Introduction to MITRE

对于网络安全领域的新手来说,您可能从未听说过 MITRE。我们这些已经了解的人可能只会将 MITRE 与 CVE(常见漏洞和暴露)列表联系起来,这是您在搜索特定漏洞的利用时可能会查看的一种资源。但 MITRE 在网络安全之外的许多领域进行研究,以“确保国家安全、稳定和福祉”。这些领域包括人工智能、健康信息学、太空安全等等。

来自 Mitre.org:“在 MITRE,我们解决问题,让世界更安全。通过我们联邦资助的研发中心和公私合作伙伴关系,我们与政府各部门合作,应对国家安全、稳定和福祉面临的挑战。”

在这个房间里,我们将重点介绍美国非营利组织 MITRE 公司为网络安全社区创建的其他项目/研究,具体包括:

  • ATT&CK®(对抗战术、技术以及通用知识)框架
  • CAR(网络分析存储库)知识库
  • ENGAGE(抱歉,不是花哨的缩写)
  • D3FEND(检测、拒绝和DisruptionFrameworkEmpoweringNetworkDefense)
  • AEP(ATT&CKEmulationPlans)

Basic Terminology

在深入讨论之前,让我们先简单讨论一下在处理框架、威胁情报等时经常听到的几个术语。

APT高级持续威胁 的首字母缩写。这可以被视为一个团队/团体(威胁团体),甚至是国家(民族国家团体),对组织和/或国家进行长期攻击。“高级”一词可能会产生误导,因为它往往会让我们相信每个 APT 团体都拥有一些他们使用的超级武器,例如零日漏洞。事实并非如此。正如我们稍后将看到的那样,这些 APT 团体使用的技术非常常见,并且可以通过正确的实施来检测。您可以在 此处 查看 FireEye 当前的 APT 团体列表。

TTP 是 战术、技术和程序 的首字母缩写,但这些术语各是什么意思呢?

  • 战术 是对手的目标或目的。
  • 技术 是对手实现目标或目的的方式。
  • 程序 是技术的执行方式。

如果现在还不清楚,请不要担心。希望随着您逐步了解每个部分,TTP 会变得更加有意义。

ATT&CK® Framework

什么是 ATT&CK® 框架?根据 网站,“MITRE ATT&CK® 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。” 2013 年,MITRE 开始解决记录和记录 APT(高级持续威胁)团体针对企业 Windows 网络使用的常见 TTP(战术、技术和程序)的需求。这始于一个名为 FMX(米德堡实验)的内部项目。在这个项目中,选定的安全专业人员负责模拟针对网络的对抗性 TTP,并从针对该网络的攻击中收集数据。收集到的数据有助于构建我们今天所知的 ATT&CK® 框架的初始部分。

ATT&CK® 框架多年来不断发展壮大。一个值得注意的扩展是该框架仅专注于 Windows 平台,但已扩展到涵盖其他平台,例如 macOS 和 Linux。该框架得到了许多来源的大力支持,例如安全研究人员和威胁情报报告。请注意,这不仅是蓝队成员的工具。该工具对红队成员也很有用。

如果您还没有这样做,请导航到 ATT&CK® 网站

请将注意力集中在页面底部以查看ATT&CK® 企业矩阵。矩阵顶部有 14 个类别。每个类别都包含对手可以用来执行该策略的技术。这些类别涵盖了七阶段网络攻击生命周期(感谢洛克希德马丁公司提供网络杀伤链)。

img

(ATT&CK Matrix v11.2)

初始访问下,有 9 种技术。有些技术有子技术,例如网络钓鱼。

img

如果我们点击右侧的灰色栏,就会出现一个列出子技术的新图层。

img

为了更好地了解此技术及其相关子技术,请单击“网络钓鱼”。

我们已转到一个专门介绍网络钓鱼技术的页面,其中包含与该技术相关的所有信息,例如简要说明、程序示例缓解措施

img

您也可以使用搜索功能来检索有关给定技术、子技术和/或组的所有相关信息。

img

最后,可以通过 MITRE ATT&CK® Navigator 查看相同的数据:“ATT&CK® Navigator 旨在提供 ATT&CK® 矩阵的基本导航和注释,这是人们如今在 Excel 等工具中已经做的事情。我们将其设计得简单而通用 - 您可以使用 Navigator 来可视化您的防御覆盖范围、红/蓝队计划、检测到的技术的频率或您想要做的任何其他事情。”

