背景介绍
网络防御传统上侧重于使用纵深防御技术来抵挡攻击者访问组织的网络或关键网络资产。如果,当一名防御者(defenders)引入了欺骗性的工件(artifacts)和系统,这会立刻增加攻击者的怀疑:我刚刚访问的系统合法吗?我刚刚窃取的数据是真的吗?这无疑会提高巨额的攻击成本并降低攻击者网络行动的价值。但是同时,这样的做法也会提高防御者的运营成本。
美国国防部将积极防御定义为“利用受限的进攻性行动和反击,以拒止敌手进入有争议的地区或阵地。”积极防御的范围从基本的网络防御能力到网络阻断、网络欺骗和对手交战行动。这些防御措施的组合,使一个组织不仅能够抵'制当前的攻击,而且能够更多地了解对手,更好地为将来的新攻击做好准备。
Mitre一直希望在积极防御方面给予防御者帮助,同时在防御者(defenders)、供应商(vendors)和决策者(decision-makers)之间的架设一道桥梁。在这种背景下, 2021年9月 Mitre 推出了Engage框架,同时取代了 MITRE Shield知识库(积极防御知识库)。在积极防御方面给予防御者指导。在防御范围内进一步控制攻击者,主动在内部网络环境与之互动及抗衡,是MITRE对于积极防御的一大重点。
前言
2022年2月28日,全新改版的MITRE Engage网站上线。距离2021年9月,Mitre发布Engage 不到半年的时间,Engage框架迎来了又一重大动作。
1. 本次更新,MITRE 发布了Engage框架的V1.0版,并且公开了一系列指导文件,对Engage框架落地进行了一些可实际操作的指导;
2. 本次发布了对手交战的10步流程,可帮助防御者完成从计划到交战再到分析的操作过程;同时增强了Engage与ATT&CK的关联性。
3. 但是我们也要看到,本次Engage框架V1.0中活动的具体内容描述还有缺失,网站的内容更新还在持续,指导文件的实际可操作性还需要实践检验。
什么是Mitre Engage
MITRE Engage主要用于规划和讨论对手交战行动。
建立之初,创建Engage框架是为了帮助企业、政府、网络安全产品和服务社区进行对手交战战略计划,执行对手交战技术。这次的新版的Engage,再次明确Engage 矩阵是防御者(defenders)、供应商(vendors)和决策者(decision-makers)之间的桥梁,协助制定阻断、欺骗和对手交战等活动的协同作战计划。
防御者通过规划和分析的视角看待阻断和欺骗活动,可以发现对手交战的更多机会
对手交战的目标
对手交战的目标包括:检测网络上的攻击者;获取情报以了解攻击者及其TTP;通过提高成本影响攻击者,同时降低其网络行动的价值。当对手交战与纵深防御技术搭配使用时,防御者能够主动地与网络攻击者“互动”,以实现防御者的战略目标。整个对手交战行动是一个不断迭代的、目标驱动的过程,而不仅仅是技术堆栈的部署,绝不是部署一个诱饵就能取得成功的。相反,用户必须认真思考防御目标是什么,以及如何利用阻断、欺骗和对手交战来推动这些目标的进展。
使用MITRE Engage循环将Engage整合到你的网络防御战略中
对手交战成功要素
一个成功的对手交战行动包括四个主要要素:叙述故事、交战环境、监控和分析。每个组成部分都扮演着特定的角色,为一项行动的既定目标贡献着特定的目标。
叙事故事是在交战行动中向攻击者描述的整个欺骗故事。
交战环境是指交战活动进行的环境系统。这个环境是精心定制的,高度仪器化的环境。这个环境可能是完全隔离的,独立部署的,也可能是在生产环境中集成的。
运营的监控是对手交战活动成功的重要要素。交战的操作员在环境中对攻击者各种行动的可视化至关重要。
分析利用现有的网络威胁情报(CTI)和来自前面提到的监控数据可以对环境中的攻击者行为进行分类、理解和学习,形成分析情报。
开展对手交战行动时应考虑的问题
02 对手交战框架(Engage Matrix)V1.0
对手交战框架V1.0
MITRE Engage的一个核心产品是Engage Matrix,它基于MITRE在对手交战方面的专业知识以及MITRE对现实世界中观察到的攻击方行为的了解而构建。
