Was ist ATT&CK?
Wichtige Dimensionen von ATT&CK
- Matrix: Die Matrix ist das Makromodell des ATT&CK-Rahmens.
- Taktik: Die Taktik gibt das Ziel des Angriffs des Angreifers an.
- Techniken: Angriffstechniken sind die Techniken, mit denen das Ziel des Angriffs erreicht werden soll.
- Verfahren: Ein Angriffsprozess bezieht sich auf ein reales Beispiel eines Angreifers, der eine bestimmte Angriffstechnik anwendet.
- Abhilfemaßnahmen: Abhilfemaßnahmen beziehen sich auf die Abhilfemaßnahmen, die Organisationen als Reaktion auf verschiedene Angriffstechniken einsetzen können.
Die wichtigsten Beziehungen für jede Dimension sind nachstehend aufgeführt:
Was genau ist ATT&CK?
Der ATT&CK-Rahmen ist in drei Hauptkategorien von Matrizen unterteilt:
- ATT&CK für Unternehmen Angriffskette für Unternehmen
- ATT&CK für mobile Angriffsketten für mobile Plattformen
- ATT&CK für industrielle Steuerungssysteme Angriffskette für industrielle Steuerungssysteme
Enterprise Matrix enthält beispielsweise Angriffsketten für Plattformen wie PRE (Angriffsvorbereitung) und Linux usw. ATT&CK unterteilt die gesamte Angriffsphase in 14 Taktiken, von denen PRE die Aufklärung, die Entwicklung von Ressourcen und die anderen Plattformen Folgendes umfassen Anfänglicher Zugriff, Ausführung, Persistenz, Privilegieneskalation, Umgehung der Verteidigung, Entdeckung, seitliche Bewegung. Bewegung, Sammlung, Kommando und Kontrolle, Exfiltration, Auswirkung.
Ein Beispiel für ein Unternehmensmatrixdiagramm ist unten abgebildet:
In der obigen Tabelle sind 14 Taktiken aufgeführt, wobei jede Taktik mehrere Angriffstechniken enthält. Die Taktik des Erstzugriffs enthält zum Beispiel neun Angriffstechniken: Drive-by-Compromise, Exploit Public-Facing Application, External Remote Services, Hardware-Additionen, Phishing, Replikation über Wechselmedien, Kompromittierung der Lieferkette, vertrauenswürdige Beziehung, gültige Konten und andere Angriffe. Vertrauenswürdige Beziehung, gültige Konten, wie unten dargestellt:
ATT&CK Anwendungsszenarien
Offizieller Leitfaden für Bewerbungsszenarien
- Erkennungen und Analysen
ATT&CK kann Netzverteidigern helfen, Erkennungsverfahren zu entwickeln, um die von Angreifern verwendeten Techniken rechtzeitig zu identifizieren.
- Intelligente Bedrohung
ATT&CK bietet Sicherheitsanalysten eine gemeinsame Sprache für die Organisation, den Vergleich und die Analyse von Bedrohungsdaten, und die ATT&CK-Gruppen vermitteln ein besseres Bild der Angriffsmerkmale von Bedrohungsorganisationen.
- Emulation von Angreifern und Red Teaming (Simulation von Angreifern undKonfrontation zwischen Rot und Blau)
ATT&CK bietet eine gemeinsame Sprache und einen gemeinsamen Rahmen, den die Blues (im Ausland oft als Reds anstelle von Strike Teams bezeichnet) nutzen können, um Angriffspläne zu entwickeln und bedrohungsspezifische Angriffe zu simulieren.
- Bewertung und Technik
ATT&CK kann verwendet werden, um die Verteidigungsmaßnahmen Ihres Unternehmens zu bewerten und die Verteidigungsarchitektur zu bestimmen, z. B. welche Tools oder Protokolle Sie implementieren sollten.
