ATT&CK威脅框架發(fā)展及應(yīng)用研究

【摘 要】 ATT&CK威脅框架是基于攻擊者視角，從現(xiàn)實世界的網(wǎng)絡(luò)威脅中提煉并歸納出各種技戰(zhàn)術(shù)特點的知識庫。本文對ATT&CK威脅框架的演進、價值作用、發(fā)展難點及應(yīng)用現(xiàn)狀等進行了研究，闡述了ATT&CK威脅框架在國內(nèi)外網(wǎng)絡(luò)安全企業(yè)的實踐落地情況，以期為網(wǎng)絡(luò)安全人員在防御體系設(shè)計、高級威脅分析、安全應(yīng)急響應(yīng)等方面提供借鑒。

【關(guān)鍵詞】 ATT&CK 威脅框架 技術(shù)發(fā)展 防御能力評估 安全能力提升

1 引言

隨著越來越多的威脅事件和攻擊組織被發(fā)現(xiàn)、曝光，“曝光”這一手段對于攻擊組織的威懾力正在快速下降。同時，各種追溯方法也大量暴露在對手的視野中，現(xiàn)有追溯方法幾乎都能夠通過技術(shù)手段和資源規(guī)避或?qū)崿F(xiàn)仿冒，追溯的有效性也在不斷下降。網(wǎng)絡(luò)安全防御工作的重點逐漸轉(zhuǎn)移到構(gòu)建有效的積極防御體系及實現(xiàn)防御能力的持續(xù)提升等方面。為更好地實現(xiàn)防御目標，使安全人員能夠識別對手活動的趨勢和變化，系統(tǒng)全面地分析對手入侵的戰(zhàn)術(shù)、技術(shù)、過程（Tactic, Technique and Procedure，TTP），政府部門、研究機構(gòu)及網(wǎng)絡(luò)安全企業(yè)提出了一系列威脅框架。其中，ATT&CK（Adversary Tactics Techniques Common Knowledge）威脅框架是一個基于真實世界觀察對手技戰(zhàn)術(shù)的知識庫，其將已知對手行為轉(zhuǎn)換為結(jié)構(gòu)化列表并能夠覆蓋對手入侵活動的全生命周期。ATT&CK威脅框架的理論發(fā)展及基于實際產(chǎn)業(yè)運用角度的應(yīng)用，可為網(wǎng)絡(luò)安全人員在防御體系設(shè)計、高級威脅分析、防御能力評估、安全應(yīng)急響應(yīng)等方面提供清晰的思路。

2 ATT&CK威脅框架概述

2.1 發(fā)展歷程

美國MITRE公司（The MITRE Corporation）于2013年開始開發(fā)ATT&CK威脅框架，于2015年5月正式發(fā)布。該威脅框架自發(fā)布后迭代更新較快，幾乎每隔3—6個月，就會完成1次更新，更新內(nèi)容主要包括戰(zhàn)術(shù)、技術(shù)、攻擊組、軟件、緩解措施等內(nèi)容。

ATT&CK威脅框架剛推出時還較為單薄，但隨著MIERE公司不斷對其進行豐富，現(xiàn)在該威脅框架涉及的內(nèi)容已較飽滿，逐漸發(fā)展成為原子化、高精準的安全知識庫。ATT&CK威脅框架目前分為3個模塊，包括企業(yè)矩陣（Enterprise Matrix）、移動矩陣（Mobile Matrices）、ATT&CK工控系統(tǒng)矩陣（ATT&CK for Industrial Control Systems），其中Enterprise Matrix是針對企業(yè)網(wǎng)絡(luò)環(huán)境下對手入侵技戰(zhàn)術(shù)的知識庫。

