freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

張福:MITRE ATT&CK威脅檢測框架研究心得分享
2019-11-30 11:47:15

近期,我們邀請資深安全專家在“金融業企業安全建設實踐”微信群、實踐2群、讀者群,進行在線直播分享系列。本期我們邀請到的嘉賓是張福。如需查閱更多嘉賓分享,請關注本公眾號。

提示:本文有9433字,閱讀大概需要30分鐘。

【活動預告】MITRE ATT&CK威脅檢測框架研究心得分享

【分享嘉賓】張福

【活動時間】11月28日周四晚上20:00-21:00,60分鐘

【活動形式】嘉賓通過文字形式,在“金融業企業安全建設實踐”、實踐2群、讀者群、ATT&CK威脅檢測框架 四個微信群內就“MITRE ATT&CK威脅檢測框架研究心得分享”話題直播分享(約四十鐘),之后是互動提問和回答,約二十分鐘

請大家安排好時間,準備好問題,積極參與。

---------------------------------------------------------------

下是實錄:

大家好,我是青藤云安全的CEO張福,和大家一樣,我也是個安全技術愛好者。感謝君哥邀請,今天有幸能在這里給大家分享一下我們這段時間對MITRE ATT&CK的研究,希望能和大家多溝通交流,如果有什么沒說到的,也歡迎大家多多提問哈。

講MITRE ATT&CK之前,首先我們來談一下站在攻防角度,作為一個防守方會遇到的困難。

?

由于敵暗我明,防守方始終處于一個被動地位張福

這個情況在網絡安全中尤其普遍。在網絡安全領域,攻擊方始終擁有取之不竭、用之不盡的網絡彈藥,可以對組織機構隨意發起攻擊,而防守方則必須每次都要成功地防止攻擊者攻擊成功。

?

由于這種天生的劣勢,防守方始終會為以下問題而困擾:

1. ?? 我們的防御方案有效嗎?

2. ?? 我們能檢測到APT攻擊嗎?

3. ?? 我們收集的數據有用嗎?

4. ?? 我們的安全工具覆蓋范圍是否有重疊呢?

5. ? 這款新產品對于我們組織機構的防御有用嗎?......等等

??

因為缺乏一個明確的,可衡量,可落地的標準,所以防守方對于入侵檢測通常會陷入不可知和不確定的狀態中,從而無法有效的彌補自己的短板。

MITRE為了解決防御者面臨的困境,基于現實中發生的真實APT攻擊事件,創建了一個對抗戰術和技術知識庫,即MITRE ATT&CK框架。由于該框架內容豐富,實戰性強,最近幾年發展得炙手可熱,得到了業內的廣泛關注。

下圖顯示了Google trends 對ATT&CK框架的熱度發展趨勢:

?

1575085351_5de1e527adbf0.jpg!small

以上是背景介紹,下面我們開始今天的主要內容,分為三個部分:

  1. MITRE與ATT&CK概念介紹;

  2. ATT&CK背后的核心設計思想;

  3. ATT&CK的四大使用場景;

一、下面是第一部分:MITRE與ATT&CK概念介紹:

首先提一下MITRE是誰:MITRE是美國NIST標準化組織選擇的專注于網絡安全的組織,由美國聯邦政府資助。很多安全標準都MITRE制定的,比如有名的漏洞CVE編號規則以及威脅情報格式STIX。所以ATT&CK非常有影響力,而且未來能成為一個公認的標準,今年RSA大會上MITRE也在大力推廣這個框架。

ATT&CK是對抗戰術、技術和常識的縮寫。戰術(Tactics)代表了實施ATT&CK技術的“原因”。戰術是攻擊者執行某項行動的戰術目標。戰術提供了各項技術的環境類別,并涵蓋了攻擊者在攻擊時執行活動的標準、高級標記,例如持久化、信息發現、橫向移動、文件執行和數據泄露.