ATT&CK bietet eine Menge Referenzwissen für die vier oben genannten Anwendungsszenarien, wobei jedes Anwendungsszenario separat mit drei verschiedenen Stufen von Sicherheitsfähigkeiten weiter ausgearbeitet wird. Wir nehmen Adversary Emulation und Red Teaming als Beispiel, um die Hauptanwendungen von ATT&CK in der Red and Blue Confrontation vorzustellen.
In Getting Started with ATT&CK: Adversary Emulation and Red Teaming (Erste Schritte mit ATT&CK: Emulation von Angreifern und Red Teaming) gibt es 3 verschiedene Stufen, die von den Sicherheitsfähigkeiten des Unternehmens abhängen:
Stufe 1: Sicherheitsteams, die gerade erst anfangen und nicht über viele Ressourcen verfügen.
Stufe 2: Relativ ausgereiftes Sicherheitsteam der mittleren Ebene
Stufe 3: Organisationen mit fortgeschrittenen Sicherheitsteams und -ressourcen
Für Organisationen der Stufe 1.Ohne die Hilfe des Blues bei der Identifizierung der Bedrohung ist es immer noch möglich, einen Angriff mit einigen einfachen Tests zu simulieren. Die Autoren empfehlen Atomic Red Team, das einfache "Atomtests" durchführt, um relevante Verteidigungskomponenten zu testen, die auf ATT&CK abgebildet sind. z.B. Network Zum Beispiel kann Network Share Discovery (T1135) mit T1135 getestet werden:
Wie in der obigen Abbildung dargestellt, können wir die entsprechenden Testbefehle in der entsprechenden Plattform ausführen, um festzustellen, ob unser Verteidigungssystem auf die Alarmaufforderungen reagiert und ob wir eine bestimmte Optimierung der Verteidigung vornehmen können. Anschließend können wir das System weiter ausbauen und verbessern, wie im folgenden Zyklus dargestellt:
Für Organisationen der Ebene 2.Wir verwenden zum Beispiel das Penetrationstool Cobalt Strike, um Angriffe zu simulieren. Die verschiedenen Angriffstechniken, die es abdeckt, können schließlich auf das ATT&CK-Framework abgebildet werden, wie in der folgenden Abbildung dargestellt:
Für Organisationen der Stufe 3Wenn die Rote Armee, eine starke Blaue Armee oder sogar ein eigener Nachrichtendienst für Bedrohungen bereits vorhanden ist, kann die Blaue Armee die Nachrichtendienste für Bedrohungen nutzen, um Bedrohungsorganisationen mit spezifischen Zielen auszuwählen, um einen Angriff zu simulieren, um einen "vollständigen Test" durchzuführen.
- Sammeln von Bedrohungsinformationen: Sammeln von Bedrohungsinformationen und Auswahl bestimmter Gegner
- Extrahieren von Techniken: Zuordnung von Bedrohungsorganisationen und Blue Force-Angriffstechniken zu ATT&CK
- Analysieren und organisieren: Analyse des Angriffsplans der Organisation
Zum Beispiel die Entwicklung eines simulierten Angriffsplans gegen eine APT3-Bedrohungsorganisation:
- Entwicklung von Instrumenten und Verfahren: Entwicklung von Angriffsinstrumenten und -verfahren
- Emulation des Gegners: Die Blue Force beginnt mit der Durchführung simulierter Angriffe gemäß dem Plan
Beispiele für gute Anwendungsszenarien
Zusätzlich zu den verschiedenen offiziell empfohlenen Anwendungsszenarien gibt es in der Branche einige ausgezeichnete ATT&CK-Praktiken.
