來源:Adversary Emulation and Red Teaming
https://attack.mitre.org/resources/getting-started/
我們希望你已經(jīng)花時間閱讀了第一章開始使用ATT&CK的威脅情報和第二章使用ATT&CK的檢測和分析!我們在這里給你帶來了第三章右莱,這一次涵蓋了對手模擬和red與ATT&CK的合作胯甩,來演示我們?nèi)绾螠y試那些新的分析,John向我們展示了如何構(gòu)建。
繼續(xù)前幾章的主題但两,本節(jié)將根據(jù)你的團(tuán)隊的復(fù)雜程度和你所擁有的資源分為不同的級別:
?一級對于剛開始那些可能沒有許多資源
?二級對于那些中層團(tuán)隊開始成熟
?三級對于那些更高級的網(wǎng)絡(luò)安全團(tuán)隊和資源
對于那些不熟悉它的人來說食听,敵手模擬是一種紅隊參與的類型熟空,它通過混合威脅情報來定義紅隊使用的行動和行為坟漱,來模擬對組織的已知威脅。這就是為什么對手模擬不同于滲透測試和其他形式的紅隊慨代。
對手模擬器構(gòu)建一個場景來測試對手的戰(zhàn)術(shù)邢笙、技術(shù)和過程(TTPs)的某些方面。然后侍匙,紅隊在目標(biāo)網(wǎng)絡(luò)上運(yùn)行氮惯,以測試防御系統(tǒng)如何對付模擬對手叮雳。
由于ATT&CK是一個關(guān)于現(xiàn)實(shí)世界中對手行為的大型知識庫,所以不需要太多的想象力就可以將對手或紅隊的行為與ATT&CK聯(lián)系起來妇汗。讓我們來探索安全團(tuán)隊如何使用ATT&CK進(jìn)行對手模擬來幫助改進(jìn)他們的組織帘不。
一、1級
小團(tuán)隊和那些主要專注于防守的團(tuán)隊可以從對手的競爭中獲得很多好處杨箭,即使他們沒有機(jī)會進(jìn)入紅隊寞焙,所以不要擔(dān)心!有相當(dāng)多的資源可以幫助你開始測試你的防御與ATT&CK對齊的技術(shù)。我們將重點(diǎn)介紹如何通過嘗試簡單的測試來深入敵手模擬互婿。
Atomic Red Team是一個由Red Canary維護(hù)的開源項(xiàng)目捣郊,它是一個腳本集合,可以用來測試如何檢測映射到ATT&CK技術(shù)的某些技術(shù)和過程慈参。例如呛牲,您可能已經(jīng)遵循了第1章中的建議,并研究了APT3使用的技術(shù)驮配,如網(wǎng)絡(luò)共享發(fā)現(xiàn)(T1135)娘扩。您的intel團(tuán)隊將此信息傳遞給您的檢測團(tuán)隊,并且根據(jù)第2章的指導(dǎo)僧凤,他們編寫了一個行為分析來嘗試檢測對手是否執(zhí)行了此技術(shù)畜侦。但是你怎么知道你是否真的能檢測到這種技術(shù)呢?