您可以在访问组或工具页面时访问 Navigator 视图。ATT&CK® Navigator Layers 按钮将可用。

img

在子菜单中选择查看

img

让我们熟悉一下这个工具。点击此处查看 Carbanak 的 ATT&CK® Navigator。

左上角有 3 组控件:选择控件层控件技术控件。我鼓励您检查每个控件下的每个选项以熟悉它们。最右边的问号将提供有关导航器的其他信息。

img

总而言之,我们可以使用 ATT&CK 矩阵将威胁组织与其策略和技术进行映射。可以使用多种方法来启动搜索。

以下问题将帮助您更熟悉 ATT&CK®。建议从 网络钓鱼页面 开始回答问题。请注意,此链接适用于 ATT&CK 矩阵的第 8 版。

CAR Knowledge Base

Cyber Analytics Repository

CAR 的官方定义是“MITRE 网络安全分析存储库 (CAR) 是 MITRE 基于 MITRE ATT&CK® 对手模型开发的分析知识库。CAR 定义了一个数据模型,该模型在其伪代码表示中得到利用,但也包括直接针对其分析中的特定工具(例如 Splunk、EQL)的实现。在覆盖范围方面,CAR 专注于提供一组经过验证且解释良好的分析,特别是关于其操作理论和原理。

与其进一步尝试解释什么是 CAR,不如让我们深入研究一下。凭借上一节中新获得的知识,我们应该感到舒适并理解 CAR 向我们提供的信息。

让我们从查看**CAR-2020-09-001:计划任务 - 文件访问**开始我们的旅程。

访问该页面后,我们会看到分析的简要说明和对 ATT&CK 的引用(技术子技术策略)。

img

img

我们还提供了伪代码和有关如何在 Splunk 中搜索此特定分析的查询。伪代码是一种简单易懂的方式,用于描述程序或系统将执行的一组指令或算法。

img

请注意对 Sysmon 的引用。如果您不熟悉 Sysmon,请查看 Sysmon room

为了充分利用 CAR,我们可以查看 完整分析列表CAR ATT&CK® Navigator layer 以查看所有分析。

Full Analytic List

img

在完整分析列表视图中,我们可以一目了然地看到任何给定分析有哪些可用的实现,以及它适用于哪个操作系统平台。

CAR ATTACK Navigator

img

(紫色突出显示的技术是 CAR 中当前的分析)

让我们看看另一个分析,以了解不同的实现,CAR-2014-11-004:远程 PowerShell 会话

在实现下,提供了伪代码和伪代码的 EQL 版本。EQL(发音为“equal”),它是事件查询语言的首字母缩写词。EQL 可用于查询、解析和组织 Sysmon 事件数据。您可以在此处 中阅读更多相关信息。

img

总而言之,CAR 是寻找比 ATT&CK® 框架中的缓解和检测摘要更进一步的分析的好地方。此工具不是 ATT&CK® 的替代品,而是一种附加资源。

MITRE Engage

MITRE ENGAGE

根据该网站,“MITRE Engage 是一个用于规划和讨论对手交战行动的框架,它使您能够与对手交战并实现您的网络安全目标。”

MITRE Engage 被视为一种对手交战方法。这是通过实施网络拒绝网络欺骗来实现的。

通过网络拒绝,我们可以阻止对手开展行动的能力,通过网络欺骗,我们可以故意植入物品来误导对手。

Engage 网站提供了一个 入门套件,让您“开始”使用对手交战方法。入门套件是一组白皮书和 PDF,解释了各种清单、方法和流程,以帮助您入门。

与 MITRE ATT&CK 一样,Engage 有自己的矩阵。下面是Engage Matrix的视觉效果。

img

(Source: https://engage.mitre.org)

让我们根据 Engage 网站上的信息快速解释一下每个类别。

  • 准备一组可实现您期望结果的运营行动(输入)
  • 当对手触发您部署的欺骗活动时,揭露对手
  • 通过执行将对其运营产生负面影响的行动来影响对手
  • 通过观察对手来获取信息并了解有关其作案手法 (TTP) 的更多信息
  • 了解运营行动的结果(输出)