最初，Enterprise Matrix威脅框架僅包含8個戰(zhàn)術(shù)階段，在2016年擴展至10個戰(zhàn)術(shù)階段，后續(xù)該威脅框架獲得網(wǎng)絡(luò)安全領(lǐng)域的廣泛關(guān)注并迅速發(fā)展。目前，MITRE網(wǎng)站上顯示最早的是V3版本（2018年10月23日），該版本包括11個戰(zhàn)術(shù)階段，233種技術(shù)；V4版本（2019年4月30日）中增加了“影響”戰(zhàn)術(shù)階段，戰(zhàn)術(shù)階段增至12個；V5版本（2019年7月31日）在介紹界面中加入“緩解”措施；V6版本（2019年10月24日）增加了云、工控領(lǐng)域的相關(guān)技術(shù)；V7 Beta版本（2020年3月31日）將攻擊技術(shù)進一步細化至子技術(shù)層面，2020年7月8日，MITRE公司發(fā)布了V7正式版本；V8版本（2020年10月27日）將PRE ATT&CK威脅框架與Enterprise Matrix威脅框架進行結(jié)合，形成能夠覆蓋網(wǎng)絡(luò)入侵全生命周期的新威脅框架版本，戰(zhàn)術(shù)階段擴展至14個；V9版本（2021年4月29日）對數(shù)據(jù)源的描述方式發(fā)生了變化，增加了容器和谷歌工作區(qū)（Google Workspace）平臺；V10版本（2021年10月21日）在企業(yè)矩陣中添加了一組新的數(shù)據(jù)源和數(shù)組件對象，補充V9版本中數(shù)據(jù)源名稱更改。2022年4月25日發(fā)布V11版本，該版本對技術(shù)、子技術(shù)作了進一步更新細化，其中包含14個戰(zhàn)術(shù)階段、191種技術(shù)、386個子技術(shù)。

從安全知識庫體系構(gòu)建來看，ATT&CK威脅框架包含的技戰(zhàn)術(shù)逐年細化、覆蓋入侵活動的范圍逐漸增加，呈現(xiàn)出不斷豐富細化的趨勢。

2.2 價值作用

ATT&CK威脅框架具有較大的戰(zhàn)略價值。MITRE公司收集來自全球安全社區(qū)貢獻的基于現(xiàn)實世界網(wǎng)絡(luò)威脅事件的戰(zhàn)術(shù)、技術(shù)、過程，不斷充實、更新ATT&CK威脅框架。

網(wǎng)絡(luò)安全人員利用ATT&CK威脅框架有機會從對手視角看待入侵事件，并從入侵行為角度進行分析。ATT&CK威脅框架不僅為網(wǎng)絡(luò)安全人員分析對手入侵策略、行為等提供理論基礎(chǔ)，還為網(wǎng)絡(luò)安全防御部署提供指導，而且可作為一種可行的通用網(wǎng)絡(luò)語言。ATT&CK威脅框架能夠提供更易于共享上下文的行動和潛在對策，簡化威脅情報創(chuàng)建過程。網(wǎng)絡(luò)安全對抗模式已演進為全面體系化對抗，安全人員能夠基于ATT&CK威脅框架進行威脅對抗行為研究，有利于將對手入侵行為進行原子化拆解、為網(wǎng)絡(luò)紅隊提供入侵知識和工具、方便進行滲透測試、開發(fā)更全面的應(yīng)急響應(yīng)機制。安全人員還可據(jù)此為主要場景制定有針對性的行為分析方案、評估攻防差距、構(gòu)建安全部署、提升防御能力等。

2.3 發(fā)展難點

ATT&CK威脅框架是一個由MITRE公司打造并持續(xù)進行迭代更新的知識庫，其發(fā)展難點主要體現(xiàn)在多種平臺覆蓋、全生命周期入侵行為枚舉等方面。

首先，形成一套能夠應(yīng)對包括云平臺、移動平臺、工業(yè)控制平臺等多種平臺，且被業(yè)內(nèi)認可的通用技術(shù)表達體系和通用術(shù)語并不容易。威脅框架已經(jīng)發(fā)展成為系統(tǒng)認知網(wǎng)絡(luò)威脅、構(gòu)建有效防御的方法與工具體系。除ATT&CK威脅框架外，還有洛克希德·馬丁公司的殺傷鏈框架（Cyber-Kill-Chain）、美國國家情報總監(jiān)辦公室的公共網(wǎng)絡(luò)威脅框架（Common Cyber Threat Framework，CCTF）、美國國家安全局的技術(shù)性網(wǎng)絡(luò)威脅框架（Technical Cyber Threat Framework，TCTF）等。這些威脅框架均沒有像ATT&CK威脅框架這樣細粒度的技術(shù)刻畫，也未對多種平臺進行覆蓋。雖然ATT&CK威脅框架對研究分析、產(chǎn)品開發(fā)、威脅對抗等方面具有更實際的指導作用，但這也成為其面臨的現(xiàn)實挑戰(zhàn)的來源。

