梯子加速器:https://www.svpn.me/
ATT&CK背景介绍MITRE是一个由美国政府资助的研究机构,它在1958年脱离MIT,并且参与了许多商业和最高机密项目,甚至一些美国军方的威胁建模项目2013年,MITRE推出了ATT&CK模型,该模型根据实际观测数据对对抗行为进行描述和分类。
ATT&CK将已知的攻击行为转化为结构化列表,将这些已知行为归纳为战术和技术,并通过若干矩阵和结构化威胁信息表达(STIX)、指标信息的可信自动化交换(TAXII)来表述ATT&CK的目标是建立一份已知用于网络攻击的对抗策略和技术的详尽清单。
近年来,随着网络安全的重要地位逐渐显现,ATT&CK框架在安全行业中广为人知简而言之,ATT&CK是MITRE提供的“对抗战术、技术和常识”框架,它就像一个攻击者在攻击企业时使用过的网络攻击兵器谱,总计包含12种战术和244种企业技术。
ATT&CK详细介绍了如何使用每种技术,以及为什么了解这种技术对防御者非常重要它大大有助于安全人员更快地了解不熟悉的技术举个例子,对于甲方企业来说,平台和数据源很重要,企业安全人员需要知道哪些系统应该被监控,哪些系统需要收集,以减轻或检测由于滥用入侵技术而产生的影响。
这时, ATT& CK场景示例就派上用场了对于每一种技术,ATT&CK都有一个特定的场景示例,展示了攻击者如何通过特定的恶意软件或行为方案利用这种技术每一个 ATT&CK例子都是维基百科风格的,引用了很多博客和安全研究团队的文章。
所以,如果 ATT&CK没有直接提供内容,我们通常也可以在链接文章中找到相关内容ATT&CK框架结构就像上文说到的,ATT&CK框架是一个网络攻击中涉及的绝大部分已知策略和技术的知识库,包含200多种攻击者可能会在攻击过程中使用的技术框架。
因为ATT&CK模型较为全面地描述了攻击者在网络攻击中采取的各种攻击行为,所以它对于各种进攻和防御检查、表示以及其它机制都很有用从视觉角度来看,MITRE ATT&CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。
攻击战术展示在矩阵顶部,每列下面列出了单独的技术一个攻击序列按照战术,至少包含一个技术,并且通过从左侧(初始访问)向右侧(影响)移动,就构建了一个完整的攻击序列一种战术可能使用多种技术例如,攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。
1.战术-代表对手的战术目标:执行攻击动作的原因2.技术-表示对手如何通过采取行动来实现战术目标3.程序-特定对手或软件实施技术的确切方法简而言之,ATT&CK框架从技术角度全面分析了高级威胁参与者在其攻击行为中可能使用的所有战术,技术和程序,并将其分为12类。
ATT&CK矩阵顶部为攻击战术,每列包含多项技术ATT&CK战术详解一般情况下,攻击者不会在同一攻击中使用全部12种策略,因为这增加了攻击被发现的几率但这12种战术的次序是一定的,也就是说攻击者的攻击行为在某种程度上是可以预测的,那么我们就有必要依次详细展开说明一下这12种战术。
(1)初始访问第一个战术是初始访问,尽管ATT&CK并非按线性顺序排列,但初始访问是攻击者在企业环境中的立足点从企业角度来说,该战术是从PRE-ATT&CK到ATT&CK的关键过渡点攻击者会使用不同技术来实现这一目的。
抗投诉节点线路:https://shunjian.cf/
(2)执行“执行”战术是所有攻击者都必然会采用的一个战术,因为无论攻击者通过任何手段,都只有选择“执行”战术才能最终达到攻击的目的但换个角度想,既然恶意软件或是代码必须被执行,那么安全防御人员就一定有机会阻止或者检测。