技術(Techniques)代表攻擊者通過執行動作來實現戰術目標的“方式”。例如,攻擊者可能會轉儲憑據,以便訪問網絡中的有用憑據,之后可能會使用這些憑據進行橫向移動。技術也可以表示攻擊者通過執行一個動作要獲取“內容”。這與“發現”戰術有明顯的區別,因為技術側重的是攻擊者采取特定動作是為了獲取什么類型的信息。

1575085446_5de1e58627a53.jpg!small

由于戰術代表了攻擊者的戰術目標,因此隨著時間的推移,這些戰術將會保持相對不變,因為攻擊者的目標不太可能改變。戰術將攻擊者試圖完成的任務的各方面內容與他們運行的平臺和領域結合了起來。通常,不管是在哪個平臺上,這些目標都是相似的,這就是為什么Enterprise ATT&CK戰術在Windows、MacOS和Linux系統中基本保持一致。

下面這張圖是ATT&CK里面“技術”的說明圖:

1575085476_5de1e5a4463d4.jpg!small

技術是ATT&CK的基礎,代表攻擊者進行某個動作或攻擊者通過執行某項動作而了解到的信息。每一個技術都包括唯一的名稱、分類、檢測方式、緩解方式、詳細信息等。

那么ATT&CK和KillChain是什么關系呢?在早期,ATT&CK模型是在洛克希德-馬丁公司提出的Kill Chain模型的基礎上,構建了一套更細粒度、更易共享的知識模型和框架。

如下圖所示,2014年ATT&CK只有8個戰術,基本上和Kill Chain的7個步驟相一致。

1575085513_5de1e5c94e5e5.jpg!small

現在經過幾年的發展,整個矩陣內容變得豐富,被拆分為PRE-ATT&CK和ATT&CK forEnterprise,其中PRE-ATT&CK覆蓋了KillChain模型的前兩個階段,包含了與攻擊者嘗試利用特定目標網絡或系統漏洞進行相關操作有關的戰術和技術。ATT&CKfor Enterprise覆蓋了Kill Chain的后五個階段。

1575085535_5de1e5dfb9d12.png!small

但是,ATT&CK的戰術跟洛克希德-馬丁的網絡殺傷鏈不一樣,并沒有遵循任何線性順序。相反,攻擊者可以隨意切換戰術來實現最終目標。沒有一種戰術比其它戰術更重要。組織機構必須對當前覆蓋范圍進行分析,評估組織面臨的風險,并采用適當措施來減小差距。

另外,除了在Kill Chain戰術的基礎上更加細化之外,ATT&CK還描述了可以在每個階段使用的技術,而Kill Chain則沒有這些內容。

二、下面是第二部分:ATT&CK背后的核心設計思想。

ATT&CK背后的設計思想是十分明確的,主要有三個核心思想。

1、始終從攻擊角度看待問題,保持攻擊者的視角。

2、不斷進行實踐證明,通過跟蹤APT活動來更新技術。

3、進行抽象提煉,通過抽象提煉,將進攻行動與防御對策聯系起來。

張福

我們先說說第1個設計思想:用攻擊的視角看問題:

ATT&CK在其術語以及模型中介紹的戰術和技術是從攻擊者的視角出發的。相比之下,許多安全模型從防御者的視角自上而下地介紹安全目標(例如CIA模型),有的則側重于漏洞評級(例如CVSS),有的則主要考慮風險計算(例如DREAD)。

ATT&CK使用攻擊者的視角,比從純粹的防御角度更容易理解攻擊者的行動和潛在對策。對于檢測,其它防御模型會向防御者顯示警報,而不提供引起警報的事件的任何上下文,因此無法很好的理解攻擊者的意圖

第2個設計思想:不斷地通過追蹤真實的APT攻擊,來獲得最新的技術:

由于對真實的APT攻擊進行了追蹤和分析,提煉出了技術點,因此,能夠準確地描述正在發生或可能發生的在野攻擊。

通過繼續不斷地積累ATT&CK知識庫,使得該模型是基于可能遇到的實際威脅來完善進化的,有很大的實用價值而不是理論價值。

第3個設計思想:通過“適當”的抽象,可以將進攻和防御聯系起來:

ATT&CK框架對相關的對抗戰術和技術進行抽象提煉是ATT&CK與其它類型威脅模型之間的重要區別所在。各種針對攻擊者生命周期的高級抽象模型,例如Cyber Kill Chain、Microsoft STRIDE等,對于理解高級過程和攻擊者目標很有用。但是,這些模型不能有效地傳達攻擊者要采取哪些動作、一個動作與另一個動作之間的關系、動作序列與攻擊者戰術目標的關系、以及這些動作與數據源、防御措施、配置和其它用于平臺與域安全的應對措施之間的關系。

ATT&CK技術的抽象提煉的價值在于:

  1. 通過抽象提煉,形成一個通用分類法,讓攻擊者和防御者都可以理解單項對抗行為及其目標。

  2. 通過抽象提煉,完成了適當的分類,將攻擊者的行為和具體的防御方式聯系起來。

本質上是通過“適當”的抽象,既不很模糊,也不是太具體。

適度的抽象,給攻擊和防御之間建立起了一個標準化的“語言”,能夠讓攻防雙方站在同一語境下對話。張福

三、最后說一下ATT&CK的實際使用場景,主要有以下四個用途;

1、威脅情報:使用ATT&CK框架來識別攻擊組織;

2、模擬攻擊:基于ATT&CK進行紅藍攻防演練;

3、檢測分析:基于具體的”技術“,有效增強檢測能力;

4、評估改進:將解決方案映射到ATT&CK威脅模型,發現并彌補差距。

網絡威脅情報(CTI)的價值在于了解攻擊者的行為,并用這些信息來改善決策。對于希望開始使用ATT&CK框架來收集威脅情報的小型組織機構,可以先從一個威脅組織著手,并按照框架中的結構檢查其行為。

這樣能通過攻擊組織使用的技術和行為,來定位攻擊組織。另外也可以隨著時間的推移,來分析同一個攻擊組織的技術變化。

模擬攻擊:使用ATT&CK來組織紅隊計劃開展一系列基于威脅的安全測試,模擬真實攻擊者的技術,關注技術行為,即便沒有紅隊,防御者可以先使用紅隊工具來嘗試,并使用ATT&CK打造一支成熟的紅隊。

讓企業的團隊選擇不同的ATT&CK技術,討論如何使用不同步驟來執行攻擊行為,邀請威脅情報分析人員談談攻擊者是如何使用的,將ATT&CK作為通用語言與藍隊溝通,讓紅隊主動模擬ATT&CK技術,制定自己的攻擊者模擬計劃。

這和一般的滲透測試有什么不同呢?主要在于可以模擬多個組織的攻擊,而非單一組織的。

?檢測分析:檢測分析可以用CAR(Cyber Analytics Repository)安全分析庫項目舉例。主要是針對ATT&CK的威脅檢測和追蹤。這個項目主要基于四點考慮:根據ATT&CK模型確認攻擊優先級;確認實際分析方法;根據攻擊者行為確認要收集的數據;確認數據收集主體sensor的數據收集能力。后面三個方面與的Analytics、Data Model、Sensor相對應。這個分析庫是由對每一項攻擊技術的具體分析構成的。

大家可以看看這張圖,顯示了哪些數據源可以用來檢測哪些攻擊技術:

1575085570_5de1e6022d31c.png!small

示意圖

評估改進:首先進行差距分析,弄清楚“我們現在在哪兒”,ATT&CK有助于企業確定自身在人員、流程和技術方面的差距,根據可見性來決定你要收集(和購買)哪些內容:你的差距在哪里?你還可以選擇其它哪些工具?這些工具會幫助你建立更有效的防御措施嗎?幫助企業拓寬安全視野,不僅僅是局限于檢測;加強認識,了解可能需要承受哪些方面的風險;哪些內容是你無法檢測或緩解,檢查你的安全預算與計劃,實現資源的優化利用。

之前企業做差距分析,是做自身安全狀況的差距分析,分析后的內容主要用于指導安全體系的建設。但是并無法很明確的了解自身防御和檢測能力的差距,ATT&CK可以在檢測覆蓋度上(明確分析出哪些攻擊技術在目前的安全體系里無法覆蓋),以及檢測深度上(比如留后門一共有哪些姿勢)提供一個清晰的差距分析,指導企業加強入侵檢測能力.