其次，高級威脅及未知漏洞發(fā)現(xiàn)較為困難，甚至可能威脅已經(jīng)在受害者網(wǎng)絡(luò)環(huán)境中造成實際后果，而用戶仍未感知，更無從調(diào)查取證。網(wǎng)絡(luò)威脅不斷發(fā)展變化，不斷出現(xiàn)未被感知到的高級威脅，因此ATT&CK威脅框架如何更全面枚舉入侵技戰(zhàn)術(shù)是其面臨的又一發(fā)展難點。盡管ATT&CK威脅框架已經(jīng)對入侵活動進行原子化拆解，但因為無法完全枚舉威脅、入侵手段過于復雜等因素，也可能導致其不能發(fā)揮應(yīng)有作用。

3 ATT&CK威脅框架技術(shù)產(chǎn)業(yè)落地情況

3.1 威脅框架應(yīng)用場景

ATT&CK威脅框架得到網(wǎng)絡(luò)安全領(lǐng)域的廣泛認可，在技術(shù)服務(wù)中也取得較好實際效果。此外，隨著網(wǎng)絡(luò)威脅的不斷演變和進化，MITRE公司也積極推動ATT&CK威脅框架的迭代更新，以適應(yīng)不斷變化的入侵環(huán)境。ATT&CK威脅框架主要包括威脅情報收集、高級威脅檢測、防御能力評估、安全能力提升等應(yīng)用場景。

（1）威脅情報收集

網(wǎng)絡(luò)威脅情報能夠使用戶了解威脅并有針對性地應(yīng)對威脅。雖然威脅情報具有較大價值，但其創(chuàng)建過程卻很復雜。ATT&CK威脅框架可作為通用語言提供統(tǒng)一描述標準，為情報創(chuàng)建提供便利條件，對威脅情報進行規(guī)整。此外，ATT&CK威脅框架中展示了近130個攻擊組織的詳細信息，包括其使用的攻擊技戰(zhàn)術(shù)及工具。網(wǎng)絡(luò)安全工作人員能夠基于ATT&CK威脅框架收集網(wǎng)絡(luò)情報，進而有針對性地跟蹤對手，以應(yīng)對可能出現(xiàn)的威脅。利用ATT&CK威脅框架在化簡情報創(chuàng)建過程、縮短分析時間、提高情報質(zhì)量等方面具有現(xiàn)實意義。

（2）高級威脅檢測

已知威脅的獵殺及未知威脅的發(fā)現(xiàn)通常是高級威脅檢測關(guān)注的焦點。針對已知威脅的獵殺，利用ATT&CK威脅框架對對手攻擊戰(zhàn)術(shù)、技術(shù)、過程的映射能夠獲得已知對手的入侵信息，甚至預測對手可能的入侵行為，從而采取相應(yīng)措施，進行安全防御部署，使網(wǎng)絡(luò)安全防御價值最大化。針對未知威脅的發(fā)現(xiàn)，ATT&CK威脅框架能夠?qū)崿F(xiàn)網(wǎng)絡(luò)入侵活動全生命周期的覆蓋，因此即便對手應(yīng)用未知威脅入侵，也將處于ATT&CK威脅框架覆蓋范圍內(nèi)，使得未知威脅追蹤有跡可循并最終發(fā)現(xiàn)未知威脅。

（3）防御能力評估

防御能力評估的價值在于能夠為安全能力提升奠定基礎(chǔ)，但評估中可能出現(xiàn)當前防御能阻止以某種方式采用某種技術(shù)的入侵，而其實無法防御其他方式采用該技術(shù)的入侵，使防御者產(chǎn)生一種虛假的安全感。因此，需要基于ATT&CK威脅框架利用接近實戰(zhàn)化的攻防對抗演練才能精準地評估防御能力。