请参阅 Engage 手册 了解更多信息。

您可以与 Engage Matrix Explorer 进行交互。我们可以根据 MITRE ATT&CK 中的信息进行筛选。

请注意,默认情况下,矩阵重点关注 Operate,其中包括 ExposeAffectElicit

img

如果您只想关注矩阵的那部分,可以单击准备了解

img

以上概述应该足够了。我们将让您自行探索本网站提供的资源。

在继续之前,让我们通过回答以下问题来练习使用此资源。

MITRE D3FEND

D3FEND

这个 MITRE 资源是什么?根据 D3FEND 网站,此资源是“网络安全对策知识图谱”。

D3FEND 仍处于测试阶段,由美国国家安全局网络安全局资助。

D3FEND 代表检测拒绝破坏框架增强网络防御。

截至撰写本文时,D3FEND 矩阵中有 408 个工件。参见下图。

img

让我们快速浏览一下 D3FENDs 的一个工件,例如Decoy File

img

如您所见,我们为您提供了有关该技术是什么(定义)、该技术如何工作(工作原理)、实施该技术时需要考虑的事项(注意事项)以及如何利用该技术(示例)的信息。

请注意,与其他 MITRE 资源一样,您可以根据 ATT&CK 矩阵进行筛选。

由于此资源处于测试阶段,并且将在未来版本中发生重大变化,因此我们不会在 D3FEND 上花费太多时间。

此任务的目的是让您了解此 MITRE 资源,并希望您能在未来随着它的成熟而关注它。

ATT&CK® Emulation Plans

如果 MITRE 提供给我们的这些工具还不够,在 MITRE ENGENUITY 下,我们还有 CTID对手模拟库ATT&CK® 模拟计划

CTID

MITRE 成立了一个名为 威胁知情防御中心 (CTID) 的组织。该组织由来自世界各地的各种公司和供应商组成。他们的目标是对网络威胁及其 TTP 进行研究,并分享这项研究,以改善所有人的网络防御。

CTID 的部分参与者公司和供应商:

  • AttackIQ(创始人)
  • Verizon
  • Microsoft(创始人)
  • Red Canary(创始人)
  • Splunk

根据网站,“*我们与参与者组织一起,通过开源软件、方法和框架,为更安全的世界开发解决方案,并推进威胁知情防御。通过扩展 MITRE ATT&CK 知识库,我们的工作通过公开发布对更好地了解对手行为及其动向至关重要的数据集,扩大了全球对网络对手及其技艺的了解。”

对手模拟库 & ATT&CK® 模拟计划

对手模拟库 是一个公共库,用于制作对手模拟计划是蓝/红队成员的免费资源。库和模拟是 CTID 的贡献。目前有多个 ATT&CK® 模拟计划APT3APT29 和 **FIN6**。模拟计划是关于如何模仿特定威胁组的分步指南。如果任何一位高管问:“如果 APT29 袭击我们,我们会怎么样?” 这个问题可以通过参考模拟计划的执行结果轻松回答。

ATT&CK® and Threat Intelligence

威胁情报 (TI)网络威胁情报 (CTI) 是归因于对手的信息或 TTP。通过使用威胁情报,作为防御者,我们可以就防御策略做出更好的决策。大型公司可能有一个内部团队,其主要目标是除了使用已经可用的威胁情报外,还为组织内的其他团队收集威胁情报。其中一些威胁情报可以是开源的,也可以通过与供应商的订阅获得,例如 CrowdStrike。相比之下,许多防御者在某些组织中身兼数职,他们需要从其他任务中抽出时间来专注于威胁情报。为了迎合后者,我们将研究使用 ATT&CK® 进行威胁情报的场景。威胁情报的目标是使信息可付诸行动。

场景:您是航空业的安全分析师。您的组织正在将其基础设施迁移到云端。您的目标是使用 ATT&CK® 矩阵收集有关可能针对该特定行业并使用针对您关注领域的技术的 APT 组织的威胁情报。您正在检查是否存在覆盖范围的空白。选择一个组织后,查看所选组织的信息及其策略、技术等。

Conclusion

在这个房间里,我们探索了 MITRE 为安全社区提供的工具/资源。这个房间的目标是向您展示这些资源,并让您对其用途有基本的了解。全球许多安全产品供应商和安全团队都认为 MITRE 的这些贡献对于日常阻止邪恶的努力非常宝贵。作为防御者,我们掌握的信息越多,我们反击的能力就越强。你们中的一些人可能正在寻求转型成为 SOC 分析师、检测工程师、网络威胁分析师等。这些工具/资源是必须知道的。

然而,如前所述,这不仅适用于防御者。作为红队成员,这些工具/资源也很有用。你的目标是模仿对手并试图绕过环境中的所有控制。有了这些资源,作为红队成员,你可以有效地模仿真正的对手,用双方都能理解的通用语言传达你的发现。简而言之,这就是所谓的紫队