ATT&CK攻击艺术的科学化
MITER ATT&CK( Adversarial Tactics, Techniques, and Common Knowledge)是基于现实世界观察结果的全球对抗性战术和技术知识库。ATT&CK知识库被用作开发企业、政府以及网络安全产品和服务社区中特定威胁模型和方法的基础。MITRE 受政府资助2010年开发了一个靶场-米德堡垒实验研究环境(FMX),在靶场中仿真了真实的环境,定期的红蓝对抗,用“假设攻陷泄露”方式来观测APT,以便更快的检测。ATT&CK同时被敌方仿真团队(用于攻击场景开发)和防御团队(用于分析测量过程)使用,实际上也是对抗性科学。
大家对ATT&CK褒贬不一,赞同说,ATT&CK开始将攻击的艺术科学化,不赞同的,ATT&CK字典根本没法实操。诚然,ATT&CK当前不太完善,但是看ATT&CK,要从科学角度、军事角度和攻防角度来看。
ATT&CK实质上一个枚举字典,语义网本体URI/IRI,通俗的讲,以往来自五湖四海的人们操着各地方言口语沟通的时候非常困难,更不用说文言文和口语之间巨大的鸿沟,但中华民族文化的传承恰恰在于“书同文“:它允许人们将方言映射到新华字典上的字,听不懂就可以用普通话,再不行就写下来,遇到生词还可以查什么意思,从而人们相互才能了解彼此表达的意思。中国的大一统,很多人认为归功于秦始皇的“车同轨,书同文“,虽然中国博大,十里不同音,但是,我们可以写字,或者拿着一个新华字典,说普通话进行交流。
很多人将互联网的快速发展归功于HTML语言的推广,从HTML到Web 2.0,语义网的研究促进互联网知识的高速发展,内容制造者不用考虑太多,只需按照HTML的格式写一篇文章,不管是IE、Chrome、还是手机,最终的显示样式是相同的。
MITRE公司成立于1958年,前身为麻省理工学院林肯实验室,MITRE公司的客户主要包括美国国防部、联邦航空管理局、美国国税局、美国国家航天局和国土安全部等。除此之外,MITRE公司还代表美国政府管理着美国联邦政府投资研发中心,以及美国政府在科技前沿领域的权威性顾问组织。1950年开始主导研制Semi-Automated Ground Environment (SAGE)防空系统,进行基于雷达的早期预警研究,SAGE于1963年投入运营。它在计算,软件,信息显示,通信,程序管理和系统工程方面产生了众多创新。诞生了如国家空域系统,机载预警和通信系统(AWACS),联合战术信息分配系统(JTIDS)和联合监视目标攻击雷达系统(联合STARS)等重大工程,1972年MITRE成为ARPAnet(internet前身)的第三批用户。MITRE主要做雷达系统的态势感知的数据融合工作,诞生了很多成果,1992年其提出了软件定义无线电(Software Defined Radio,SDR) 的概念,促进了C4I发展。
911事件后,MITRE开始情报元语言的研究,主要911后,FBI、CIA、NSA等等都站出来说我有情报,美国政府讽刺都是“事后诸葛亮”,政府发现每年几万人的情报机构竟然无法沟通,每年几十万份情报报告,散落在各个角度,得不出一个结论。于是美国开始做“情报治理”(套用一下现在流行词“数据治理”)。美国颁布了著名《情报改革法》,成立了DHS国土安全局(整合边检、FBI等),鉴于NSA和CIA的扯皮,成立了ODNI联邦情报总监办公室,其使命就是整合情报社区,输出有见识的情报。这已经不是第一次整合了,罗斯福二战成立了美国战略情报局,战时还好,战后部门扯皮,杜鲁门只能只能拆了,国内给FBI(司法部),对外情报新成立了CIA,军方NSA。这次新成立ODNI统管CIA、DHS、NSA,以及其他一些情报机构(如管间谍卫星的)。ODNI后来就努力推动情报共享,MITRE本身擅长做系统工程,这个系统工程是大概念,主要是从系统、生态角度考虑整体。参与NIEM国家语言模型、国家检查表、NVD国家漏洞库、国家配置库等系统,当然还有STIX模型等,其重点就是跨领域语言交换。走的是踏踏实实的知识工程路线,比如NVD国家漏洞库,16万个漏洞每个都是有CVE通用漏洞枚举编号,CWE通用隐患枚举,CVSS评分,CPE通用平台枚举。使得不同机构的知识能够通过标准化的方式整合,不同类型的信息也能组成结构化和非结构化的知识。