MITRE為ATT&CK威脅框架提供了原子紅隊（Atomic Red Team，ART）“原子化攻擊仿真”測試集合，能夠保障威脅框架武器庫中特定技術(shù)或子技術(shù)正常發(fā)揮作用。模擬入侵人員能夠在原子測試的基礎(chǔ)上，與現(xiàn)實世界入侵事件相結(jié)合，根據(jù)實際網(wǎng)絡(luò)環(huán)境調(diào)整、利用不同入侵技戰(zhàn)術(shù)，盡可能還原對手真實入侵手段。安全防御人員基于現(xiàn)有網(wǎng)絡(luò)防御策略及應(yīng)急響應(yīng)流程與對手進行對抗，抵御對手的潛在入侵行為，確定現(xiàn)有防御部署中存在的防御不足或可見性缺失的部分。網(wǎng)絡(luò)威脅不斷發(fā)展變化，因此打造一支能力可靠的藍隊參加常態(tài)化的攻防對抗演練，并基于ATT&CK威脅框架對網(wǎng)絡(luò)防御能力進行評估，能夠最大程度地為測試網(wǎng)絡(luò)安全解決方案、提升安全防御能力提供真實的參考依據(jù)。

（4）安全能力提升

基于ATT&CK威脅框架的威脅情報、防御能力評估，網(wǎng)絡(luò)安全人員能夠認識到攻防雙方差距，發(fā)現(xiàn)安全防御薄弱環(huán)節(jié)，有針對性地提升安全能力。安全人員可以利用ATT&CK威脅框架構(gòu)建體系化防御，還可以主動構(gòu)建欺騙環(huán)境，擾亂對手判斷，塑造誘餌環(huán)境、誘餌對象、仿真行為等，誘騙對手實施入侵，從而觸發(fā)攻擊告警�；�于告警信息不斷加強網(wǎng)絡(luò)安全防御復雜度，強化網(wǎng)絡(luò)系統(tǒng)彈性，提升對手攻擊難度，增加對手攻擊成本。網(wǎng)絡(luò)安全人員能夠利用ATT&CK威脅框架改變被動的防御態(tài)勢，充分發(fā)揮能夠基于自身網(wǎng)絡(luò)架構(gòu)主動部署防御體系的先天優(yōu)勢，扭轉(zhuǎn)網(wǎng)絡(luò)威脅對抗雙方不對等的情況，真正實現(xiàn)網(wǎng)絡(luò)安全積極防御。企業(yè)基于ATT&CK威脅框架有針對性地進行安全防御部署，可提高安全防御能力，使網(wǎng)絡(luò)安全防御價值最大化。

3.2 威脅框架產(chǎn)業(yè)落地

（1）國內(nèi)產(chǎn)業(yè)落地情況

ATT&CK威脅框架為應(yīng)對日益復雜的網(wǎng)絡(luò)威脅，提供了有力的技術(shù)支撐。國內(nèi)網(wǎng)絡(luò)安全企業(yè)紛紛利用ATT&CK威脅框架來覆蓋其技術(shù)分析報告以及產(chǎn)品實現(xiàn)過程，積極推動該框架在安全產(chǎn)品側(cè)的落地。

目前主要技術(shù)報告的分析成果如下：總結(jié)出最常見的十大ATT&CK攻擊技術(shù)，即供應(yīng)鏈失陷、創(chuàng)建或更改系統(tǒng)進程、進程注入、命令和腳本解釋、系統(tǒng)憑證提取、遠程服務(wù)、利用C2通道滲漏數(shù)據(jù)、協(xié)議通道、軟件探測、執(zhí)行流劫持等；應(yīng)用ATT&CK威脅框架示意圖直觀展示攻擊組織利用哪些技戰(zhàn)術(shù)完成入侵；從攻擊戰(zhàn)術(shù)、技術(shù)、過程、標簽、分析溯源、紅藍知識庫等方面對ATT&CK威脅框架進行研究。