今天的分享就到這里,因為ATT&CK是一個非常龐大的框架,所以無法在這么短時間內說的足夠透徹,時間也沒控制好,在這里向大家致歉。

解答環節(A-->張福)

請問一下,業內有哪些甲方在用這個落地的么?有沒有一些具體的實踐可以參考

A:我們之后會出一個ATT&CK的使用手冊,有需要的同學可以找我們要一本,另外關于ATT&CK的更多實戰指南,可以參考:ATT&CK 實戰指南

ATT&CK是非常具體可以落地的,比如里面一個留后門的方式,大家可以試試;

把cmd.exe拷貝為C:\Program.exe

你們以后會有各種驚喜

Q:1、攻擊者計劃性的執行轉儲憑據的動作,對防守方如何能有效或及時發現?憑據如何保護才能真正有效?

A:可以的,每種組織使用的技巧都不一樣,連起來就是個類似DNA的東西;

2、針對DLL劫持利?搜索順序來加載惡意DLL以代替合法DLL,如何避免被惡意加載而導致被持久化攻擊?

A:這個ATT&CK里有檢測方法的,判斷同一進程是否有同名的dll,很有效。

Q:如果說是指導理論,與原來的滲透測試指導區別在哪里呢?

A:我們現在正在對每種ATT&CK的攻擊技術進行還原實現,寫出測試工具和檢測工具,回頭也可以提供給大家試試。

Q:印象中ATT&CK也有一些詳細程度不高的TTPs,比如 面向公網的服務被利用 。。針對這種比較粗的TTPs,有什么解讀或者應對么?

A:有的,需要梳理具體的UseCase,就是挨個整理,工作量巨大。我們現在正在逐步復現技術和寫檢測規則,目前每周都會進展一部分。

這也是深度問題,比如Webshell在ATT&CK里就是一個技術,但是其實有很多UseCase,每種代表了一種Webshell姿勢。

Q:甲方如何應用呢?

Q:手冊里面會有這種整理的案例嘛?

A:手冊里會有案例

Q:比如檢測webshell,能檢測1個,也能號稱覆蓋了這一個技術,但是其實我們期望是能檢測出大多數webshell,才算是覆蓋了。這樣對ATT&CK的覆蓋率,如何評價???

A:這個我們會給UseCase,比如給出50種不同技巧的,可以測試覆蓋率,我們對UseCase的梳理也只是一部分,最好能大家一起來。

甲方其實很好弄,有soc的可以定制一個ATT&CK的圖,然后把自己能覆蓋的標注在上面。然后用具體的UseCase跑自動化測試,就能知道自己買的產品能覆蓋哪些姿勢,不能覆蓋哪些。

Q:但是這只是針對1個點,如果ATT&CK的200多個點,都要這種邏輯去梳理,匯總總的覆蓋率,有什么好的實踐思路不?

A:這個我想可以建立一個開源項目,大家一起來補充Case。

Q:200多個點應該也有分輕重緩急的吧,這個你們先聚焦哪些點,有什么邏輯思考么?理由是什么啊,背后是怎么思考的。

A:聚焦第2~4個階段,把威脅發現在早期...

Q:1、市場上很多EDR產品其實都聲稱有 xx%的覆蓋度。但是似乎都沒談深度,而且聚焦的是客戶端的層面。

2、還有HIDS似乎比較少拿這個ATT&CK來做覆蓋率的描述的(我理解很多TTPs其實是聚焦在PC端為主),張總對這個現象有什么解讀么?

A:不是,有點回答不過來了,抱歉有點慢。

現在的EDR對ATT&CK的覆蓋能力都很弱,所以不會主動提...甲方可以拿這個來選產品...

Q:市場上似乎有一些產品已經聲稱60%甚至80%的覆蓋率了。。。(不談深度我也不敢信)

A:ATT&CK的廣度問題目前已經基本解決了,往后發展就是不斷增加深度,不是一個測試用例就算覆蓋一個指標了,而是一組測試用例可以驗證一個指標的深度。

Q:1、ATT&CK是不是很依賴威脅情報?感覺這種情報和傳統的還不太一樣,更需要對很多攻擊手法apt研究,單一組織很難覆蓋。

2、如果要做到高準確率,那勢必要匹配攻擊者的戰術目標,需要觸發一些特殊行為如持久化 提權,到這個階段也不算“盡早發現威脅”,那怎么對比優劣于現有的防御模型呢?