从信息安全的发展历史看,在MITRE的CVE体系之前,很多公司都说自己很厉害,能发现0day,但是这些知识只是放在各个公司里面,不能互通。而国家漏洞库NVD出现后就不同了,CVE的申报有一个严格评审流程,通过评审委员会评审,不是公司自己说发现0day就是0day的,不是说严重就是严重的,漏洞的风险值是通过流程和标准计算出来的,如果最后风险值是5,那该漏洞就是中风险的。君不见国内某公司说我提交了xxx个漏洞,但是一查,大多都是临时CVE编号。MITRE辛辛苦苦地积累漏洞,构建了一个巨大的知识工程。极大促进了各个机构和公司间的知识和威胁防护经验共享,例如,原来各个公司的扫描器都有自己格式,扫描出一个漏洞,你家叫“永恒之蓝”,他家却叫“永恒之绿”。而CVE体系建立后,所有机构都用CVE ID作为本体标记漏洞,这样,报告送上来,虽然扫描器厂家不同,但是结果上级单位都能理解。
现在政府再提数据治理,也是要解决十里不同音的问题,之前办个事情,要跑十多个部门,效率极低;现在要求提升效率,我要开公司,跑一次综合办证大厅,就办完工商、税务等。这就要求我们要数据治理,数据共享,提升社会治理水平。现在数据治理基本靠人治,程序员互相协商。美国怎么解决数据治理问题,也是依靠语言。就是著名的NIEM国家语言模型,通过定义核心词汇表,领域词汇表,来迅速互相理解,如果不理解,直接上NIEM网站下载词汇表,查语法,看解释就可以了,这样部门间的数据治理可以快速打通,另外,解决了互操作问题,2018年最佳实践就是,海军的摄像头到了陆军用不了。结果用这个解决了。中国也搞了CIEM中国国家信息交换模型(China Information Exchange Models),CIEM定义为在信息世界中,对在物理世界中的各种事物的结构化规范描述。这些事物包括实在的物体、抽象的概念、以及他们之间的关联等。CIEM在概念上与语义网的本体、知识图谱的知识定义、知识框架或者知识体系相近,是一种机器可读的知识词典。CIEM可用于数据治理、数据资源组织、信息共享交换、知识图谱等领域。
美国目前建设全国性的态势感知NCPS和CDM项目,在漏洞管理领域,同时用很多公司扫描器,所有输出报告按照CVE语言,最终促进扫描器厂商的良性竞争,这就是SCAP安全自动化项目。当定义了统一的语言后,FISMA 2.0就可以实现近乎实时的风险管理,美国态势感知的凯撒模型的四大能力之一是ad-hoc能力,下级的风险状况、态势感知能迅速传到上级。从而,CISA(网络安全与基础设施安全局)能看到各个单位的风险状态,并能横向评比。所有这一切靠什么?靠网络安全的“书同文”!在威胁管理层面,则目前主要依靠stix和TAXII,主要是的已知IOC(IP、域名、邮箱、文件MD5)防御,从ATT&CK来看,其希望基于行为来防御更多的未知APT。
毕竟来之战场的C4ISR体系核心也是语言,小队态势感知必须要迅速ad-hoc上上级态势感知平台,完成上传下达。
在联合条例(JP)1-02《美国国防部军事及相关术语词典》中定义如下:
战术:协调使用并有序部署军队。
技术:用于执行战斗行动、履行职责或任务的非规定方式或方法。
过程:规定如何执行特定任务的标准和具体步骤。
在ATT&CK里面:
战术:表示攻击过程中的短期战术对手目标(各栏);
技术:描述对手实现战术目标的手段(各个单元);
过程:记录下敌方使用的技术和其他元数据(链接到技术)。
TTP概念是军事的,美军的靶场5大使命其一就是TTP开发,网络靶场也是围绕TTP开发。CyGraph使用了层级的图结构,包括网络架构(Network Infrastructure)、安全状态(Security Posture)、网络威胁(Cyber Threats)、任务依赖(Mission Dependencies)四个层次的图数据,大家知道图谱的分层也是难点。这样,我们看到战场地图的图谱化,敌我态势的图谱化,战术依赖图谱,网络威胁图谱。
笔者在研究态势感知时候,需要进行态势推理,但是发现推理路线建立非常困难。读了MITRE公司的资料,才发现人家在网络靶场(米德堡垒FMX)里测试验证,先研究攻击,再研究防守。甚至出了开源的红队软件(MITRE的Red Canary Atomic Red Team:一个开源的小型,高度可移植的测试集合,映射到ATT&CK框架中的相应技术。这些测试可用于验证检测和响应技术和过程。)
想象一下,指挥官在VR系统上,基于战场态势感知获取的战场地图(网络拓扑)和安全状态(知晓某个节点有漏洞),选择合适战术TTP(先后攻击A,B,C),然后从任务依赖里面选择对应武器(技术,比如组装0day和木马,或者各种POC武器)和过程,然后一键通知各个小队攻击。指挥官再依据战场态势感知进行效果评估,看看不用二次轰炸。这套东西,要显示在VR头盔里面,就要把知识语言化、图谱化。
