1.3 恶意策略、技术和常识
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一1.3 恶意策略、技术和常识,最近提出的MITRE恶意策略、技术和常识模型(ATT&CK)提供了描述攻击生命周期中对漏洞利用后期的APT攻击在企业网络系统中的行为分类和框架结构。该模型与TTP技术性描述,与具体传感数据中观测和推断的每个TTP细节,与对TTP的检测分析描述,以及与可能的缓解方法相融合。ATT&CK提出的技术可用于防御针对基于微软Windows系统的企业网络的攻击,但是这种从恶意敌手的角度解析TTP的方法和概念则可以迁移应用到其他技术和操作系统中。
尽管在利用漏洞的初始阶段以及边界防御方面进行了深入研究,但是人们对攻击者初步攻陷和控制企业网络系统后的常识仍十分缺乏。ATT&CK可以融合收集到的不同攻击TTP信息的数据源,如MITRE研究、公共威胁情报、渗透测试、漏洞研究以及红蓝双方对抗演习和实验。ATT&CK通过收集相关信息来对攻击者漏洞利用后期的行为进行刻画。ATT&CK中包括攻击者用于进行决策、扩大接入,以及实施执行目标的TTP。它从一个足够抽象的高度描绘了攻击步骤,从而可适用于不同的平台。与此同时,又保留了足够多的技术性细节来用于网络空间防御与研究。
从“持续性”到“撤出”的这9种ATT&CK策略分类(表1.3中最上面一行)是来自于网络空间攻击周期7个步骤(见图1.1)中的后几个步骤(控制、执行和维持)。
专注于漏洞利用后期的策略分类在描述攻击者获得企业网络权限后实施入侵所发生的事件方面提供了一个进一步的划分。在划分的9个策略中,每个策略(如持续性)都列出了攻击者可以使用的具体技术(如合法凭证伪造)。值得注意的是,一些技术可以同时为多种漏洞利用后期的策略服务。比如,利用“合法凭证伪造”技术可以同时在持续性渗透、权限升级和防御规避3种策略中使用。
我们现在正在开发并将网络空间抵赖与欺骗的TTTP加入到ATT&CK矩阵中。这些网络空间抵赖与欺骗的TTTP将会补充或代替矩阵中的缓解防御机制。为了能够了解网络空间抵赖与欺骗的TTTP的防御效果,我们利用探索性实验进行验证。通过设计和控制实验条件以实现科学严谨性和现实可行性间的平衡。在这种情况下,实验中攻击者将会利用一系列ATT&CK矩阵中的步骤实施攻击,而防御方则会在任意一种条件下利用网络空间抵赖与欺骗工具进行防御。而且,在其他条件下,使用的网络空间抵赖与欺骗防御要能够按照参与者的意愿“抵御”攻击。网络空间抵赖与欺骗工具会捕获攻击者使用的命令,悄悄地使某些特定的命令失效,却报告给攻击者命令成功实施。
类似于利用ATT&CK弥补(防御方)在检测恶意行为时的缺陷与不足,将经验性威胁情报用于ATT&CK模型,有助于网络空间抵赖与欺骗聚焦于现有威胁活动中的通用技术。这种方法可以形成为应对特定网络或组织威胁而构建的网络空间抵赖与欺骗技术的基础知识。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一1.3 恶意策略、技术和常识