此次更新,MITRE Engage 发布了对手交战框架V1.0版。对手交战框架 V1.0在交战目标、交战方法方面保留了原版的内容,在交战活动(Engage Activities) 方面进行了更新,增加了新的交战活动。
MITRE Engage V1.0
Engage矩阵
Engage矩阵由以下核心组成部分组成:交战目标、交战方法和交战活动。
矩阵顶部是交战目标(Engage Goals)。交战目标是防御方希望交战行动实现的高水平成果。这部分主要包括:准备(Prepare)、暴露(Expose)、影响(Affect)、引出(Elicit)和理解(Understand)。
下一行包含交战方法(Engage Approaches)。方法可以让用户朝着选定的目标前进。
矩阵的其余部分由交战活动(Engage Activities)组成。活动由真正的对手行为驱动,是用户在交战方法中使用的具体技巧。
在矩阵中,对手行动分为两类。
一类是战略行动(Strategic actions),矩阵中黄色的部分,主要确保防御者通过战略规划和分析适当地推动交战行动。
另一类是交战行动(Engagement actions),矩阵中蓝色的部分,它的目标、方法和活动是传统的网络阻断和欺骗活动,用于推动防御者实现目标。当对手做出特定行为时,他们很容易暴露出无意中的弱点。
在Engage中,通过查看每个ATT&CK®技术,以检查发现的弱点,并确定一个或多个利用这一弱点的交战活动。通过将交战活动映射到ATT&CK,用户可以更好地规划哪些活动将使用户能够实现自己的战略目标。
战略行动
交战行动
每个目标、方法和活动都有一个独特的ID。但是在新版的Engage矩阵网站中并没有给出每个方法和活动的具体定义和ID号码,估计更新还需要时间。
缺失的定义
03 对手交战的操作性指导
为了帮助从业者“落地”MITRE Engage,MITRE Engage团队公开其内部运营团队使用的一些资源,发布了一系列文档,对对手交战框架落地进行了务实的可操作性指导。
对手交战实用指南 | 提供了一本战术提示和技巧手册,可帮助团体开始开展对抗性'交战行动。这本《对手交战实用指南》介绍了Engage的框架结构、和ATT&CK映射的关系、对手交战行动的要素、对手交战行动安全(OPSEC)、对手交战的10步流程、以及一些操作模板(主要包括团队培训和组织、角色和责任、生命周期模板) |
基本任务列表 METL | 基本任务列表是MITRE Engage Team 的METL操作性模板,用于引导用户操作。METL是一种用于确定培训要求和资格、建立团队目标并推动进展来实现目标的结构。本文档可作为实施对手交战团队的示例性METL。METL由一系列基本任务(MET)组成。每项任务都是一项核心活动,必须在交战行动的规划、执行或分析阶段完成。这些基本的任务应该推动行动朝着目标结果的方向发展 |
如何开发对手交战专业知识 | 本文档提供了有关如何使用 METL 结构为您的团队制定培训计划的高级摘要。这是一份简短的白皮书,介绍如何使用 METL 结构在团队中开发对手交战 ( Adversary Engagement 即 AE) 专业知识。 |
角色档案工作表 | MITRE Engage 团队改编了 MITRE Innovation Toolkit 的Personas 工具的一个版本,以帮助防御者在对手交战过程中虚构一些人员角色。该工具可作为如何在交战环境中建立一些虚构的带有欺骗性质的角色的指南。主要包括姓名、出生日期、出生地、头衔工作时间、休息时间、用户名和密码等等一个网络虚拟角色所需要的内容。根据运营目标和可用资源的区别,角色所需的详细程度可能会有所不同。 |
组织欺骗性信息工作表 | 本表主要用于构建对手交战中的叙事故事,帮助用户在交战行动中更好的描述整个欺骗故事。要讲述一个连贯有效的交战叙事故事,需要考虑一下问题,你需要攻击者在交战环境中看到什么?你希望攻击者如何看待交战环境?你希望攻击者在交战环境中做什么?根据对这些问题的回答,防御者(defender)可以决定透露或隐藏哪些事实和虚构的内容。 |
