《我是超級工具人》18-以藍隊觀點看MITRE ATT&CK

以前測試防毒軟體我們會看AV-TESTAV-ComparativesVB100認證
但是這只能知道一款防毒軟體是否可以偵測到病毒,而無法得知該產品是否可在駭客入侵的時候就發現並阻止
許多APT組織可以長期潛伏在企業中竊取資料,而不會真的把惡意程式放到主機內,因此單用偵測率無法呈現一款產品的真實防禦能力
而每家廠商對惡意程式、攻擊手法的定義又不同,造成資訊交流困難
因此MITRE組織就發明了一個框架,讓各廠商可以用共同語言,將相似的攻擊手法歸納,並互相交流資訊,這個框架就叫MITRE ATT&CK®
以MITRE ATT&CK®評估資安產品的防禦力,叫ATT&CK® Evaluations2023年評測是以俄羅斯駭客組織Turla為對象

  1. MITRE是美國一非營利機構,專注於國防領域先進計畫
  2. 利用ATT&CK框架,模擬駭客實際攻擊鏈,來考驗資安產品的成效
  3. 基於真實世界觀察攻擊者的戰術、和技術的通用知識庫框架

以藍隊的觀點,我們該如何使用MITRE ATT&CK來加強公司的資安?
藍隊必須查看其對應的攻擊手法之緩解措施,來降低駭客對企業的傷害

MITRE攻擊者框架如下:

  1. 戰術(Tactic):戰術是駭客執行某項行動的戰術目標。如:入侵初期、執行、權限提升、防禦逃避、憑證存取、發現、橫向移動、收集、滲透、指揮與控制…等
  2. 技術(Technique):技術代表對手通過執行動作來「實現戰術目標」的「手法」。實現戰術目標的方法或技術可能很多種,因此每個戰術類別中都有多種技術
  3. 程序(Procedure):駭客使用該技術的過程。該過程是一個特定的使用實例或工具

每個TTPs都有對應的緩解措施(Mitigation)解決或減輕技術(Technique)的可行措施,阻止駭客執行入侵程序(Procedure)

有些攻擊很難預防,只能將傷害降低。例如T1595 Active Scanning:Adversaries may execute active reconnaissance scans to gather information that can be used during targeting. Active scans are those where the adversary probes victim infrastructure via network traffic, as opposed to other forms of reconnaissance that do not involve direct interaction.(攻擊者可能會執行主動偵察掃描,以收集可以在目標攻擊中使用的資訊。主動掃描是指敵人透過網路流量探測受害者的基礎設施,與其他不涉及直接互動的偵察方式不同。)

而這個攻擊的緩解措施為:M1056 Pre-compromise:This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.(這種攻擊手法很難用預防性控制來緩解,因為它是基於在企業防禦和控制範圍之外進行的行為。應該集中在減少外部方可獲得的數據的數量和敏感性。)

以實際情況來說,我們的確無法阻止駭客掃描暴露在網路上的設備,例如防火牆、或email server可以從後台看到有多少攻擊被阻擋

我們可以申請中華電信的入侵防護服務,在電信端就先把攻擊擋下一波,然後不需要的對外服務都關閉,有對外的服務限定IP與次數連線,並開啟兩步驟驗證,達到緩解效果。我們可從下圖看到,每天都有零星的攻擊,駭客瘋起來也收過一週900多次的攻擊

藉由了解駭客的攻擊手法加以緩解,阻止,就可以讓傷害降到最低。知己知彼,百戰不殆,Knowing is half the Battle.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料