Auslegung des ATT&CK-Rahmens für die Gegenüberstellung von Angriff und Verteidigung im Bereich der Netzsicherheit

Die Konfrontation von Rot und Blau ist ein wichtiges Mittel zum Angriff und zur Förderung der Verteidigung. Der Schlüssel liegt in der realen Netzwerkumgebung, wobei die Perspektive des Angreifers eingenommen wird, um die Bedrohungsfaktoren zu entdecken, um so die Fähigkeit zum Schutz der Sicherheit zu verbessern und den Aufbau der Unternehmenssicherheit zu unterstützen.

ATT&CK, ein von der MITRE-Organisation entwickeltes Angriffsmodell, ist eine Sammlung realer Angriffsvektoren, die auf realen Beobachtungen beruhen und zahlreiche öffentlich gemeldete Bedrohungsorganisationen sowie die von ihnen verwendeten Tools und Angriffstechniken enthält und als gute Referenz und Lernhilfe für Red-Blue Confrontation verwendet werden kann. Daher wird die Lernstudie von ATT&CK als Eröffnung der Red-Blue Confrontation Artikelserie verwendet.

Was ist ATT&CK?

ATT&CK, mit vollem Namen Adversarial Tactics, Techniques, and Common Knowledge, erstmals 2013 von der MITRE Corporation vorgeschlagen, ist eine Wissensbasis und ein Modell zur Beschreibung von Angriffsverhalten.

Wichtige Dimensionen von ATT&CK

ATT&CK enthält mehrere wichtige Dimensionen, die zusammen den ATT&CK-Rahmen bilden.
  • Matrix: Die Matrix ist das Makromodell des ATT&CK-Rahmens.
  • Taktik: Die Taktik gibt das Ziel des Angriffs des Angreifers an.
  • Techniken: Angriffstechniken sind die Techniken, mit denen das Ziel des Angriffs erreicht werden soll.
  • Verfahren: Ein Angriffsprozess bezieht sich auf ein reales Beispiel eines Angreifers, der eine bestimmte Angriffstechnik anwendet.
  • Abhilfemaßnahmen: Abhilfemaßnahmen beziehen sich auf die Abhilfemaßnahmen, die Organisationen als Reaktion auf verschiedene Angriffstechniken einsetzen können.

Die wichtigsten Beziehungen für jede Dimension sind nachstehend aufgeführt:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

 

Was genau ist ATT&CK?

Im Gegensatz zu Cyber Kill Chain folgt ATT&CK nicht genau der linearen Beziehung der Angriffskette, sondern demonstriert die Angriffstechniken des Angreifers und die entsprechenden Abhilfemaßnahmen, Überwachungsmittel und den Rahmen realer Fälle, wobei versucht wird, der linearen Beziehung so weit wie möglich zu folgen.

Der ATT&CK-Rahmen ist in drei Hauptkategorien von Matrizen unterteilt:

  • ATT&CK für Unternehmen Angriffskette für Unternehmen
  • ATT&CK für mobile Angriffsketten für mobile Plattformen
  • ATT&CK für industrielle Steuerungssysteme Angriffskette für industrielle Steuerungssysteme

Enterprise Matrix enthält beispielsweise Angriffsketten für Plattformen wie PRE (Angriffsvorbereitung) und Linux usw. ATT&CK unterteilt die gesamte Angriffsphase in 14 Taktiken, von denen PRE die Aufklärung, die Entwicklung von Ressourcen und die anderen Plattformen Folgendes umfassen Anfänglicher Zugriff, Ausführung, Persistenz, Privilegieneskalation, Umgehung der Verteidigung, Entdeckung, seitliche Bewegung. Bewegung, Sammlung, Kommando und Kontrolle, Exfiltration, Auswirkung.

Ein Beispiel für ein Unternehmensmatrixdiagramm ist unten abgebildet:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

In der obigen Tabelle sind 14 Taktiken aufgeführt, wobei jede Taktik mehrere Angriffstechniken enthält. Die Taktik des Erstzugriffs enthält zum Beispiel neun Angriffstechniken: Drive-by-Compromise, Exploit Public-Facing Application, External Remote Services, Hardware-Additionen, Phishing, Replikation über Wechselmedien, Kompromittierung der Lieferkette, vertrauenswürdige Beziehung, gültige Konten und andere Angriffe. Vertrauenswürdige Beziehung, gültige Konten, wie unten dargestellt:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

 

ATT&CK Anwendungsszenarien

Wie kann uns ATT&CK als Rahmenwerk für die Angriffsmodellierung helfen? In welchen Szenarien kann ATT&CK eingesetzt werden?