为对手交战行动制定指南 | 本文件详细介绍了MITRE Engage ™ 团队如何为对手交战行动设置环境。为了进行安全有效的交战行动,有必要构建两个不同的环境:用于监控的收集系统(CS)和用于交互的交战环境(EE)。收集系统是一组系统,用于从交战中收集工件和其他数据,以监控交战。交战环境是一套精心定制的、高度仪器化的系统,以逐个交战为基础设计,作为交战叙事的背景。这是对手交战行动的实际环境。 |
操作数据模板 | 在对手交战行动中,小心得存储交战数据非常重要。这个模板提供了组织和存储交战数据(operational data)的指南。 |
对手交战入门工具包 | 入门工具包是一些降低壁垒有利于进入对手交战中的资源,是Engage全部的资料集合。 开始使用对手交战可能会让人不知所措。为了帮助支持所有防守者(defender)、决策者(decision)和供应商(vendors)的新员工,Mitre创建了Engage Starter工具包。该套件旨在帮助用户从学习基础知识到将对手交战整合为更大防御网络战略的一部分,从而走向成熟。每一步都包含支持您学习的内容和相关资源。 Starterkit-v1.0 |
04 对手交战的10步流程
对手交战的10步流程可帮助防御者完成从计划到交战再到分析的操作。
2013 年,Hy Rothstein 和 Barton Whaley 共同编辑了一本名为“军事欺骗的艺术与科学”的书。这本书包括一章 Whaley 写的题为“欺骗的过程”的章节,其中他概述了制造军事欺骗的 10 个步骤。Mitre改进了 Whaley 的方法,为阻断、欺骗和对手交战活动创建了一个 10 步流程。
与杀毒软件等其他防御技术不同,对手交战技术不是“开火就忘记”的解决方案。仅仅部署诱饵并宣布成功是不够的。防御者必须批判性地思考他们的防御目标是什么,以及如何利用阻断、欺骗和对手交战活动来推动朝着这些目标前进。
十个步骤
这十个步骤分为三类:准备、交战和理解,与Engage矩阵的交战目标对应。
步骤1-6与Engage Prepare目标下的战略方法和活动相对应。
步骤7对应于“交战-暴露、影响和引出”目标下的交战方法和活动。
步骤8-10对应于Engage-Understand目标下的交战方法和活动。
对于资源有限或网络安全防御方案不太成熟的组织来说,10步流程尤为重要。通过明确定义目标,并确定与这些目标紧密一致的交战范围,即使是小型组织也可以开始将对手交战纳入其防御战略。
对手交战的10步流程
05 Engage与ATT&CK的关联性
将 ENGAGE 映射到 MITRE ATT&CK
当对手从事特定行为时,很容易暴露出意外的弱点。通过查看每个 ATT&CK 活动,防御者可以检查所揭示的弱点并确定利用这些弱点的交战活动。通过将各种交战活动映射到 ATT&CK,防御者可以确保交战矩阵中的每个活动都由观察到的对手行为驱动。在对手的交战行动中,试图预测对手的行动可能很诱人。然而,如果没有对具体的威胁有广泛了解,这种思路可能会导致防御者做出错误或无效的决定。通过映射到 ATT&CK,防御者可以确保他们选择的交战活动适合目标对手。每个映射都包含以下信息:
1. ATT&CK ID & Name – 攻击者采取的具体行动ATT&CK 技术ID名称
2. 对手漏洞 – 对手在从事此特定行为时暴露的漏洞
3. 交战活动——防御者可以用来利用对手暴露的漏洞的行动
增加了MITRE ATT&CK到Engage的映射
在Engage矩阵界面,增加了和MITRE ATT&CK的映射对应,通过组织(GROUP)、Tactic(战术)、Technique(技术)等 MITRE ATT&CK® 过滤条件来进行和Engage的交战活动进行对应。这些映射是一对多的关系。Group:主要包括ATT&CK框架中命名的一些组织名称。Tactic(战术)和Technique(技术)为ATT&CK中的相关内容。
ATT&CK过滤条件
参考
https://engage.mitre.org/