MITRE ATT&CK知识库是基于网络社区提供的真实攻击事件的研究而建立的，自2015年初次发布以来，迅速被世界各地的许多安全厂商和安全团队采用。ATT&CK项目是一个实时更新的知识库，一旦行业内出现了经过验证的最新信息，就会持续更新。因此，ATT&CK知识库提供了行业中最全面的与已知攻击方法相关的信息，这为企业提高网络防御能力提供了一个非常有用的工具。

长期以来，很多企业都希望将ATT&CK框架应用在安全运营流程中，但是对于如何持续运营ATT&CK，却难以着手。近日，青藤云安全COO程度在“2021 ATT&CK技术与应用论坛”上详细介绍了如何建立企业内部的ATT&CK，旨在帮助企业一步步去应用ATT&CK，逐渐增强安全防御能力。

ATT&CK的更新

ATT&CK框架已于今年上半年更新到了V9版本，该版本的一个重要更新内容是增加了容器攻防矩阵，包含容器级和编排级的内容。预计2021年10月，ATT&CK框架更新到V10版本，做出的内容更新包括：

·更新：Linux攻击技术

·更新：数据源加入对象概念

·更新：ICS攻击数据源

·更新：重新定义和扩展移动端攻击技术

·新增：Workbench 项目

关于ATT&CK V10版本更新情况，青藤将会及时进行追踪，感兴趣的读者可以随时关注我们。

企业如何建立自己的ATT&CK

ATT&CK由一系列技术领域组成。如图1所示，迄今为止，MITRE ATT&CK已确定了三个技术领域——Enterprise（用于传统企业网络和云技术）、Mobile（用于移动通信设备）、ICS（用于工业控制系统）。在各技术领域，ATT&CK定义了多个平台，即攻击者在各技术领域进行操作的系统。一个平台可以是一个操作系统或一个应用程序（例如，Microsoft Windows）。ATT&CK中的技术和子技术可以应用在不同平台上。

^{图1：MITRE ATT&CK的三个技术领域}

组织机构想要设计自己的ATT&CK，首先要沿用MITRE ATT&CK原有的框架和方法论，然后根据自身检测到的攻击技术进行填充，通过在实际攻防演练中积累的经验并结合行业威胁情报信息不断完善和丰富自己的ATT&CK。

在ATT&CK框架中，主要包含五大对象：攻击组织、软件、技术/子技术、战术、缓解措施，每个对象都在一定程度上与其他对象有关，各对象之间的关系可以通过图2直观地看到。

^{图2：ATT&CK框架中各对象之间的关系}

例如，某企业受到流量加密、文件混淆的哥斯拉和冰蝎的攻击，以及内存马隧道ReGeorg的攻击，分别用ATT&CK对象关系来表示，如图3和图4所示。企业对两种攻击技术进行总结归纳之后，通过近日MITRE Engenuity发布的新工具——ATT&CK workbench，将自己的实战经验添加到ATT&CK知识库中。

^{图3：哥斯拉和冰蝎攻击的对象关系}

^{图4：内存马隧道ReGeorg攻击的对象关系}

ATT&CK的十大运营场景

1.威胁情报

ATT&CK 知识库的一个主要用途是了解攻击者，是一种展示与攻击组织战术、技术和步骤(TTP) 相关的威胁情报的方法。威胁情报的来源包括：

·ATT&CK的更新，尤其是针对恶意软件的更新

·在野漏洞利用工具

·威胁分析报告

·社交媒体信息

·暗网信息

因此，将威胁情报映射到ATT&CK框架中是企业利用该框架的一项主要工作。通过ATT&CK以结构化、便于使用的方式列出这些 TTP 并提供详细信息作为支撑，这对于企业安全运营来说是一个特别有用的工具。

2.模拟攻击

企业通过简单地模拟攻击TTP或者模拟APT组织，可以提高ATT&CK覆盖率。攻击模拟是红队参与的一种模拟类型，它通过威胁情报来模拟一个已知的攻击。对小公司而言，即便没有成熟完整的红队，也可以从攻击模拟中获益。对于初级安全要求的组织架构可以参考图5中的五个步骤进行实践，企业通过循环往复的执行这个步骤，不断扩大ATT&CK的覆盖率。

^{图5：简单模拟TTP的流程}

对于成熟组织，则可以通过图6所示的流程模拟复杂的APT组织，模拟攻击者的攻击方式，以此来评估某一技术领域的安全性，验证组织机构是否有检测或缓解攻击者活动的能力。这样可以更好地进行防御绕过测试，以提高ATT&CK的覆盖率。

^{图6：复杂模拟APT组织流程}

3.合规要求

将ATT&CK 和一些法规、标准映射起来，为组织提供了极其重要的参考标准，以评估企业安全建设水平。如图7所示，通过ATT&CK 和NIST 800-53映射图可知，基于ATT&CK的运营，最终可以满足大部分NIST 800-53安全控制要求。

^{图7：ATT&CK 和NIST 800-53映射图}

4.安全分析师训练

虽然有许多网络安全培训模式，但网络安全人员往往无法跟上一些新的威胁。为了帮助安全人员缩小这一差距，企业可以将ATT&CK框架作为培训基础，提高员工的安全能力。具体的实现方式包括：

·在实际模拟演练中进行ATT&CK学习。

·进行系统的ATT&CK培训。

·通过搭建靶场和积累的场景进行持续性训练。

·可以分威胁情报专家和安全运营专家等角色进行培训。

5.威胁狩猎

威胁狩猎是一个持续的过程，也是一个闭环的主动防御过程。基本都是基于假设作为狩猎的起点，发现IT资产中的一些异常情况，就一些可能事件提前做一些安全假设。然后借助工具和相关技术展开调查，调查结束后可能发现新的攻击方式和手段（TTP），然后增加到分析平台或者以情报的形式输入到SIEM中，可能触发后续的事件响应，从而完成一次闭环。

