殺傷鏈流程圖ATT&CK是MITRE公司在2015年提出的戰術知識庫,或者是TTP(戰術、技術和過程),可以很好地彌補殺傷鏈的高層抽象、IOC以及特徵之間的高度落差,對於攻擊行為進行分類和特徵化,讓攻擊防禦不再基於瑣碎的觀測點。 IOC強調的是一個威脅點,TPP則強調一類威脅行為,並且實現了威脅行為的階段劃分。 網路威脅歸因始終是安全最重要的事宜之一,ATT&CK第一次讓使用者可以看懂網路安全威脅。 ATT&CK戰術庫進行了一定程度的分類和抽象,使其在一定程度上具備了防禦未知威脅(IOC)的能力。 ATT&CK 框架圖網路威脅框架(NTCTF)最新版本由NSA/CSS(美國國家安全域性/美國中央安全域性)在2018年11月釋出,可以認為是由ODNI(美國國家情報主任辦公室)的CTF升級而來。 NTCTF是一個基於ATT&CK重新構造的網路威脅入侵過程模型,透過階段、目標、行為、關鍵短語4個層次來構建。 NTCTF把入侵過程分為6個階段:行動管理、準備活動、接觸目標和進攻突防、持久化駐留潛伏、效果、持續支撐作業。 每個階段都由目標、行為和關鍵短語來提供支撐。 其中行為的核心支撐點就是ATT&CK戰術知識庫。 NTCTF框架圖無論是殺傷鏈、ATT&CK還是NTCTF都非常龐大,本文無法展開。 如需進一步瞭解,可以參見相應白皮書和報告。 入侵生命週期v1.0美創科技為了更好地進行入侵檢測和防禦,參照各種安全威脅框架和自身的實踐與思考,提出了基於入侵生命週期的攻擊管理模型,作為美創新一代安全架構的三大支柱之一。 入侵生命週期v1.0把入侵過程劃分為7個階段:探索發現、入侵和感染、探索感知、傳播、持久化、攻擊和利用、恢復。 入侵生命週期v1.0 同樣以ATT&CK作為基本戰術知識庫,匹配到不同的入侵階段。 需要注意的是,並非所有的入侵都會經歷這7個階段,也沒有絕對的線性次序。 探索發現在這個階段中,攻擊者會先鎖定攻擊物件,然後利用某些技術手段,儘可能多地獲取目標暴露出來的資訊,如透過埠掃描、指紋探測等方式,發現敏感埠及版本資訊,進而尋找攻擊點,為下一步入侵做準備。 入侵和感染在這個階段,入侵者會根據“探索發現”階段所發現的重要資訊,來對目標暴露出的攻擊面進行攻擊嘗試,在“探索發現”階段收集到的資訊越多,攻擊物件所暴露的攻擊面也就越多,攻擊更易成功。 探索感知入侵者在成功進入系統內部後,由於是首次進入所以會出現對內部環境不熟悉的情況,這時入侵者的動作一般會是對當前所處環境進行探索,摸清內部大致的網路結構,常常伴隨著被入侵本機的敏感資訊收集以及對內網大量的埠進行掃描,後續根據入侵者的目的進行下一步操作。 傳播在此階段,入侵者根據上一階段在內網探索感知收集到的資訊,選擇特定的攻擊手法。 如若發現內部是域環境,入侵者可能會嘗試先攻破域控伺服器,再傳播其他機器。 若是工作組環境,可能會利用收集到的埠和服務資訊,選擇特定漏洞進行批次掃描攻擊,來儘可能多地繼續獲得其他計算機的控制權。 持久化入侵者在對資產進行惡意操作後,為了能夠減少再次連線的攻擊成本,方便下次進入,會進行“留後門”的操作,常見的後門如:建立計劃任務,定時連線遠端伺服器;設定開機啟動程式,在每次開機時觸發執行特定惡意程式;新建系統管理員賬號等。 這樣便於入侵者下次快速登入並控制該系統。 攻擊和利用者在此階段便會開始對目標資產進行惡意操作,按照入侵者意願,對能利用的資料進行竊取、利用;對作業系統、敏感檔案進行破壞、刪除。 所有的防禦手段都應該極力阻止入侵者進行到這一階段。 恢復入侵者在執行所有的攻擊操作時,往往會在系統上留下大量的行為日誌,因此在這一階段,入侵者會對記錄自身痕跡的所有日誌進行處理,或刪除或混淆,從而消滅證據,逃避追蹤。 與殺傷鏈和網路安全威脅框架(NTCTF)等威脅框架相比,美創科技入侵生命週期在主體上差異不大,但有兩個明顯特點: 對於探索性行為給予了更高的重視,提倡關注探索性行為的特徵,將入侵儘可能地防禦在初始階段; 把資產作為堡壘嵌入到每一個階段之中,對每個入侵階段的關注點更多的是其涉及到的資訊資產,而不僅僅是攻擊的利用手法。 零信任架構和入侵生命週期的緊密融合入侵生命週期v 1.0與傳統的入侵模型最典型的差異化特徵就是和零信任架構緊密融合,以資產為堡壘嵌入到每一個階段之中,以資產為錨定點展開攻擊行為體的檢測。 傳統上,無論是殺傷鏈、ATT&CK,還是NTCTF,都是以行為作為主要檢測點進行。 由於行為的中性特徵和無法預見性,在檢測中更多的是採用一種跟隨策略。 在嵌入資產堡壘這個錨點之後,就建立起了一個個觀測點,可以近距離觀察入侵行為。 特別是資產錨點是大部分入侵的主要目標,是入侵者在行進過程中無法繞行的堡壘。 由於我們為每一個資產堡壘都建立起了明確的邊界和行為,從而使入侵者在這個堡壘點可以直接被觀測和響應。 在美創零信任架構中,資產是被定義出來的,也就是軟體定義資產,從而使我們可以在入侵道路上設定各種不同型別的堡壘和觀測點。 這些堡壘和觀測點可以是網路、埠、命令、文件、服務、應用程式、業務操作等。 在入侵檢測中,誘餌是被定義的重要的虛擬資產之一。 與真正的實際資產相比,誘餌最大的優勢在於其易檢測性。 誘餌由於和業務無關,我們可以在誘餌上配置最為完備的檢測措施,有足夠的時間來完成溯源、二次身份確認等各種高消耗工作。 誘餌的另一個好處在於其風險行為的高度確定性,絕大部分作用於誘餌的行為幾乎都是有害的、與入侵相關的。 透過零信任架構和入侵生命週期的緊密融合,當入侵者在非定義資產上探索時,我們可以在堡壘對其進行觀測;當入侵者探索定義的資產堡壘時,我們可以在堡壘對入侵者進行驗證、標記,並進行防禦。 《柳遵梁專欄:外部入侵生命週期管理》完,請繼續朗讀精采文章。 喜歡 科學報 cn-n.net,請記得按讚、收藏及分享。
音調
速度
音量
語言
柳遵梁專欄:外部入侵生命週期管理
精確朗讀模式適合大多數瀏覽器,也相容於桌上型與行動裝置。
不過,使用Chorme瀏覽器仍存在一些問題,不建議使用Chorme瀏覽器進行精確朗讀。