來源:https://www.mitre.org/attackcon
https://attack.mitre.org/resources/getting-started/
一、威脅情報
基于來自ATT&CK用戶的反饋,在第一個ATT&CKcon和從其他途徑,我們學到了很多,就像我們告訴你,我們已經(jīng)意識到,這將有助于我們退后一步,專注于你們很多人一個問題:我如何開始使用ATT&CK嗎?
這本書開始是一系列的博客文章纽什,旨在回答這個問題的四個關(guān)鍵用例:
?(1)威脅情報
(2)?檢測和分析
(3)?對手仿真和紅隊
?(4)評估和工程
我們根據(jù)這些用例重新組織了我們的網(wǎng)站來共享內(nèi)容博投,我們希望這些博客文章能增加這些資源滓窍。
ATT&CK對于任何組織來說都是非常有用的橘洞,因為他們想要建立一個基于威脅的防御體系,所以我們想要分享如何開始的想法汁展,不管你的團隊有多復雜私蕾。
我們將把這些帖子分成不同的級別:
?一級對于剛開始那些可能沒有許多資源
二級中層團隊開始成熟
?三級為更先進的網(wǎng)絡安全團隊和資源
我們將以威脅情報作為本書的開篇僵缺,因為它是最好的用例(盡管我相信我的同事可能不同意!)
在2018年,我對如何利用ATT&CK推進網(wǎng)絡威脅情報(CTI)進行了一個高層次的概述踩叭。在本章中磕潮,我將在此基礎上翠胰,分享一些實用的入門建議。
1.1 一級
網(wǎng)絡威脅情報就是要知道你的對手在做什么自脯,然后利用這些信息來改進決策之景。對于一個只有幾個分析師的組織來說,他們想要開始使用ATT&CK作為威脅情報冤今,你可以從一個你關(guān)心的小組開始闺兢,觀察他們在ATT&CK中的行為茂缚。
你可以根據(jù)他們之前的目標組織戏罢,從我們網(wǎng)站上的那些組織中選擇一個小組。另外脚囊,許多威脅情報訂閱提供商也映射到ATT&CK龟糕,因此您可以使用他們的信息作為參考。
從那里悔耘,您可以打開該組的頁面讲岁,查看他們使用的技術(shù)(僅基于我們映射的開源報告),以便了解更多關(guān)于他們的信息衬以。如果你需要更多的技術(shù)信息缓艳,因為你不熟悉它,沒有問題看峻,它就在ATT&CK網(wǎng)站上阶淘。你可以對我們使用的每一個軟件樣本重復這個步驟,我們分別在ATT&CK的網(wǎng)站上追蹤它們互妓。
那么我們?nèi)绾问惯@些信息變得可操作溪窒,這就是威脅情報的全部意義?讓我們與我們的防御者分享它,因為這是一個針對我們部門的組織冯勉,我們想要防御他們澈蚌。當你這樣做的時候,你可以在ATT&CK網(wǎng)站上找到一些想法灼狰,讓你開始檢測和減輕技術(shù)宛瞄。
例如:讓你的防御者知道APT19使用的特定注冊表運行鍵。但是交胚,他們可能會改變這一點份汗,并使用不同的運行鍵。如果您查看該技術(shù)的檢測建議承绸,您會看到一個建議是監(jiān)視注冊表中的新運行鍵裸影,您不希望在您的環(huán)境中看到這些鍵。這將是與你的防御者進行的一個偉大的談話军熏。
總之轩猩,開始使用ATT&CK作為威脅情報的一個簡單方法是查看您所關(guān)心的單個敵手組。識別他們使用過的一些行為可以幫助你告訴你的防御者他們?nèi)绾螄L試去發(fā)現(xiàn)那個群體。
1.2 二級
你有一個由威脅分析專家組成的團隊均践,他們會定期查看對手的信息晤锹,你可以采取的下一個行動是將情報映射到自己身上,而不是使用其他人已經(jīng)映射的信息彤委。如果你有一個關(guān)于你的組織已經(jīng)工作的事件的報告鞭铆,這可以是一個偉大的內(nèi)部來源映射到ATT&CK,或者你可以使用一個外部報告焦影,如博客文章车遂。為了簡化這個過程,您可以只從一個報告開始斯辰。
我們意識到凑耻,當你不知道所有的數(shù)百種技術(shù)時吩坝,試圖映射到ATT&CK是很可怕的歌憨。這里有一個你可以遵循的過程來幫助這一點解阅。
1. 了解ATT&CK -熟悉ATT&CK的整體結(jié)構(gòu):
戰(zhàn)術(shù)(對手的技術(shù)目標)、技術(shù)(如何實現(xiàn)這些目標)和過程(技術(shù)的具體實現(xiàn))闸氮〖艨觯看看我們的入門頁面和哲學論文。
2. 找出對手的行為——從比原子指示器(比如IP地址)更廣的角度考慮對手的行為蒲跨。例如译断,上述報告中的惡意軟件“建立了一個SOCKS5連接”。建立聯(lián)系的行為是對手采取的行為财骨。
3.研究行為——如果你不熟悉行為镐作,你可能需要做更多的研究。在我們的例子中隆箩,一個小的研究表明SOCKS5是一個第5層(會話層)協(xié)議该贾。
