网络安全模型:ATT&CK、零信任、自适应安全架构
Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(零信任模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。
Gartner和Forrester是两家世界著名的信息技术领域的咨询公司。MITRE是美国政府资助的一家研究机构,该公司于1958年从MIT(麻省理工)分离出来,并参与了许多商业和最高机密项目。
ATT&CK 对抗战术技术和常识
官网 https://attack.mitre.org/
ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)是一个知识库,它从攻击者的角度看待问题,目标是建立网络攻击中使用的战术和技术的详尽列表,呈现攻击者在攻击网络时所采用的行为,并且详细介绍每一种技术的利用方式。
| Tactics | … | Techniques |
|---|---|---|
| Initial Access | 初始访问 | Drive-by Compromise,Exploit Public-Facing Application,External Remote Services,Hardware Additions,Phishing,Supply Chain Compromise,Trusted Relationship,Valid Accounts |
| Execution | 执行 | Command and Scripting Interpreter,Exploitation for Client Execution,Native API,Scheduled Task/Job,Software Deployment Tools,User Execution |
| Persistence | 持久化 | Account Manipulation,Boot or Logon Autostart Execution,Browser Extensions,Compromise Client Software Binary,Create Account,Create or Modify System Process,Event Triggered Execution,External Remote Services,Hijack Execution Flow,Pre-OS Boot,Scheduled Task/Job,Server Software Component,Traffic Signaling,Valid Accounts |
| Privilege Escalation | 提升权限 | Abuse Elevation Control Mechanism,Boot or Logon Autostart Execution,Create or Modify System Process,Event Triggered Execution,Exploitation for Privilege Escalation,Hijack Execution Flow,Process Injection,Scheduled Task/Job,Valid Accounts |
| Defense Evasion | 绕过防御 | Abuse Elevation Control Mechanism,Deobfuscate/Decode Files or Information,Execution Guardrails,Exploitation for Defense Evasion,File and Directory Permissions Modification,Hide Artifacts,Hijack Execution Flow,Impair Defenses,Indicator Removal on Host,Masquerading,Modify Authentication Process,Obfuscated Files or Information,Pre-OS Boot,Process Injection,Rootkit,Subvert Trust Controls,Traffic Signaling,Valid Accounts,Virtualization/Sandbox Evasion |
| Credential Access | 凭据访问 | Brute Force,Credentials from Password Stores,Exploitation for Credential Access,Input Capture,Man-in-the-Middle,Modify Authentication Process,Network Sniffing,OS Credential Dumping,Steal Web Session Cookie,Two-Factor Authentication Interception,Unsecured Credentials |
| Discovery | 发现 | Account Discovery,Browser Bookmark Discovery,File and Directory Discovery,Network Service Scanning,Network Share Discovery,Network Sniffing,Password Policy Discovery,Permission Groups Discovery,Process Discovery,Remote System Discovery,Software Discovery,System Information Discovery,System Network Configuration Discovery,System Network Connections Discovery,System Owner/User Discovery,Virtualization/Sandbox Evasion |
| Lateral Movement | 横向移动 | Exploitation of Remote Services,Internal Spearphishing,Lateral Tool Transfer,Remote Service Session Hijacking,Remote Services,Software Deployment Tools |
| Collection | 收集 | Archive Collected Data,Audio Capture,Automated Collection,Clipboard Data,Data from Information Repositories,Data from Local System,Data from Network Shared Drive,Data from Removable Media,Data Staged,Input Capture,Man-in-the-Middle,Screen Capture |
| Command and Control | 命令和控制 | Application Layer Protocol,Communication Through Removable Media,Data Encoding,Data Obfuscation,Dynamic Resolution,Encrypted Channel,Fallback Channels,Ingress Tool Transfer,Multi-Stage Channels,Non-Application Layer Protocol,Non-Standard Port,Protocol Tunneling,Proxy,Remote Access Software,Traffic Signaling,Web Service |
| Exfiltration | 数据渗透 | Automated Exfiltration,Data Transfer Size Limits,Exfiltration Over Alternative Protocol,Exfiltration Over C2 Channel,Exfiltration Over Other Network Medium,Exfiltration Over Physical Medium,Exfiltration Over Web Service,Scheduled Transfer |
| Impact | 影响 | Account Access Removal,Data Destruction,Data Encrypted for Impact,Data Manipulation,Defacement,Disk Wipe,Endpoint Denial of Service,Firmware Corruption,Inhibit System Recovery,Network Denial of Service,Resource Hijacking,System Shutdown/Reboot |
那么ATT&CK有什么用处呢?首先,通过它盘点组织所采用的安全工具,让安全厂商提供一份对照ATT&CK覆盖范围的映射图。其次,企业也可以按照战术逐项进行评估企业安全能力。
ATT&CK 导航工具可用于映射针对ATT&CK技术的控制措施。可以添加不同的层,来显示特定的检测控制措施、预防控制措施和观察到的行为。
攻击者寻找更隐蔽的方法并避免传统安全工具的检测,因此防御者需要改变传统的检测和防御方式。ATT&CK提供了工具和资源,改变了我们对IP地址和域名等低级指标的认知,让防御者从行为的视角来看待攻击者和防御措施。
此外,随着防御者带来新的功能,攻击者会作出相应调整。ATT&CK提供了一种方法来描述攻击者开发的新技术,并敦促防御者紧随技术发展的新步伐。
ATT&CK可以用来干什么?