但是,并非所有的恶意代码都可以轻松被发现攻击者会对其精心包装,做了加壳甚至自动备份隐藏,在面对这种机器无法扫描到的情况就需要管理员手动干预(3)持久化“持久化”战术是所有攻击者最喜欢使用的技术之一,除开勒索软件,大多数攻击者的存活时间只取决于他何时被检测系统发现。
在攻击者成功“持久化”之后,即便运维人员采取重启、更改凭据等措施后,持久化依然可以让计算机再次感染病毒或维护其现有连接例如“更改注册表、启动文件夹、镜像劫持(IFEO)”等等(4)提权“提权”战术也是攻击者较为青睐的技术之一。
毕竟,并非每位攻击者都能够使用管理员账号进行攻击,提权成功往往意味着入侵攻击的阶段性胜利,利用系统漏洞达到root级访问权限可以说是攻击者的核心目标之一了(5)防御绕过“防御绕过”战术中有一些技术可以让一些恶意代码骗过防御措施,让这些防御措施失效,也可能使其绕过白名单技术。
例如,修改注册表键值、删除核心文件、禁用安全工具等等应对这一技术,防御方可以通过监视终端上的异常更改并收集关键系统的日志,让入侵绕无可绕(6)凭据访问“凭据访问”也是攻击者当中较为常见的战术之一,“凭据”本身就是攻击者的关键目标之一。
有了凭据,攻击者在节省大量的攻击成本的同时,还能减少攻击被发现的风险毕竟,坚固的堡垒往往容易被从内部攻破
攻击者往往会从ATT&CK矩阵中根据自己的目的选取部分技术(7)发现对防守方来说,“发现”战术可以说是整个ATT&CK框架中最棘手的企业环境下因为业务的正常运营,必然会暴露一些有价值的信息,这些信息往往又是攻击者的目标之一。
容器化的企业环境更是让这一战术更加难以防御,频频爆出的用户隐私泄密便是最好的证明(8)横向移动在攻击者攻入系统后,无论是为了收集信息还是为了下一步攻击寻找突破点,通常都会试图在网络内“横向移动”攻击者一般会先寻找一个落脚点,然后开始在各个系统中试图做出任何可能的移动,寻找更好的访问权限,最终控制整个网络。
(9)收集“收集”战术是一种攻击者为了发现和收集实现目标所需的数据而采取的技术我们可以利用白名单机制对这样的异常行为进行免疫防御(10)命令和控制大多数恶意软件都有一定程度的命令和控制权攻击者可以通过命令和控制权来渗透数据、控制恶意代码。
对于每种命令和控制,攻击者都是从远程位置访问网络因此实时监控、命令和控制对于解决这些技术至关重要(11)数据渗漏攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手数据渗透但并不是所有恶意软件都能到达这个阶段。
例如,勒索软件通常对数据逐渐渗出没有兴趣与“收集”战术一样,白名单机制可以有效的应对这一情况(12)影响“影响”是ATT&CK最后一项战术,攻击者试图操纵、干扰或破坏企业的系统和数据用于“影响”的技术包括但不限于破坏或篡改数据。
在极端情况下,业务流程可能表面上看起来没有问题,但其实已经被秘密篡改总结伴随着容器技术的快速发展,容器安全问题也需要企业用户认真应对同时,开发和运维人员缺乏对容器环境下新型安全威胁和最佳实践的认识,也会使业务从一开始就埋下安全隐患。
Tripwire的调研显示,60%的受访者所在公司在过去的一年中发生过至少一起容器安全事故在部署规模超过100个容器的公司中,安全事故的比例上升到了75%,容器化技术的发展带来的安全风险不容忽视看懂ATT&CK矩阵的战术思路是防守方要迈出的第一步,只有知己知彼才能做到固若金汤。
我们的安全团队建议用户在实施容器化过程中,需谨记以下几点安全规范,从不同角度减轻容器化带来的风险:1.时刻关注,全程监控2.控制权限,防止滥用3.及时升级,防患未然了解更多云原生安全干货知识,欢迎关注我们的同名公众号&视频号,长期分享技术文章!。
【科学翻墙上网地址:vpn.av1o.com】