A:ATT&CK帶來的最大好處就是標準化、透明化了。讓你比較清晰的知道自己哪里做的還行,哪里缺口很大。

其他群友補充:ATT&CK都覆蓋了并不能說明反入侵做的就一定好,還是要看場景的深度,能不能發現關鍵動作的攻擊行為。因為ATT&CK里有很多動作是在APT里使用的(以前被使用)不一定適合企業場景

A:之前的入侵檢測,沒有標準,只能憑感覺。

Q:以絕大多數公司的現狀,我覺得不太可能“都覆蓋”。還是那個問題,知道有哪些甲方在實踐,而且實踐得比較好的么。。?(群友補充:頭部甲方實踐了,估計也不說)

A:這是個非常先進的框架,目前國內估計還沒有企業落地,但是我估計明年頭部企業有一部分會應用這個框架……大家有興趣可以一起來實踐實踐,我們可以提供我們的研究成果。

Q:我們在努力,不過目前感覺還不是很成功。沒有給出太實際的幫助(不是說這個框架不行,而是說我們建設階段還沒到)

A:我們弄到一個階段了之后你們可以試試,我覺得可以落地。

---------------------------------------------------------------

討論環節

討論環節很多群友貢獻了精彩的發言(比如董靖,還有其他未具名群友^_^)

我嘗試回答一下之前群友問的關于怎么確定優先級的問題。我在前司曾經將已檢測或者已處理的真實安全事件或者威脅與att&ck做映射和對照最后形成一個自己企業威脅最大的ttp**,根據這個來優先設計和優化檢測系統來針對此類ttps。

相當于優先解決歷史已暴露問題涉及的TTPs,潛臺詞是,歷史已暴露問題的TTPs的建設其實挺花時間的,很多人歷史已知問題可能還沒能完全閉環。。。

是的。已暴露的問題的發現有的時候是很偶然的,發現一次也不代表你能一直發現,怎么優化檢測率和準確度就是深度問題了。

那就回到了那個問題,大多數人其實是并不知道自己被黑的

問題不是很大,先把已經看見的被黑的解決了也不容易的。

聽上去是一場攻擊者和防御者似乎在玩一個躲貓貓的對坑游戲,框架更像一場紅藍對抗教練模型,再次感謝CEO分享。

att&ck要做好,對基礎設施建設、數據采集建設要求極高。日志采集的:完整性、實時性、數據質量。

最重要的,現狀是現在很多企業,edr和邊界防護都沒做好。攻方在每個階段雖然有很多手段,但只要有兩三個落入att&ck已實施檢測,就會前功盡棄。

我個人一直是把att&ck當做進攻手段的大盤的參考資料。因為我們一直很難解釋一個問題:我們的入侵檢測做到了什么程度。談策略覆蓋度的時候,我們其實是缺少一個黑客攻擊手法的大盤的(沒有分母,沒辦法談分子),這個東西是在試圖貢獻一個分母。

有了分母(雖然短期內某些精度和深度還不是很具體),至少我們有了共同參考的東西。

進攻和防守方,都可以拿它做一個比較。

當然我知道肯定有很多的進攻手段并不在這個表格里體現,但是未來可以往里面加(具體的use case),也不是每一個格子都需要防守好(理論上一次完整的進攻,可能觸及多個TTPs,任何1個環節的有效運營都可能阻斷這次進攻)。拿它來作為大盤的指導,有助于統一管理語言。

分子+1,有2個算法:

1、這個領域有任意能力就算+1 (參考意義不大,但是有時候有用)

