直击RSAC 2021从MITRE Shield探寻主动防御的实战进阶之路
随着全球加速数字化转型步伐,世界正在走向由软件定义、万物皆可互联、数据驱动的数字化未来,但也造成网络安全边界和风险迅速扩散。传统防御技术已无法应对持续化的攻击手法和日新月异的网络安全风险,网络安全领域对新型防御方案的需求愈发强烈,如:主动防御,动态防御,自动化防御等。
随着网络攻击不断地智能化、自动化、多样化,网络防御能力不断下降。面对持续的0-day攻击、漏洞修补的困难、钓鱼攻击等等,企业的网络边界越来越容易被突破,传统安全防御呈现出明显不足。新型的网络防御方案近些年来慢慢的被关注和提及,其中主动防御技术当属一例。
主动防御技术相较于传统防御技术,强调系统能够在攻击的具体方法和步骤不为防御者所知的情况下实施主动的、前摄的防御部署,提升系统在面临攻击时的生存性和弹性。
据了解,MITRE Shield作为主动防御知识库由MITRE的交战团队于2019年创建,该框架是基于对真实攻防对抗环境所涉及主动防御战术、技术提炼而成的知识库,描述了积极防御、网络欺骗、对手交战行动中的一些基本活动。
MITRE将Shield里面涉及到的防御技术统称为主动防御技术,分为通用防御技术、欺骗技术、对手交战技术:
通用防御技术:该类技术是适用于所有防御计划的技术,如:日志采集、数据包采集、数据备份等。
欺骗技术:欺骗技术相当于一种主动式的检测技术,通过诱捕攻击者进入欺骗系统,可以捕获到更全面、置信度更高的攻击信息,Shield中的欺骗技术能用于检测、威慑或者其他想到达到的效果。
对手交战技术:对手交战技术是为了捕获攻击者的攻击手法,该技术的部署能更加进一步提升红蓝对抗的强度,有利于分析对手信息、制定防御计划、获取对未来有用的知识。
虽然MITRE将防御技术分为这3类,但是没有精确指出这3大类中包含哪些具体的技术,只是将具体的技术对应到相应的战术目标中。
具体来说,Shield所定义的战术分为8种,技术共有34种,战术的具体信息见表1。
Shield中战术和技术的关系可以用表2的矩阵来描述,列名代表战术,单元格名字代表技术。
由Shield矩阵能够准确的看出,战术和技术之间是多对多的关系,同一个战术中包含多种技术,同一个技术也可以在多种战术中出现,如Admin Access同时出现于Channel、Contain、Disrupt、Facilitate、Test等5种战术中,各种战术也包含若干种技术。
MITRE Shield作为用于捕获和组织关于积极防御和对手交战的知识,旨在为防御者提供用于对抗网络对手的工具,可用于私营部门、政府、网络安全产品和服务社区的防御性利益。
同样,Shield和ATT&CK技术之间同样是多对多的关系,整体关系如图4所示,能对应上的ATT&CK技术总计有156个,占总数量(184)的84.7%,覆盖率已经较高。必须要格外注意的是,在使用的过程中往往不能只看到表面的上的数字,84.7%的仅只是基础能力覆盖,并不代表该防御技术能够100%抵御相应的ATT&CK技术,有一些时候甚至完全没有办法抵御,Shied中包含的防御技术只是抵御ATT&CK技术的必要条件。
从抽象角色来看,ATT&CK是站在攻击视角提炼而成,Shield则是站在防守视角。MITRE ATT&CK模型形成映射关系旨在通过从入侵者的战术到主动防御技战术映射的逻辑视图,使防御方能轻松实现和使用主动防御技战术,同时选择入侵者战术给防守方留下的主动防御的机会,构建防守方主动防御的能力,加速安全厂商安全能力的建设过程。
在RSAC的演讲中,演讲人还重点提到了MITRE Shield规划的发展阶段(表5),其中横坐标代表防御方策略的变化,纵坐标防守方对APT的理解程度。不难看出,防守方的策略从被动防御到主动防御的进化过程提高了防守方对于APT的理解程度,即依赖于获得的APT相关信息,例如IOCs,文件,行为等。因此能把进化过程分为5个阶段:
被动阶段:防守方从单独的logs,IOCs,样本等少量信息来理解某个APT。但由于没长期样本和其他IOC积累,从零碎信息中去辨别和理解APT使难度较大。
准主动阶段:防守方通过蜜罐等具体技术方法进行简单模拟,让入侵者展示更多的行为。
主动欺骗阶段:通过引入专门的鱼饵,包括账号,网络,应用程序,数据,数字签名等把仿真程度提高,当前MITRE Shield 的技战术最高到此阶段。
入侵者互动阶段:让入侵者在防守方所营造环境和后端APT的C2架构建立通讯,展开提权,横移,提取数据等一系列动作,帮助防守方得到初始APT攻击样本信息(IOC,files,签名,解码器...)的10倍以上。此阶段是MITREShield即将推出的。
主动防御阶段:从核心层获取丰富的攻击行为数据来进行有限的反击动作。在攻防实战演练中,可以为防守方提供完整的攻击链还原从而给自身申请分析研判,以溯源反制的手段使攻击方暴露,助力企业获取对抗加分。
总之,Shield框架作为一个全面的面向主动防御的网络防御知识库,不但可以帮助防守者更好应对当前的攻击,且能更多地了解攻击者,对公司安全防御方面有一定的实践价值。
但面对海量的攻击方式,防御动作往往也很难枚举。目前来说Shield主要强调基础防御技术,Shield框架中的具体技术并不能100% 抵御对应的ATT&CK攻击技术,有一些时候还可以认为完全没有办法抵御,但能给出对于完整防御方案的系统化、结构化认知,指出完成主动防御所需基础能力,能够辅助完成企业网络安全防御基础设施的搭建工作。MITRE也称Shield将会被持续改进升级。
不能否认的是,Shield积极防御知识库将成为网络安全行业重要的发展趋势之一,将成为各组织机构实施积极防御的指导框架和重要资源。而作为数字安全的守护者,360政企安全集团基于15年攻防实战经验及230亿安全研发投入,积累了海量安全大数据、东半球白帽子军团、领先的漏洞挖掘能力、APT狩猎能力、云端公共服务能力,同时构建出自己的主动防御知识库。基于安全能力,360打造了以安全大脑为核心的数字安全能力体系。
未来,360将通过多级安全大脑实现大连接、大数据、大计算和大协同,以主动防御不断的提高网络安全防护能力,帮助国家、城市、行业、企事业等打造云网端一体化的纵深防御及运营体系,助力数字时代的稳健发展。
下一篇:活跃防护战略方针