主要產(chǎn)品可實現(xiàn)的功能包括以下3個方面：一是將ATT&CK威脅框架應(yīng)用到終端產(chǎn)品的研發(fā)與能力驗證工作中，不僅使產(chǎn)品在威脅防御和異常事件捕獲方面的能力大幅度提升，還可以支持以ATT&CK威脅框架的形式展現(xiàn)網(wǎng)內(nèi)威脅事件，并能對事件進行關(guān)聯(lián)分析；二是結(jié)合企業(yè)自身對威脅知識、經(jīng)驗的積累，基于ATT&CK威脅框架構(gòu)建網(wǎng)絡(luò)安全知識圖譜，進行高級持續(xù)性威脅（Advanced Persistent Threat，APT）組織追蹤、內(nèi)部威脅識別、攻擊模擬及知識擴展等相關(guān)研究；三是對標ATT&CK威脅框架輸出精準的告警研判信息。

（2）國外產(chǎn)業(yè)落地情況

國外眾多領(lǐng)先的網(wǎng)絡(luò)安全公司都采用了ATT&CK威脅框架。2021年4月，MITRE公司基于ATT&CK威脅框架對29個不同網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品進行評估，但不會產(chǎn)生分數(shù)和排名。安全產(chǎn)品防御能力的評估結(jié)果，不僅取決于與ATT&CK威脅框架的映射覆蓋度，更取決于是否滿足最終用戶的關(guān)鍵需求。

除MITRE官方應(yīng)用之外，還有如下應(yīng)用方式：將端點檢測與響應(yīng)（Endpoint Detection & Response，EDR）產(chǎn)品與ATT&CK威脅框架相互映射，并利用該框架豐富其APT情報報告；應(yīng)用ATT&CK威脅框架檢測產(chǎn)品覆蓋范圍，找出產(chǎn)品能力與攻擊者應(yīng)用技術(shù)間的差距，由應(yīng)急響應(yīng)團隊縮小差距；在分析2020年12月的“太陽風”（SolarWinds）軟件供應(yīng)鏈攻擊事件中，全面采用ATT&CK威脅框架映射、分析該攻擊事件，并認為至少應(yīng)用了17種技術(shù)手段；將ATT&CK威脅框架應(yīng)用于網(wǎng)絡(luò)威脅檢測、描述攻擊者入侵目標網(wǎng)絡(luò)行為等方面，并為受害者提供預防和緩解網(wǎng)絡(luò)安全威脅的工具；開發(fā)公開的劇本查看器（Playbook Viewer），其顯示了ATT&CK威脅框架的部分入侵組織的已知入侵行為。

網(wǎng)絡(luò)安全人員是ATT&CK威脅框架實踐的主體，該框架被國內(nèi)外網(wǎng)絡(luò)安全企業(yè)廣泛應(yīng)用，一方面體現(xiàn)在網(wǎng)絡(luò)安全的研究分析過程中，另一方面體現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)實踐過程中。國內(nèi)外網(wǎng)絡(luò)安全企業(yè)將ATT&CK威脅框架作為分析高級威脅的技術(shù)表達體系和分析框架，應(yīng)用于檢測已知威脅、識別潛在威脅、干擾反制對手行為、提高入侵成本等方面，從而提升安全產(chǎn)品功能，強化用戶網(wǎng)絡(luò)安全防御能力。因此，對于網(wǎng)絡(luò)安全防御工作來說，ATT&CK威脅框架具有重要的現(xiàn)實意義。

4 結(jié)語

本文主要對ATT&CK威脅框架的發(fā)展及應(yīng)用進行梳理和分析。在網(wǎng)絡(luò)安全防御領(lǐng)域應(yīng)用ATT&CK威脅框架，一方面能夠發(fā)現(xiàn)現(xiàn)有防御能力的不足，通過評估、分析差距，指導防御能力提升；另一方面能夠通過威脅事件與威脅框架的關(guān)聯(lián)映射，幫助防御人員直觀地理解已發(fā)現(xiàn)威脅事件的戰(zhàn)術(shù)、技術(shù)或目標、行為，輔助決策，提升威脅檢測、響應(yīng)與分析處置能力。此外，國內(nèi)外眾多網(wǎng)絡(luò)安全研究人員和安全企業(yè)都紛紛采用ATT&CK威脅框架，進行技術(shù)分析研究或產(chǎn)品落地實踐，實現(xiàn)用戶網(wǎng)絡(luò)安全防御能力的持續(xù)提升。未來，隨著ATT&CK威脅框架不斷發(fā)展和完善，其將得到更加廣泛的應(yīng)用。

（原載于《保密科學技術(shù)》雜志2022年8月刊）