Atomic Red Team可用于測試單個技術(shù)和過程元扔,以驗(yàn)證行為分析和監(jiān)視功能是否如預(yù)期的那樣工作躯保。
原子Red團(tuán)隊存儲庫有許多原子測試,每個測試都有一個用于測試ATT&CK技術(shù)的目錄澎语。您可以查看ATT&CK矩陣格式的完整存儲庫途事。
要開始測試,請選擇T1135頁擅羞,以查看詳細(xì)信息和文檔中記錄的不同類型的原子測試尸变。每個測試都包含關(guān)于技術(shù)是什么、支持的平臺以及如何執(zhí)行測試的信息减俏。
我們看到有三個測試選項(xiàng)召烂,并決定選擇#2來使用命令提示符進(jìn)行測試。因此娃承,我們打開命令提示符奏夫,復(fù)制并粘貼命令,添加計算機(jī)名历筝,然后執(zhí)行命令酗昼。
我們剛剛執(zhí)行了我們的第一個原子測試!一旦完成了這一步,我們就可以看看我們期望檢測到的是否就是我們實(shí)際檢測到的梳猪。例如麻削,可能我們在SIEM工具中有一個行為分析工具,它應(yīng)該在“net view”執(zhí)行時發(fā)出警報,但是我們發(fā)現(xiàn)它沒有觸發(fā)呛哟,所以我們發(fā)現(xiàn)從主機(jī)導(dǎo)出的日志不正確叠荠。您排除故障并修復(fù)了問題,現(xiàn)在您已經(jīng)取得了可度量的改進(jìn)扫责,以幫助您在將來有更好的機(jī)會使用此過程捕獲對手蝙叛。
這些單項(xiàng)測試允許激光聚焦于單個的ATT&CK技術(shù)这嚣,這使得構(gòu)建基于ATT&CK的防御覆蓋更容易實(shí)現(xiàn)飒箭,因?yàn)槟梢詮膯蝹€技術(shù)的單一測試開始,然后從單一技術(shù)擴(kuò)展到其他技術(shù)济蝉。
1.5級獎勵內(nèi)容:獲得了一個使用原子紅隊執(zhí)行對手模擬測試的過程淌铐,并準(zhǔn)備好了一些東西肺然,可以幫助鏈接在一起的行為序列?下一個看看CALDERA!CALDERA是一個由MITRE創(chuàng)建的自動對抗仿真系統(tǒng),它有許多內(nèi)建的行為映射到ATT&CK技術(shù)腿准。它允許操作員在構(gòu)建測試時選擇一種技術(shù)或?qū)⒍喾N技術(shù)連接在一起际起,這允許您開始自動化測試的行為序列,而不是手動執(zhí)行單個原子測試吐葱。您可以使用預(yù)先構(gòu)建的場景之一街望,或者通過選擇映射到您想要測試的某些ATT&CK技術(shù)的過程(在CALDERA中稱為能力)來定義更具體的場景。
二弟跑、2級
對于那些已經(jīng)擁有紅隊能力的人來說灾前,您可以從將ATT&CK與您現(xiàn)有的項(xiàng)目集成中獲益良多。映射技術(shù)用于紅色團(tuán)隊參與ATT&CK編寫報告和討論時提供了一個通用框架移植孟辑。
首先哎甲,您可以使用現(xiàn)有的計劃操作或工具并將其映射到ATT&CK。將red team過程映射到ATT&CK類似于將威脅情報映射到ATT&CK饲嗽,因此您可能想要查看Katie在第一章中概述的六步流程的建議炭玫。
幸運(yùn)的是,有時映射技術(shù)可以像搜索ATT&CK網(wǎng)站上使用的命令一樣簡單貌虾。例如吞加,如果我們在red team操作中使用了“whoami”命令,那么我們可以在ATT&CK網(wǎng)站上搜索它尽狠,并發(fā)現(xiàn)可能會應(yīng)用兩種技術(shù):系統(tǒng)所有者/用戶發(fā)現(xiàn)(T1033)和命令行界面(T1059)衔憨。
