网络威胁情报(CTI)和来自前面提到的监控数据可以对环境中的攻击者行为进行分类、理解和学习,形成分析情报。
开展对手交战行动时应考虑的问题
2、对手交战框架(Engage Matrix)V1.0
MITRE Engage的一个核心产品是Engage Matrix,它基于MITRE在对手交战方面的专业知识以及MITRE对现实世界中观察到的攻击方行为的了解而构建。此次更新,MITRE Engage 发布了对手交战框架V1.0版。对手交战框架 V1.0在交战目标、交战方法方面保留了原版的内容,在交战活动(Engage Activities) 方面进行了更新,增加了新的交战活动。
MITRE Engage V1.0
Engage矩阵由以下核心组成部分组成:交战目标、交战方法和交战活动。矩阵顶部是交战目标(Engage Goals)。交战目标是防御方希望交战行动实现的高水平成果。这部分主要包括:准备(Prepare)、暴露(Expose)、影响(Affect)、引出(Elicit)和理解(Understand)。
下一行包含交战方法(Engage Approaches)。方法可以让用户朝着选定的目标前进。
矩阵的其余部分由交战活动(Engage Activities)组成。活动由真正的对手行为驱动,是用户在交战方法中使用的具体技巧。
在矩阵中,对手行动分为两类。
一类是战略行动(Strategic actions),矩阵中黄色的部分,主要确保防御者通过战略规划和分析适当地推动交战行动。
另一类是交战行动(Engagement actions),矩阵中蓝色的部分,它的目标、方法和活动是传统的网络阻断和欺骗活动,用于推动防御者实现目标。当对手做出特定行为时,他们很容易暴露出无意中的弱点。
在Engage中,通过查看每个ATT&CK®技术,以检查发现的弱点,并确定一个或多个利用这一弱点的交战活动。通过将交战活动映射到ATT&CK,用户可以更好地规划哪些活动将使用户能够实现自己的战略目标。
战略行动
交战行动
每个目标、方法和活动都有一个独特的ID。但是在新版的Engage矩阵网站中并没有给出每个方法和活动的具体定义和ID号码,估计更新还需要时间。
缺失的定义
为了帮助从业者“落地”MITRE Engage,MITRE Engage团队公开其内部运营团队使用的一些资源,发布了一系列文档,对对手交战框架落地进行了务实的可操作性指导。
对手交战的10步流程可帮助防御者完成从计划到交战再到分析的操作。2013 年,Hy Rothstein 和 Barton Whaley 共同编辑了一本名为“军事欺骗的艺术与科学”的书。这本书包括一章 Whaley 写的题为“欺骗的过程”的章节,其中他概述了制造军事欺骗的 10 个步骤。Mitre改进了 Whaley 的方法,为阻断、欺骗和对手交战活动创建了一个 10 步流程。
与杀毒软件等其他防御技术不同,对手交战技术不是“开火就忘记”的解决方案。仅仅部署诱饵并宣布成功是不够的。防御者必须批判性地思考他们的防御目标是什么,以及如何利用阻断、欺骗和对手交战活动来推动朝着这些目标前进。
这十个步骤分为三类:准备、交战和理解,与Engage矩阵的交战目标对应。步骤1-6与Engage Prepare目标下的战略方法和活动相对应。
步骤7对应于“交战-暴露、影响和引出”目标下的交战方法和活动。
步骤8-10对应于Engage-Understand目标下的交战方法和活动。
对于资源有限或网络安全防御方案不太成熟的组织来说,10步流程尤为重要。通过明确定义目标,并确定与这些目标紧密一致的交战范围,即使是小型组织也可以开始将对手交战纳入其防御战略。
对手交战的10步流程
将 ENGAGE 映射到 MITRE ATT&CK
当对手从事特定行为时,很容易暴露出意外的弱点。通过查看每个 ATT&CK 活动,防御者可以检查所揭示的弱点并确定利用这些弱点的交战活动。通过将各种交战活动映射到 ATT&CK,防御者可以确保交战矩阵中的每个活动都由观察到的对手行为驱动。在对手的交战行动中,试图预测对手的行动可能很诱人。然而,如果没有对具体的威胁有广泛了解,这种思路可能会导致防御者做出错误或无效的决定。通过映射到 ATT&CK,防御者可以确保他们选择的交战活动适合目标对手。每个映射都包含以下信息:
(1)ATT&CK ID & Name – 攻击者采取的具体行动ATT&CK 技术ID名称
(2)对手漏洞 – 对手在从事此特定行为时暴露的漏洞
(3)交战活动——防御者可以用来利用对手暴露的漏洞的行动
增加了MITRE ATT&CK到Engage的映射
在Engage矩阵界面,增加了和MITRE ATT&CK的映射对应,通过组织(GROUP)、Tactic(战术)、Technique(技术)等 MITRE ATT&CK® 过滤条件来进行和Engage的交战活动进行对应。这些映射是一对多的关系。Group:主要包括ATT&CK框架中命名的一些组织名称。Tactic(战术)和Technique(技术)为ATT&CK中的相关内容。
ATT&CK过滤条件
参考文献
https://engage.mitre.org/
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。