4. 將行為轉(zhuǎn)化為戰(zhàn)術(shù)——考慮對手的技術(shù)目標,然后選擇一個合適的戰(zhàn)術(shù)捌臊。好消息是:在企業(yè)戰(zhàn)略中只有12種戰(zhàn)術(shù)可供選擇杨蛋。對于SOCKS5連接示例,建立到以后通信的連接屬于命令和控制策略理澎。
5. 弄清楚什么技術(shù)適用于行為——這可能有點棘手逞力,但是根據(jù)你的分析技能和ATT&CK網(wǎng)站上的例子,這是可行的糠爬。如果您在我們的網(wǎng)站上搜索SOCKS寇荧,就會彈出技術(shù)標準非應用層協(xié)議(T1095)。查看技術(shù)描述执隧,您將發(fā)現(xiàn)這可能是我們的行為所適合的地方揩抡。
6. 將您的結(jié)果與其他分析人員進行比較—當然户侥,您對某個行為的解釋可能與其他分析人員不同。這很正常峦嗤,而且在ATT&CK團隊中經(jīng)常發(fā)生!我強烈建議您將您的ATT&CK信息映射與其他分析師的進行比較蕊唐,并討論其中的差異。
對于那些有幾個分析師的CTI團隊來說烁设,將信息映射到ATT&CK是一個很好的方法替梨,可以確保您獲得最相關(guān)的信息來滿足您的組織的需求。從那里装黑,你可以將att&ck地圖上的敵方信息傳遞給你的防御者副瀑,以通知他們的防御,就像我們上面討論的那樣曹体。
1.3三級
如果你的CTI團隊是先進的俗扇,你可以開始映射更多的信息到ATT&CK硝烂,然后使用這些信息來優(yōu)先考慮你如何防御箕别。采用上述過程,您可以將內(nèi)部和外部信息映射到ATT&CK滞谢,包括事件響應數(shù)據(jù)串稀、來自OSINT或威脅intel訂閱的報告、實時警報和組織的歷史信息狮杨。
一旦你映射了這些數(shù)據(jù)母截,你就可以做一些很酷的事情來比較組和優(yōu)先使用常用的技術(shù)。例如橄教,從ATT&CK導航器中獲取這個矩陣視圖清寇,我之前與ATT&CK網(wǎng)站上的技術(shù)共享了它。只有APT3使用的技術(shù)以藍色突出顯示;只有APT29使用的是黃色突出顯示的护蝶,APT3和APT29都使用的是綠色突出顯示的华烟。(所有這些都是基于我們所映射的公開信息,而這些信息只是這些組織所做工作的一部分持灰。)
您應該根據(jù)組織的主要威脅替換您關(guān)心的組和技術(shù)盔夜。為了幫助您創(chuàng)建自己的導航器層,就像我在上面所做的那樣堤魁,這里有一個關(guān)于生成上述矩陣的步驟的逐步指南喂链,以及一個視頻演練,它還提供了導航器功能的概述妥泉。
然后椭微,我們可以聚合信息來確定常用的技術(shù),這可以幫助防御者知道應該優(yōu)先處理什么盲链。這讓我們可以優(yōu)先考慮技術(shù)蝇率,并與防御者分享他們應該關(guān)注的檢測和減輕检诗。在我們上面的矩陣中,如果APT3和APT29是組織中被認為對他們構(gòu)成高威脅的兩個組瓢剿,那么綠色的技術(shù)可能是決定如何減輕和檢測的最高優(yōu)先級逢慌。如果我們的防御者已經(jīng)給了CTI團隊幫助確定他們應該在哪里優(yōu)先分配防御資源的要求,我們可以與他們共享這些信息间狂,作為他們開始的地方攻泼。
如果我們的防御者已經(jīng)對他們能探測到什么進行了評估(我們將在以后的章節(jié)中討論),你就可以將這些信息疊加到你所知道的威脅上鉴象。這是一個很好的地方來集中您的資源忙菠,因為您知道您所關(guān)心的組已經(jīng)使用了這些技術(shù),而您無法檢測它們!
您可以根據(jù)您所擁有的數(shù)據(jù)繼續(xù)添加您所觀察到的對手所使用的技術(shù)纺弊,并開發(fā)一個頻繁使用的技術(shù)的“熱圖”牛欢。Brian Beyer和我在SANS CTI峰會上討論了我們?nèi)绾位贛ITRE-curated和Red Canary-curated數(shù)據(jù)集提出不同的“前20”技術(shù)。你的團隊可以遵循同樣的過程來創(chuàng)建你自己的“前20名”淆游。
這個映射ATT&CK技術(shù)的過程并不完美傍睹,并且存在偏見,但是這些信息仍然可以幫助您開始更清楚地了解對手在做什么犹菱。
(你可以在這張幻燈片上閱讀更多關(guān)于偏見和限制的內(nèi)容拾稳,我們希望很快分享更多的想法。)
對于想要將ATT&CK用于CTI的高級團隊來說腊脱,將各種資源映射到ATT&CK可以幫助您建立對對手行為的深刻理解访得,從而幫助確定優(yōu)先級并為您的組織提供防御信息。
總結(jié)
在我們的入門指南的第一章中陕凹,我們已經(jīng)帶你走過了三個不同的層次悍抑,如何開始ATT&CK和威脅情報,這取決于你的團隊的資源杜耙。在以后的章節(jié)中搜骡,我們將深入探討如何開始使用其他用例,包括檢測和分析泥技、對手模擬和紅色團隊浆兰、評估和工程。