另一個幫助您開始將red team過程映射到ATT&CK的資源是APT3敵手模擬字段手冊,它列出了APT3使用的一個命令一個命令的操作晚唇,所有這些操作都映射到ATT&CK巫财。
如果你的紅隊正在使用像Cobalt Strike或Empire這樣的工具,好消息是這些工具已經(jīng)被映射到ATT&CK了哩陕。有了您個人的命令平项、腳本和映射到ATT&CK的工具赫舒,您現(xiàn)在可以計劃您的任務(wù)了。
紅隊有他們的嘗試和真正的工具箱和操作方法闽瓢。他們知道什么是有效的接癌,因?yàn)樗偸怯行А5撬麄儾恢赖氖强鬯希麄兯鶉L試的和真正的ttp與已知的可能針對組織的威脅有多少重疊(或者不重疊!)缺猛。這就導(dǎo)致了在理解防御系統(tǒng)與你真正想要防御的對象之間的差距——目標(biāo)是你的環(huán)境的敵人,而不一定是紅隊本身椭符。
我們想要確保我們不僅僅是在做技術(shù)荔燎,因?yàn)槲覀兊墓ぞ呖梢詧?zhí)行它們——我們想要模擬一個真正的對手,我們關(guān)心的是提供更多的價值销钝。例如有咨,我們可以和我們的CTI團(tuán)隊談?wù)劊麄兏嬖V我們蒸健,他們擔(dān)心來自伊朗石油鉆井平臺的襲擊座享。
由于ATT&CK的所有內(nèi)容都是結(jié)構(gòu)化的,我們可以使用ATT&CK導(dǎo)航儀來比較現(xiàn)有工具(如Cobalt Strike)和OilRig基于開源報告的技術(shù)似忧。(你可以查看導(dǎo)航器的演示渣叛,它演示了如何做到這一點(diǎn)。)在下一個圖形,Cobalt Strike技術(shù)是紅色的,OilRig技術(shù)是藍(lán)色的,兩種技術(shù)都能執(zhí)行用紫色盯捌。
這些紫色技術(shù)為我們提供了一個開始使用現(xiàn)有工具和執(zhí)行組織優(yōu)先考慮的技術(shù)的地方淳衙。
除了識別出Cobalt Strike和OilRig之間的重疊部分,分析還可以顯示出挽唉,在哪些地方可以改變red team的行為滤祖,而不僅僅局限于他們通常采用的程序?qū)用妗?/p>
在某些情況下筷狼,一項(xiàng)技術(shù)可能是在紅隊使用的工具中以特定的方式實(shí)現(xiàn)的瓶籽,但是我們不知道對手是如何實(shí)現(xiàn)的。有了這些知識埂材,就可以幫助red團(tuán)隊在不同的測試之間使用不同的行為塑顺,從而更好地覆蓋作為對抗模擬過程一部分的威脅。
此時俏险,我們還可以添加希望使用命令或腳本手動執(zhí)行的技術(shù)严拒。然后,我們可以在導(dǎo)航器中添加關(guān)于執(zhí)行技術(shù)的順序以及如何執(zhí)行它們的注釋竖独。
當(dāng)我們計劃紅隊行動時裤唠,映射到ATT&CK是有好處的,一旦我們執(zhí)行了我們的行動莹痢,當(dāng)我們與我們的藍(lán)隊溝通時种蘸,我們也收獲了回報墓赴。如果他們將分析、檢測和控制映射回ATT&CK航瞭,那么您可以輕松地用一種通用語言與他們交流诫硕,了解您所做的工作和他們的成功之處。在報表中包含ATT&CK導(dǎo)航器映像(甚至保存的導(dǎo)航器層)可以幫助這個過程刊侯,并為它們提供一個可以改進(jìn)的模板章办。
用戶級別2.5內(nèi)容:在使用ATT&CK計劃約定和報告結(jié)果之后,嘗試使用APT3模擬計劃或基于該計劃的ATT&CK評估第一輪場景滨彻,以進(jìn)行約定模擬APT3藕届,顯示針對特定對手組的基線測試。
三亭饵、3級
此時翰舌,您的紅隊正在將ATT&CK集成到操作中,并在與藍(lán)隊的通信中尋找價值冬骚。為了提高您的團(tuán)隊及其所產(chǎn)生的影響椅贱,您可以與您的組織的CTI團(tuán)隊協(xié)作,通過創(chuàng)建您自己的對手模擬計劃只冻,使用他們收集的數(shù)據(jù)來針對特定的對手調(diào)整約定庇麦。
