[2022] 威胁建模(一): 为什么我们需要att&ck矩阵 huoji 威胁追踪,高级威胁,att&ck 2022-08-09 1694 次浏览 1 次点赞 ### 一切的开始 杀毒软件的工作原理: ![](https://key08.com/usr/uploads/2022/08/3793640254.png) 以上方法对于家庭电脑是没有问题的,因为出现了未知病毒感染了几个家庭电脑后,这个病毒就已经被杀软捕获分析并且拉黑了 但是对于没有见过的病毒来说,杀毒软件需要一段时间进行人工分析.而人工分析需要的时间又非常的多. 但对于安全需要极高的电脑来说,比如政府、军用的电脑,是不允许感染任何病毒的,因此这种杀毒软件的模式无法满足需要. 另外对于"APT"组织的攻击,如美国国家安全局NSA等黑客组织的专业攻击,他们的病毒绝对是之前没有见过的病毒. 杀毒软件也绝对不可能捕获到这些攻击. 专业的黑客组织会将木马伪造成正常文件诱导用户点击打开,而对于杀毒软件,他们在投毒之前就已经确信能100%防止被找到 ### EDR背景的提出 对于非常需要安全措施的电脑,EDR 即终端检测响应(endpoint detection response)概念被提出来了 最简单的理解,客户的一台重要电脑是终端,服务端负责检出,还有专业的安全团队做出响应,防止客户遭到攻击 而EDR则是这一系列流程的概括. ### 行为检测概念 对于新型威胁,如点对点攻击,国家级的黑客组织的入侵.国外在12年左右发布了行为检出概念.即 不再通过文件进行判断 而是通过软件的行为,进行威胁检测. 举个例子,QQ.exe在某一天突然把你的电脑文件加密了,传统杀毒软件是无法检测到的,因为他们认为QQ是可信的白名单文件而基于行为检测的EDR,则可以很容易的发现,QQ.exe是坏东西.这就是EDR的基础.即上报行为日志,分析行为日志,找出威胁 ### 行为检测遇到的问题 由于要做行为检测,则需要"软件每做一个动作,我们的EDR就要记录一个动作". 这会导致非常多的日志,在未处理的情况下,我们需要面对9,00000/分钟的数据量一台电脑. 因此,如何在海量的行为中检索出数据、对数据进行过滤是行为检测所遇到的问题 ### ATT&CK 为了解决海量数据的问题.国外提出了att&ck的架构(不准确,最开始是为了标记出全部可能的攻击手法,但是可以这样理解) att&ck是个矩阵,大概类似于这样: ![](https://key08.com/usr/uploads/2022/08/1828575669.png) 这个矩阵容纳了所有可能的攻击方法.分别为 TA ->即战术 T->即技术 比如开机自启动,我们可以这样形容这个行为: Persistence(持久化)-→Boot or Logon Autostart Execution(在启动阶段自动启动) 如果翻译成机器能识别的东西: TA0003 ->T1547 具体的TA和T可以参考ATT&ck的官网: https://attack.mitre.org/ EDR要做的是将行为通过规则匹配变成这些矩阵的里面的T 最终理想的效果如下: 一个恶意软件,他的特征码在传统软件里面如下: E48E13207341B6BFFB7FB1622282247B 一串hash 一个恶意软件,他的特征码在EDR的软件里面如下: T1083 T1490 T1135 T1486 T1016 T1057 代表:它会会扫描进程,结束指定进程.并且会关掉系统恢复功能,然后识别网络,扫描网络的同时扫描本地文件,最后加密文件 那么,他就是一个勒索软件病毒的特征码 ### 对比特征码的方案 文件特征码通常是一个文件对应一个特征码.会有无穷无尽的文件,有无穷无尽的特征码 而EDR的att&ck他是有限的集合.一个特征库,文件特征积累了20年,那么可能因为系统更新之类的原因,也就10年内的能用,并且每次遇到一个新的文件,就需要新加一个特征库.简而言之,需要不断更新、不断淘汰.否则就会落后. 并且还是不能识别出新型病毒,依然需要人工分析病毒然后入库一个行为特征库,积累20年,基本上能覆盖到各个家族的木马病毒.以及各个可能的攻击手法.甚至是可以通过行为推断出这个软件是什么软件. ### 总结 简而言之,越老能力越强.att & ck还作为一个能力指导框架,标准化评估目前的产品与攻击手法,一个安全产品的好坏可以通过att&ck这个矩阵的覆盖度来评估,覆盖越多代表能检测的手段越多. 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 1
还不快抢沙发