Offizieller Leitfaden für Bewerbungsszenarien

Auf der offiziellen ATT&CK-Website werden vier Kategorien von allgemeinen Nutzungsszenarien beschrieben:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

 

  • Erkennungen und Analysen

ATT&CK kann Netzverteidigern helfen, Erkennungsverfahren zu entwickeln, um die von Angreifern verwendeten Techniken rechtzeitig zu identifizieren.

  • Intelligente Bedrohung

ATT&CK bietet Sicherheitsanalysten eine gemeinsame Sprache für die Organisation, den Vergleich und die Analyse von Bedrohungsdaten, und die ATT&CK-Gruppen vermitteln ein besseres Bild der Angriffsmerkmale von Bedrohungsorganisationen.

ATT&CK bietet eine gemeinsame Sprache und einen gemeinsamen Rahmen, den die Blues (im Ausland oft als Reds anstelle von Strike Teams bezeichnet) nutzen können, um Angriffspläne zu entwickeln und bedrohungsspezifische Angriffe zu simulieren.

  • Bewertung und Technik

ATT&CK kann verwendet werden, um die Verteidigungsmaßnahmen Ihres Unternehmens zu bewerten und die Verteidigungsarchitektur zu bestimmen, z. B. welche Tools oder Protokolle Sie implementieren sollten.

ATT&CK bietet eine Menge Referenzwissen für die vier oben genannten Anwendungsszenarien, wobei jedes Anwendungsszenario separat mit drei verschiedenen Stufen von Sicherheitsfähigkeiten weiter ausgearbeitet wird. Wir nehmen Adversary Emulation und Red Teaming als Beispiel, um die Hauptanwendungen von ATT&CK in der Red and Blue Confrontation vorzustellen.

In Getting Started with ATT&CK: Adversary Emulation and Red Teaming (Erste Schritte mit ATT&CK: Emulation von Angreifern und Red Teaming) gibt es 3 verschiedene Stufen, die von den Sicherheitsfähigkeiten des Unternehmens abhängen:

Stufe 1: Sicherheitsteams, die gerade erst anfangen und nicht über viele Ressourcen verfügen.

Stufe 2: Relativ ausgereiftes Sicherheitsteam der mittleren Ebene

Stufe 3: Organisationen mit fortgeschrittenen Sicherheitsteams und -ressourcen

Für Organisationen der Stufe 1.Ohne die Hilfe des Blues bei der Identifizierung der Bedrohung ist es immer noch möglich, einen Angriff mit einigen einfachen Tests zu simulieren. Die Autoren empfehlen Atomic Red Team, das einfache "Atomtests" durchführt, um relevante Verteidigungskomponenten zu testen, die auf ATT&CK abgebildet sind. z.B. Network Zum Beispiel kann Network Share Discovery (T1135) mit T1135 getestet werden:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

Wie in der obigen Abbildung dargestellt, können wir die entsprechenden Testbefehle in der entsprechenden Plattform ausführen, um festzustellen, ob unser Verteidigungssystem auf die Alarmaufforderungen reagiert und ob wir eine bestimmte Optimierung der Verteidigung vornehmen können. Anschließend können wir das System weiter ausbauen und verbessern, wie im folgenden Zyklus dargestellt:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

Für Organisationen der Ebene 2.Wir verwenden zum Beispiel das Penetrationstool Cobalt Strike, um Angriffe zu simulieren. Die verschiedenen Angriffstechniken, die es abdeckt, können schließlich auf das ATT&CK-Framework abgebildet werden, wie in der folgenden Abbildung dargestellt:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

Für Organisationen der Stufe 3Wenn die Rote Armee, eine starke Blaue Armee oder sogar ein eigener Nachrichtendienst für Bedrohungen bereits vorhanden ist, kann die Blaue Armee die Nachrichtendienste für Bedrohungen nutzen, um Bedrohungsorganisationen mit spezifischen Zielen auszuwählen, um einen Angriff zu simulieren, um einen "vollständigen Test" durchzuführen.

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

 

  • Sammeln von Bedrohungsinformationen: Sammeln von Bedrohungsinformationen und Auswahl bestimmter Gegner
  • Extrahieren von Techniken: Zuordnung von Bedrohungsorganisationen und Blue Force-Angriffstechniken zu ATT&CK
  • Analysieren und organisieren: Analyse des Angriffsplans der Organisation

Zum Beispiel die Entwicklung eines simulierten Angriffsplans gegen eine APT3-Bedrohungsorganisation:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

  • Entwicklung von Instrumenten und Verfahren: Entwicklung von Angriffsinstrumenten und -verfahren
  • Emulation des Gegners: Die Blue Force beginnt mit der Durchführung simulierter Angriffe gemäß dem Plan

Beispiele für gute Anwendungsszenarien

Zusätzlich zu den verschiedenen offiziell empfohlenen Anwendungsszenarien gibt es in der Branche einige ausgezeichnete ATT&CK-Praktiken.