2、這個領域有可運營標準的能力才算 +1

其實想說針對這些策略,加以小小變形,即使采集的數量夠全面,不了解攻擊側的完整手段,依然可以繞過。

所以“可運營”的標準其實不容易達到的,以“可運營”作為及格線來評價的話。。。在很多地方我們都自慚形穢。

1. 加固和檢測都重要,只不過加固解決了90%的攻擊面,依然要對剩下的10%基于失限假設做檢測;

2. 檢測是響應的前提,沒有檢測可能不會啟動響應,正確的響應也是重要的工作,那也是一個獨立的話題。

針對上面的例子,改密碼不是一個完整的響應動作。因為除了止損,沒有追溯,定損,沒有找到黑客入口,沒有清理出去……只不過這個話題叫做正確的響應。正確的應急響應還肩負著舉一反三,暴露問題的重任。

其實……奔著檢測的目的去積累數據,檢測不檢測的出來,可能不一定,但是溯源的時候,有了豐富的數據源,還是極大的增加了溯源的成功率的。而有了溯源的成功率,對攻擊對手而言,已經有了很強的震懾力。

你的經歷中能成功溯源并分析得一清二楚的概率有多少?

APT能被溯源的不多,特別在國內。哪怕當時沒發現,如果是國內的**,他們做的動作,最后能被還原得差不多,也是很有用的。我承認多數人因為數據質量和運營的不足,溯源成功率其實很低,甚至很多公司歷史上的bad case記錄都很草率,壓根沒仔細描述對手的整個路徑,但是,我們這兩年的努力,還是提升了不少這方面的能力的,挨打完了,相對能說得清對方的鏈路……

很多時候的apt報告其實算不上apt,路徑還是可以被說得清楚的,以多數人運營程度之差,攻擊方都懶得隱藏自己……

所謂的溯源是找到你的ip,姓名,電話,郵箱,支付寶賬號,QQ賬號嗎?還是已經能定位你的照片、***號這個程度?

不是這個。我的語境下,是指黑客怎么進來的,進來之后做了什么,誰做的大部分時候沒有那么重要。一句題外話,國內很多威脅情報倒是很樂意做誰干的這件事。

這個一般太難了,只能從日志當中猜測攻擊路徑,利用攻擊者的思維去還原攻擊鏈。

以真實的防御風險來衡量,國內基本上沒有太多的公司有及格能力吧。

如果奔著檢測的目標去,即便沒告警,由于日志先運營起來了,起碼不至于沒數據。

沒日志或者日志刪除,那查起來真是大海撈針。

討論檢測,實在是因為檢測的成本和難度太高了,大家一直沒法在資源不足的前提下做好這件事,一直期待一個銀彈出來??傋霾缓?,又有需求,自然要多討論。反倒是應急響應,肯招人,一般還是能自給自足的。

檢測涉及到的是所有環節的日志采集,多數場景的策略覆蓋,每個告警的合理閉環,加在一起,才等于有效的運營。這件事太昂貴了。

個人感覺防御類產品其實是走量最多的,比如防火墻,waf,vpn……反倒是檢測類的產品,賣的不太好,買了也檢測不出來。你買個hids,結果pc被黑了,郵箱被黑了,買個edr,結果api被黑了,買個apis,結果告警沒人看……

那些都不是正確而且完整的姿勢,錯誤的姿勢之所以存在,本質上還是安全工程師招的不夠多不夠專業……

換個角度看看,為什么會有這樣的感覺?因為“安全成熟度”在變化,防御永遠是最開始時候優先建設的能力,然后重心從防御走向檢測,再從檢測走向回溯分析,最后走向預測。國內客戶過去這么多年都在建設防御能力,現在只是開始往第二個階段走而已。這個循環是個螺旋的,循環往復,但是這個循環周期很長。

再強的檢測能力,告警沒人看,誤報沒人運營,都成了擺設。

小戶人家買防盜門,中產階級買防盜門和監控攝像頭,富豪才請保安。

旁路,我們也叫熔斷降級,不影響業務,其實是很重要的一個點,

你攔截正確幾億次,沒人記你的功勞。因為這是你的功能,

一次誤攔截,這個產品的信任就沒了。

多少公司因為安全產品誤傷業務而從此不讓這個安全產品再上線的,

從此以后,這個公司再也沒有這個安全能力了,

就沒見過幾個公司敢把IPS的P打開的,都當IDS在用。

一般搞安全的都是“興趣使然的英雄”,不然誰搞啊。

與其如此,不如積極主動旁路,熔斷降級,寧可沒有這一刻的安全能力,也要保證大部分的安全能力。waf開攔截就是最典型的場景。小公司對這個東西特別看重。但是大公司而言,我有漏洞,應該修漏洞,我沒漏洞,請求到后端無非多一個無效請求而已。

