随着云计算、云原生技术的蓬勃发展,越来越多的业务正以数字化的形态运转在以主机和容器为代表的云工作负载上。从日益新增的新型攻击威胁来看,保护云工作负载安全将成为今后网络安全防护的关键。尽道“输攻墨守”(只要有一种攻击的战术,就会有防守的方法)。兼具系统性和详细性的ATTCK知识库可帮助网络空间安全从业者评估、强化安全产品的能力,掌握主动权。本文主要围绕ATTCK发展态势、落地ATTCK的思考与实践、安全狗基于ATTCK框架进行攻防实战的案例以及总结与展望等四大部分进行内容分享。01ATTCK发展态势在第1章,笔者将和大家分享对ATTCK的背景以及
发展趋势的看法。1.1ATTCK背景介绍ATTCK是对抗战术、技术和常识(AdversarialTactics,Techniques,andCommonKnowledge)的缩写。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。笔者认为其原因是:ATTCK框架兼具系统性和详细性。它将矩阵、战术、技术、过程以及阻断措施系统性地组织在了一起,如图1-1所示。图1-1ATTCK不像“杀伤链”这类高层次模型无法表达具体攻击,也不像“漏洞库”等等低层次的模型无法窥视全貌,如图1-2所示。图1-21.2ATTCK趋于丰富化、详细化MITREATTCK历久弥新,趋于丰富化、详细化。截止今年的4月份,版本已经迭代到第9版。在这一版的变化中,新增了容器安全部分,如图1-3所示。图1-3此次更新也改进了数据源,细化了战术描述内容,增强了可落地性,也不断例行优化着企业场景的攻防技术。02落地ATTCK的思考与实践在第2章中将从以下几点与大家分享经验:(1)借助ATTCK评估并强化安全产品的能力的实践的方法或经验;(2)ATTCK检测技术在CWPP的落地难点与改进方向;(3)我司的ATTCK落地情况;(4)ATTCK运用在威胁检测过程的不足。2.1云工作负载攻击场景随着云计算、云原生技术的蓬勃发展,越来越多的业务正以数字化的形态运转在以主机和容器为代表的云工作负载上。在这样子的转变中,传统的WEB渗透、内网渗透等攻击手段依然奏效,并且针对K8s容器环境的新型攻击利用方式也带来了新的威胁,如图2-1所示。图2-12.2借助ATTCK评估、强化安全产品能力ATTCK可用于评估、强化安全产品的能力。安全狗的安全研究人员经过在该方向的长期实践,总结出了“模拟红蓝对抗,构建攻防知识图谱,确定数据源,确定威胁检测算法”的方法和经验,如图2-2所示。图2-2下文将对这些方法、经验进行简要的介绍。2.3模拟红蓝对抗“模拟红蓝对抗”是许多需要“既知攻,又知防”的安全研究人员的日常工作。图2-3展示了红队人员利用“WEB应用或服务漏洞”拿下网络边界的WEB服务器,继而将其作为跳板,分别针对内网主机A、B做横向渗透的过程。在这一过程中,攻击者通常会用到无文件攻击配合实现中间人攻击、内网穿透以及木马后门植入等技法,为二次攻击做准备。图2-3而这图2-4是蓝队人员在红队人员攻击后,进行安全事件分析、入侵溯源所创建的热力图。我们可以发现,红方的攻击链可对应ATTCK矩阵中的多项技战术。ATTCK宛若红蓝对抗的“战术板”或“仪表盘”。图2-42.4攻击知识图谱基于“模拟红蓝对抗”,我们可进行ATTCK的攻防知识图谱的构建,如图2-5所示。“攻防知识图谱”的依据主要在于“红队在实施攻击的时候,将不可避免地产生失陷信标IoC以及攻击信标IoA,因而蓝队在识别攻击的时候是有迹可循的”。由攻防对抗图谱可以看到红蓝双方的博弈,在这张图中,蓝队的目标是“监控”,需要从左往右看,而红队的目标是“攻击”,需要从从右往左看。蓝队可通过此图思考防御规则的设置,而红队可通过此图思考防御规则的绕过。图2-52.5数据源基于“攻防知识图谱”,我们可以确定数据源。在ATTCK框架里的每项技术描述中都有对应于该技术的数据源信息。例如对于“命令及脚本执行”的攻击战术,数据源可以是命令执行、模块加载、进程创建以及脚本执行,如图2-6所示。图2-6据统计,在可检测ATTCK技术点的数据源排行榜中,位列前三的分别是进程监控、进程命令行参数以及文件监控,如图2-7所示。这和诸多安全厂商的普遍
转载请注明:http://www.aierlanlan.com/grrz/6077.html