ATT&CK als Lehrkraft einsetzen

Travis Smith von MITRE ATT&CKcon organisierte die ATT&CK-Matrix nach dem Schwierigkeitsgrad des Exploits und verwendete verschiedene Farben, um sie zu kennzeichnen, was der Autor als "ATT&CK-Regenbogentabelle" bezeichnete, wie in der folgenden Abbildung dargestellt:

 

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

 

  • Blau: Die Technik ist kein wirklicher Exploit, sondern wird durch die Verwendung anderer gängiger Funktionen wie der Netzansicht erreicht
  • Grün: einfach zu verwendende Technologie, die keine POC, Skripte oder andere Tools wie gültige Zugangsdaten erfordert
  • Gelb: erfordert in der Regel eine Art Tool oder POC, z. B. Metasploit
  • Orange: erfordert ein unterschiedliches Maß an Infrastruktur zur Durchführung oder Untersuchung, und diese Technologien können von sehr einfach bis sehr komplex reichen, was die Autoren in "orangefarbene Stufen", wie z. B. Webshell, zusammengefasst haben.
  • Rot: bezieht sich auf fortgeschrittenere oder zugrunde liegende Techniken, die ein tiefes Verständnis des Betriebssystems oder der DLL/EXE/ELF usw. erfordern, wie z. B. die Prozessinjektion.
  • Lila: Die Autoren haben später eine höherstufige Technik aktualisiert, und in Verbindung mit der ATT&CK-Regenbogentabelle verstehe ich, dass sie eine höhere Angriffsschwelle erfordert oder eine Angriffstechnik mit einer niedrigeren Erfolgsquote verwendet.

An dieser Stelle kann die ATT&CK-Regenbogentabelle, einschließlich der ATT&CK-Matrix selbst, als Studienleitfaden für Einzelpersonen oder Teams verwendet werden, z. B. aus welcher Perspektive sollte man bei der Untersuchung seitlicher Penetrationen beginnen? Was sind ihre Erkennungs- und Abhilfemaßnahmen? Können sie umgangen werden? ATT&CK wäre eine sehr gute Referenz.

Feinkörnige Interpretation eines bestimmten Systemrahmens

ATT&CK bietet eine besser integrierte Analyse des Gesamtrisikos des Netzwerks, aber die Analyse für einige spezifische Systeme und Plattformen ist etwas weniger granular. AliCloud Security hat auf der Grundlage von ATT&CK eine detailliertere Angriffstopologie für den spezifischen Rahmen von Containern in der Cloud erstellt, wie in der Abbildung unten dargestellt:

Eine Einführung und Erläuterung des ATT&CK-Rahmens für die rot-blaue Konfrontation

Auch wenn die gemeinsame Sprache von ATT&CK nicht strikt eingehalten wird, erleichtert eine detailliertere Darstellung der im Rahmen der einzelnen Taktiken verwendeten Techniken die Anleitung der Blauen bei der Durchführung ihrer Angriffe. Was die Verwendung der gemeinsamen Sprache anbelangt, so ist es nicht schwierig, innerhalb des Unternehmens oder sogar innerhalb des Landes ein gemeinsames Verständnis von Rot und Blau zu erreichen.

Daher kann die grundlegende Abbildung von ATT&CK auch für spezifische System-Frameworks wie Cloud-Container, Private Clouds, Public Clouds, Big-Data-Plattformen usw. mit Bezug auf diesen Ansatz vervollständigt werden.

Zusammenfassungen

Als hervorragendes Angriffsmodell bietet ATT&CK eine relativ perfekte Angriffsmatrix, die sowohl für den Angriff als auch für die Verteidigung einen guten Leitfaden darstellt. Wir können die technische Sammlung von ATT&CK weiter verfeinern, um die Fähigkeit der roten und blauen Konfrontation zu verbessern, und ATT&CK auch auf verschiedene Szenarien und Rahmenbedingungen innerhalb des Unternehmens entsprechend den lokalen Bedingungen abstimmen.

 

Referenzlink

https://attack.mitre.org/

https://mitre-attack.github.io/attack-navigator/

https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3

https://github.com/redcanaryco/atomic-red-team

https://github.com/TravisFSmith/mitre_attack

https://zhishihezi.net/

https://www.tripwire.com/state-of-security/mitre-framework/using-angreifen.-Lehrer/

https://www.freebuf.com/articles/blockchain-articles/251496.html

https://www.freebuf.com/articles/network/254613.html

https://www.freebuf.com/articles/container/240139.html

http://vulhub.org.cn/attack

Quelle: OPPO

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/der-attck-rahmen-fur-angriff-und-verteidigung-der-cybersicherheit-html

Wie (0)
Vorherige Freitag, 7. Februar 2022 8:05 Uhr
Weiter Freitag, 5. März 2022 3:10 Uhr

Empfohlen