打補丁真的會有影響可用性的,補丁管理算是變更管理的一個具體應用,還蠻有挑戰的。它考驗的不僅僅是安裝補丁這個動作。很多安全產品的確有影響的嫌疑,所以做數據安全的時候,只把日志拿過來在后臺分析,誤報了我們不去騷擾用戶,實錘了抓人,這就對可用性和效率毫無形象,這也是最容易見效果的安全……

基礎動作不難理解,卻沒做好,還老想著銀彈,這是行業一個大特色……

判斷哪些日志需要收集 哪些需要優先收集這類老生常談的問題 att&ck也給了相應的指導。我個人覺得與其討論它的好壞優劣 比如動手實踐,用過了才知道好不好,適不適合,光說不干 或者說明各種困難其實最后還是一點改進都沒有,所謂基礎能力就看你愿不愿意選擇一個可行的方案實行下去,遇到問題解決問題,往往最后出結果的都是第一個敢于吃螃蟹的人,旁邊討論的人也只能口嗨。

董靖:繞過單一ttp檢測和繞過整體att&ck框架是完全不同的,這是個常見誤區。串聯系統的可靠性的概率計算大家都知道,一次成功的紅隊行動往往至少需要幾十個環節,如果每個環節有2%的概率被檢出,那每個環節的可靠性98%。10個步驟之后,可靠性降為81.7%,意味著有19.3%的概率被檢出,20個步驟之后,可靠性降為66.7%,有33.3%會失敗。即使中間存在幾個環節能100%繞過,并不會顯著提高行動成功的概率,att&ck的作用就是提高每個環節的檢出概率,并不需要全覆蓋。

只要堅持提高每個環節的檢出率,就能大幅降低紅隊行動的成功概率。

假設檢出率提高到5%,20個環節后,可靠性概率降低到35.8%,64.2%的概率紅隊會失敗。同樣地,即使中間存在幾個環節能100%繞過,并不會顯著提高行動成功的概率?,F在很多組織面臨的防御困境,其實從att&ck角度來看,很多步驟基本上接近于零覆蓋。


這說明了單點檢測和系統性檢測的巨大區別。

最后放一下董靖的總結:

系統性地改變攻防成本,大幅增加了攻擊成本,是ATT&CK最有價值的成功之處。


董靖


——————————————————————————————————————————————————

利用工作生活之余的閑暇時間,我維護了“君哥的體歷”公眾號和“金融業企業安全建設”微信群(有興趣加入的企業安全負責人,請關注微信公眾號“君哥的體歷”,后臺留言,微信號+公司名稱,驗證身份后入群),將我從業十余年的一些體驗和經歷分享出來,純粹是自己人生迷??床磺宸较驎r的一種堅持,堅持沉淀分享,哪怕不知目標在何方。這過程中,會有欣賞、感謝,也會有抱怨、想法……?

這種分享,我理解為也是一種“開源”精神,代碼和項目開源很常見,體驗和經歷開源不多見,尤其是比較體系化的將如何在企業做安全建設的思路和實踐開源,需要自己靜下心來歸納總結提煉,在平常繁重的工作任務和需要全身心投入陪伴倆娃的同時,要做好“企業安全建設”這個開源項目,難度和挑戰更大。過程中,有西湖愜意的微風,也有沙漠般的烈日當頭。不忘初心,方得始終。初心易得,始終難守。

微信識別下面二維碼,和我交流

微信.JPG

贊賞是認同或肯定,更是鼓勵更多原創分享

微信識別贊賞碼

贊賞碼.JPG

本文作者:, 轉載請注明來自FreeBuf.COM

# 企業安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网