創(chuàng)建您自己的對手模擬計劃,利用最大的力量喜德,結(jié)合紅色團(tuán)隊與您自己的威脅情報:行為是從現(xiàn)實(shí)世界的對手看到的目標(biāo)是你!紅隊可以把intel變成有效的測試山橄,以顯示什么防御工作得很好,什么地方的資源需要改進(jìn)舍悯。
當(dāng)安全性測試暴露了可見性和控制漏洞時航棱,當(dāng)您可以顯示它們很可能被已知的對手利用時,就會產(chǎn)生更高級別的影響萌衬。將您自己的CTI與對手模擬工作相連接饮醇,將提高測試的有效性,并將輸出結(jié)果提供給高級領(lǐng)導(dǎo)以制定更改秕豫。
我們推薦如下圖所示的五步流程來創(chuàng)建一個對手模擬計劃朴艰、執(zhí)行操作并推動防御改進(jìn)。(有關(guān)此過程的更詳細(xì)概述混移,請參見Katie Nickels和Cody Thomas關(guān)于ATT&CK基于威脅的對手模擬的演示祠墅。)
1. 收集威脅情報——根據(jù)組織面臨的威脅,選擇一個對手歌径,與CTI團(tuán)隊合作毁嗦,分析對手的行動。結(jié)合你的組織所知道的回铛,除了公開的情報狗准,來記錄對手的行為芯急,他們追求的是什么,他們是粉碎和抓取還是低速度和慢速驶俊。
2. 提取技術(shù)——就像你將你的紅隊行動映射到ATT&CK技術(shù)一樣娶耍,將你的情報映射到與你的情報團(tuán)隊相關(guān)的特定技術(shù)。您可以將您的CTI團(tuán)隊指向第1章饼酿,以幫助他們學(xué)習(xí)如何做到這一點(diǎn)榕酒。
3.分析和組織——現(xiàn)在你有了一堆關(guān)于對手的情報以及他們是如何運(yùn)作的,用一種很容易制定具體計劃的方式將這些信息繪制到他們的運(yùn)作流程中故俐。例如想鹰,下面是MITRE團(tuán)隊為APT3對手模擬計劃創(chuàng)建的操作流。
4. 開發(fā)工具和過程——既然您已經(jīng)知道了希望紅隊做什么药版,那么就應(yīng)該弄清楚如何實(shí)現(xiàn)行為辑舷。考慮:
?威脅組織使用這種技術(shù)如何?
?集團(tuán)不同的技術(shù)是使用基于環(huán)境上下文?
?什么工具可以復(fù)制這些ttp嗎?
5. 模擬對手——有了適當(dāng)?shù)挠媱澆燮t隊現(xiàn)在能夠執(zhí)行并執(zhí)行模擬契約何缓。正如我們建議所有使用ATT&CK的紅隊項(xiàng)目,紅隊?wèi)?yīng)該與藍(lán)隊緊密合作还栓,深入了解藍(lán)隊的可見度的差距在哪里碌廓,以及它們存在的原因。
一旦整個過程發(fā)生剩盒,紅色和藍(lán)色的團(tuán)隊可以與CTI團(tuán)隊合作谷婆,確定下一個威脅,重復(fù)這個過程辽聊,創(chuàng)建一個連續(xù)的活動纪挎,測試對現(xiàn)實(shí)世界行為的防御。
總結(jié)
本章向您展示了如何使用ATT&CK進(jìn)行紅色團(tuán)隊和對手模擬跟匆,而不管您擁有什么資源(包括您還沒有紅色團(tuán)隊時)异袄。我們希望您在本書中已經(jīng)注意到,這些主題都是建立在其他主題的基礎(chǔ)上的贾铝,通過威脅情報來創(chuàng)建分析隙轻,這些分析可以通過對手的仿真來驗(yàn)證和改進(jìn)——所有這些都使用ATT&CK的公共語言。下一章(也是最后一章)將討論ATT&CK的執(zhí)行評估和工程垢揩,為我們的ATT&CK系列的入門課程畫上圓滿的句號。