https://www.anomali.com/resources/what-mitre-attck-is-and-how-it-is-useful
ATT&CK是一个战役地图,指导防御者的日常工作,它将攻击者的行为定义到统一的ATT&CK分类模型中。它不只是一个字典,同时也是渗透技术教程,让红队、紫队和蓝队使用共同的语言来谈论对抗行为。通过对照ATT&CK,各种防御工具和服务可以放到统一的体系中,得以更好的理解其存在意义。
零信任 Zero Trust
零信任是一个安全概念,指不默认信任任何访问企图。
零信任围绕应用程序建立基于身份和上下文的逻辑访问边界,通过信任代理验证身份、上下文和策略遵守情况,并阻止横向移动,应用程序需要通过信任代理进行访问。应用程序未向外部暴漏,显著降低了被攻击表面积。
Gartner的定义:Zero trust network access (ZTNA) creates an identity- and context-based, logicalaccess boundary around an application or set of applications. The applications are hidden from discovery, and access is restricted via a trust broker to a set of named entities. The broker verifies the identity, context and policy adherence of the specified participants before allowing access, and prohibits lateral movement elsewhere in the network. This removes the application assets from public visibility and significantly reduces the surface area for attack.
零信任的几个相关概念:软件定义边界(software-defined perimeters ,SDP)、 防火墙(FW)、沙箱(SandBox)、防病毒软件(AV)、主机入侵防御系统(HIPS),未知文件检测。
自适应的安全架构 Adaptive Security Architecture
自适应的安全架构实现持续自适应风险与信任评估(Continuous Adaptive Risk and Trust Assessment,CARTA)。
CARTA的自适应安全架构中,采用的正是零信任策略,采用零信任是防护的第一步。在建立一定程度的信任连接之前,会对系统进行加固和隔离。CARTA进一步扩展零信任的概念,并将攻击防护视为一个持续的风险和信任评估过程。即使通过了初始风险和信任评估,CARTA持续采用EDR技术进行系统终端检测和响应,以发现恶意行为和风险的迹象。
自适应的安全架构主要包括以下四个方面:
预防Pretect,通过系统加固和隔离等手段来减少系统暴漏面积,比如采用黑名单。
检测Detect,持续监视/检测事故的发生并对其进行评估,对检出的事故进行隔离,以防止其造成进一步的破坏。
响应Response,事故发生之后需要对事故进行补救和溯源。
预测Predict,根据以往已经存在的威胁,来预测潜在的威胁。通过以往的攻击并关联知识库来预测新的攻击(ATT&CK的用途)。
通过Predict/Pretect不可能完全预防恶意攻击,所以需要自适应的安全架构,Detect/Response尽早的发现恶意攻击并进行补救。永远也不可能预防所有的攻击发生,与其浪费资源在预防攻击发生,不如通过自适应的安全架构来减少威胁发生后带来的影响。
相对于以往黑名单机制,自适应的安全架构采用动态白名单的方式来追踪可能的威胁。系统已知行为会被登记在白名单,任何偏离白名单的行为都会被标记和评估,只有当行为被证明为无害才会被加入到白名单中。这里可以通过UEBA分析行为。
小结
在安全领域,防御者始终处于一个敌暗我明的状态,因此,安全人员应该采用Zero Trust的态度,主动提高安全检测能力,CARTA倡导通过理解上下文和持续风险评估来灵活调整安全策略,ATT&CK是成功落实CARTA理念的关键保障,与传统上的纯粹防御观念不同,ATT&CK从攻击者的视角看问题。
参考资料
https://www.secpulse.com/archives/116712.html
一文看懂ATT&CK https://mp.weixin.qq.com/s?__biz=MzAwNDE4Mzc1NA==&mid=2650826923&idx=1&sn=f8a26fdf7b63b240c5b6ec23ec6a79d0&chksm=80db0b0eb7ac8218df94f5d98c072f6408f329c205bf47d1138aa2b96a9da501193ea9815186&scene=21#wechat_redirect
https://mp.weixin.qq.com/s?__biz=MzAwNDE4Mzc1NA==&mid=2650826960&idx=1&sn=3da37b16ec3403a73aed25b71c7d0839&chksm=80db0b75b7ac82636f47f006a0ca161ed1cbc6eb299a29f2e426ae492ad263400402af21d587&scene=21#wechat_redirect
网络安全技术
EPP=EndPoint Protection Platform
EDR=EndPoint Detection and Response
XDR=Extent Detection and Response
UES=Unified Endpoint Security
UEBA=User & Entity Behavoir Analysis
SIEM=Security Information & Event Managment
SASE=Secure Access Service Edge
ZTNA=zero trust network access
SWG=Secure Web Gateway
security orchestration, automation and response (SOAR)
参考,Gartner Hype Cycle for Endpoint Security 2020,这个报告已经下载了
名词
perimeter [pəˈrimitə®] 边界
prevent 预防
exploit 利用
confidential 机密的 confidential data and applications
assess 估算
rimeter [pəˈrimitə®] 边界
prevent 预防
exploit 利用
confidential 机密的 confidential data and applications
assess 估算
adversarial behaviors 敌对行为
4064
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