如图8所示的CAR模型是威胁狩猎的重要模型，APT 组织的行为步骤为从左到右，安全团队的行为步骤是从右到左，在“分析”列进行交汇。APT 组织使用攻击技术进行渗透，安全团队利用安全数据进行数据分类及分析，在“分析”环节进行碰撞。所以威胁狩猎的核心思想是基于细粒度的数据采集，并通过深度分析发现异常情况。

^{图8：CAR模型}

6.安全风险管理和规划

EQL是一种威胁事件查询语言，可以对安全事件进行序列化、归集及分析。EQL 语言本质上属于威胁狩猎的领域，而且EQL 语言在开源领域的影响力也很大，尤其是实现了与ATT&CK 的良好结合，除了提供语言能力外，还提供了很多与TTPs 相结合的分析脚本。

^{图9：EQL分析}

所以企业可以通过EQL对ATT&CK 进行持续运营，对数据质量和分析能力进行评估，找出安全差距，然后在安全风险管理规划中不断弥补差距，实现安全运营能力的持续量化提升。

7.安全控制合理性

企业可以利用ATT&CK全面评估自身安全控制的合理性，并对照如下安全优化金字塔内容进行调整，安全优化金字塔包括量化、合理化、优化三项内容。

·量化

在这一阶段，主要是确定企业拥有哪些控制措施、在哪些位置执行了安全控制措施、建立企业的安全控制清单，然后根据企业的安全需求及合规要求衡量自身的安全。

·合理化

金字塔的腰部是安全控制合理化。在这一阶段，主要是评估安全控制有效性；识别和解决安全控制堆栈中存在哪些缺口，是否有重叠情况；对安全供应商进行风险评估；然后优先、整合和消除不必要的安全控制措施。

·优化

金字塔的顶部是安全优化。在这一阶段，主要是从威胁情报的角度持续衡量、监控和修改现有安全投资，最大限度地提高整体安全计划（人员、流程和技术）的有效性。

8.安全投资评估

企业根据自身的ATT&CK检测能力建设情况，合理进行安全投资，以期在资金有限的情况下，实现最大的安全投资回报。影响安全投资回报（ROSI）的因素包括：

·ARO：年度发生概率

·SLE：单次损失期望值

·ALE：年度损失期望值

·Detection ratio：检测概率

·Mitigation ratio：缓解概率

·Cost of solution：安全投资成本

安全投资回报率（ROSI）计算公式如下：

其中，ALE = ARO * SLE

为增加安全投资回报，企业需要对那些经常发生且造成危害较大的战术和技术进行投资。对此，依据ATT&CK中的各项战术发生的可能性及危害程度，如图10所示用不同颜色进行标注，从下到上表示发生的可能性不断增强，从左到右表示产生的危害不断增大。例如，左下角的深绿色表示非常不可能发生，且产生的危害几乎可以忽略不计。右上角的红色表示非常可能发生且产生的危害较大。

^{图10：ATT&CK中的各项战术发生的可能性及危害程度}

企业可以对照上图的颜色标注，结合ATT&CK框架和网络杀伤链（Kill Chain），形成自身的ARO矩阵，如图11所示内容，其中C4-1至C4-9表示，在某个企业中，攻击者常用的9条攻击路径，数字编号对应着不同的战术。根据攻击路径和发生的可能性及造成的危害程度，企业可以更好地评估自身安全投资的合理性。

^{图11：ARO矩阵}

9.安全有效性评估

企业在ATT&CK持续运营的过程中，需要进行安全验证，并进行安全有效性评估。企业可以从如下几个方面进行评估：

·设备可用性评估

·设备License有效时间

·设备规则更新时间

·设备配置正确性评估

·设备报警正常性评估

·设备数据正常生成评估

·设备数据正常上报评估

企业不同区域的安全有效性验证如图12所示：

^{图12：企业不同区域的安全有效性验证}

10.业务使能

在企业应用ATT&CK的过程中，可以通过业务推进实现ATT&CK的持续运营。不同组织的不同人员可以使用ATT&CK对于新上线业务和新收购公司进行安全评估。

·对于安全供应商：可以通过使用ATT&CK的用例进行产品测试，从而更方便的跟客户进行PoC演示。

·对于企业内部安全人员：可以参照ATT&CK框架进行新业务上线的安全性评估。

·对于企业内部审计人员：可以利用ATT&CK评估结果，指导新业务收购的安全性问题。

这些人员要进行安全评估，是因为安全能够带来以下效益：

·安全可以降低成本，因为它提高了数据移动和实现协作的效率。

·安全加快了产品上市速度，这意味着可以赚取更多利润。

·安全可以让我们雇用最优秀的人，因为不受地域限制。

·安全可以让销售和营销人员利用分析更快地响应客户需求。

写在最后

ATT&CK框架是一个庞大的知识库，几乎所有实际场景中的攻击行为都能在这个框架下得到标准化的记录或解释。随着企业对ATT&CK应用的深入，会愈发意识到ATT&CK在安全运营中的价值。通过以上对ATT&CK设计理念、对象关系以及运营场景的介绍，希望帮助更多企业落地ATT&CK，提高企业的安全防御能力。

长按识别二维码查看

《如何建立企业内部的ATT&CK》详细PPT内容