ATT&CK als Lehrkraft einsetzen
Travis Smith von MITRE ATT&CKcon organisierte die ATT&CK-Matrix nach dem Schwierigkeitsgrad des Exploits und verwendete verschiedene Farben, um sie zu kennzeichnen, was der Autor als "ATT&CK-Regenbogentabelle" bezeichnete, wie in der folgenden Abbildung dargestellt:
- Blau: Die Technik ist kein wirklicher Exploit, sondern wird durch die Verwendung anderer gängiger Funktionen wie der Netzansicht erreicht
- Grün: einfach zu verwendende Technologie, die keine POC, Skripte oder andere Tools wie gültige Zugangsdaten erfordert
- Gelb: erfordert in der Regel eine Art Tool oder POC, z. B. Metasploit
- Orange: erfordert ein unterschiedliches Maß an Infrastruktur zur Durchführung oder Untersuchung, und diese Technologien können von sehr einfach bis sehr komplex reichen, was die Autoren in "orangefarbene Stufen", wie z. B. Webshell, zusammengefasst haben.
- Rot: bezieht sich auf fortgeschrittenere oder zugrunde liegende Techniken, die ein tiefes Verständnis des Betriebssystems oder der DLL/EXE/ELF usw. erfordern, wie z. B. die Prozessinjektion.
- Lila: Die Autoren haben später eine höherstufige Technik aktualisiert, und in Verbindung mit der ATT&CK-Regenbogentabelle verstehe ich, dass sie eine höhere Angriffsschwelle erfordert oder eine Angriffstechnik mit einer niedrigeren Erfolgsquote verwendet.
An dieser Stelle kann die ATT&CK-Regenbogentabelle, einschließlich der ATT&CK-Matrix selbst, als Studienleitfaden für Einzelpersonen oder Teams verwendet werden, z. B. aus welcher Perspektive sollte man bei der Untersuchung seitlicher Penetrationen beginnen? Was sind ihre Erkennungs- und Abhilfemaßnahmen? Können sie umgangen werden? ATT&CK wäre eine sehr gute Referenz.
ATT&CK bietet eine besser integrierte Analyse des Gesamtrisikos des Netzwerks, aber die Analyse für einige spezifische Systeme und Plattformen ist etwas weniger granular. AliCloud Security hat auf der Grundlage von ATT&CK eine detailliertere Angriffstopologie für den spezifischen Rahmen von Containern in der Cloud erstellt, wie in der Abbildung unten dargestellt:
Auch wenn die gemeinsame Sprache von ATT&CK nicht strikt eingehalten wird, erleichtert eine detailliertere Darstellung der im Rahmen der einzelnen Taktiken verwendeten Techniken die Anleitung der Blauen bei der Durchführung ihrer Angriffe. Was die Verwendung der gemeinsamen Sprache anbelangt, so ist es nicht schwierig, innerhalb des Unternehmens oder sogar innerhalb des Landes ein gemeinsames Verständnis von Rot und Blau zu erreichen.
Daher kann die grundlegende Abbildung von ATT&CK auch für spezifische System-Frameworks wie Cloud-Container, Private Clouds, Public Clouds, Big-Data-Plattformen usw. mit Bezug auf diesen Ansatz vervollständigt werden.
Zusammenfassungen
Als hervorragendes Angriffsmodell bietet ATT&CK eine relativ perfekte Angriffsmatrix, die sowohl für den Angriff als auch für die Verteidigung einen guten Leitfaden darstellt. Wir können die technische Sammlung von ATT&CK weiter verfeinern, um die Fähigkeit der roten und blauen Konfrontation zu verbessern, und ATT&CK auch auf verschiedene Szenarien und Rahmenbedingungen innerhalb des Unternehmens entsprechend den lokalen Bedingungen abstimmen.
Referenzlink
https://mitre-attack.github.io/attack-navigator/
https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3
https://github.com/redcanaryco/atomic-red-team
https://github.com/TravisFSmith/mitre_attack
https://zhishihezi.net/
https://www.tripwire.com/state-of-security/mitre-framework/using-angreifen.-Lehrer/
https://www.freebuf.com/articles/blockchain-articles/251496.html
https://www.freebuf.com/articles/network/254613.html
https://www.freebuf.com/articles/container/240139.html
http://vulhub.org.cn/attack
Quelle: OPPO
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/the-attck-framework-for-cyber-security-attack-and-defense.html