顺便说一下我们也搭建了绿盟靶场,进行仿真环境下的APT攻击和防护,技术路线是相同的,当前主要仿真乌克兰、海莲花等热门APT组织,同时和一些高校进行合作。从知识图谱角度看知识积累在英文中情报和智能一个词,实际上研究威胁情报都是在研究人工智能,要让计算机理解,于是,我们要有语法、有字典、有常识库,没有病例库,计算机也没法学习,所以我们用知识图谱去积累,有了病例库,我们就可以预测,预警。网络安全知识图谱和医疗知识图谱的难点一样,我们不希望像中医概括那么高,五脏,阴阳五行,要么肾虚,要么阴虚,结果只能几个老中医使用。我们希望将知识结构化,统一存下来,将众多高手的经验存在图谱里面,为下次的医疗服务。同样的,网络安全领域也有阴阳五行之类的高层模型,就是kill chain,stride模型,ATT&CK属于中层模型。但是实际上,也慢慢向capec和meac等下层模型靠拢。我们有高层次的kill chain模型,有了阴阳五行,还需求中医四大名著,有命名(感冒、咳嗽、心悸)、有病例,还需要望闻问切,需要有知识图谱病例库。知识图谱里面把中医命名和西医命名连起来(西医:急性上呼吸道感染=中医:感冒 ,西医:急性气管-支气管炎=中医:咳嗽),这样我就不用管中西医了,可以构建智慧医疗核心医疗知识图谱(病例库),同样的,智慧安全的核心也在安全知识图谱(安全病例库)。ODNI的cyber framework和ATT&CK都尝试做NLP工作,通过已经构建的字典,如何在海量异构数据中,主动寻找知识,然后结构化的存储到图谱里面,形成巨大的病例库,从ATT&CK来看,也是通过人工方式做了苦活累活,把本体建好,把字典建好,然后,规范大家的语言,提升知识融合的效率。当前讲95个APT组织信息结果化,存储起来。支撑美国政府在《联邦公报》公布制裁APT组织。
互联互通互操作支撑国家战略当前在威胁管理层面,一直缺乏有效类似NVD的知识管理体系,MITRE凭借CVE的成果经验,推广ATT&CK,在威胁管理层面统一语义,字典,统一APT组织命名(当前已有95个APT组织、一百多个别名),所以后续ATT&CK很可能与CVE类似:当发现一个APT组织时,先按照ATT&CK语言提交,经过评审后颁发一个独创APT证书,然后所有机构就知道该APT组织了。ATT&CK不负责发现APT组织,它仅仅是大牛们的知识搬运工。然后NCPS国家网络安全保护系统(爱因斯坦新一代,增加了大数据分析,具有检测、分析、情报共享、预防4大能力)上运用这些知识,不管接入哪个厂商的NIPS、EDR、沙箱,都要按照这些知识检测APT,沟通语言也是一致的,然后建立一套国家级的防御体系,应用间通过机器语言沟通,在网络空间安全领域进行互联互通互操作。MITRE 官方说“我们的使命是创造新的方法和技术来阻止、发现、破坏和欺骗攻击美国网络和信息的对手。我们正在建立可信赖和有弹性的系统,并使网络空间业务能够灵活地指挥和控制。”不知不觉,NSA和MITRE已经构建了一个大网。美军正在推进全域联合作战,TAXII互联,STIX互通,OpenC2互操作。
国内有中电科主导的CEIM中国国家信息交换模型,方滨兴院士、贾焰老师在推动实战下的网络靶场,CNNVD国家信息安全漏洞库在知识积累方面做了大量的工作,但是这些目前仍然缺乏整合。特别是缺乏威胁描述语言方面的建模词典,在实战角度上的靶场如何指导防御仍然是我们研究的重要方向。绿盟在靶场、知识图谱、威胁元语言的探索,目标也是为了更好促进绿盟设备间的互联互通互操作,更好进行APT防护。
海湾战争以后的美国空军如玩空战游戏一样进行空袭,而未来的网络战也会是攻击者如打游戏般地攻击、防守者如打游戏般地防守的场景。武器装备的先进性、指挥系统的智慧程度变得非常重要,CVE也好,ATT&CK也罢,都是帮助赢得网络战的利器。
诚然,游戏中虽然有高性能的计算机辅助决策,但最终赢得游戏的还是靠人的智慧和敏捷。网络攻防终究靠不是机器而是人之间的博弈,人是不可替代的。基于前述的知识体系,我们只需要积累大牛知识,然后形成指令并下发,让机器忠实执行即可。毕竟,我们都是普通人,但也都是有智慧的人。参考链接:
[1].《MITRE ATT&CK™: Design and Philosophy》 https://www.mitre.org/publications/technical-papers/mitre-attack-design-and-philosophy
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们