7 Steps for an APT Detection Playbook using ATT&CK
https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/7-steps-for-an-apt-detection-playbook-using
本世纪初,先进的持续性威胁(APTs)在一小部分行业越来越受到关注,因为它们有能力不被发现,甚至可以通过完美的补丁进入这些企业。然后,在2013年,曼迪昂特发表了一篇关于一名来至cc的威胁行为者的报告,他们将其命名为APT1。麻省理工学院的网络研究人员很早就决定要有一种“假定入侵”的心态,希望这能提高APT检测的成功率。他们首先研究了通过端点接收数据检测APTs的数据源和分析过程。这项研究是2015年发布的ATT&CK(对抗策略、技术和常识)开发实验的开始。
传统上,防守的重点是在外围防守,筑起更高的墙把坏人挡在外面,但业界已经意识到,仅靠这种策略是不够的。尽管反病毒产品可以保护端点,但在阻止APT时,甚至这些端点也被发现存在缺陷。MITRE认识到有必要进一步提高保护端点本身的技术水平,于是开始在我们的设施之一的实时网络上进行试验,以检测“对手”。
这个实验是迭代的,包括指定一个团队来模拟对手(如ATT&CK模型中描述的那样)和另一个团队来使用分析来检测入侵和入侵者跨网络行为的范围。实验的迭代特性提出了一种方法来提高对手仿真和行为检测分析的能力。我们相信,这种方法将有助于任何组织尝试自己的内部“网络游戏”或创建一个剧本,在他们的网络上狩猎威胁。
7个步骤为构建一个合适的防御剧本:
(1)识别行为:对企业使用ATT&CK,确定哪些技术或行为是检测的优先级。驱动这个决定有几个因素,包括流行的技术(模型),其潜在影响到网络/端点,在企业检测中可用的数据,和有效性的任何潜在的分析建立环境检测技术。
(2)获取数据:对于每个已识别的技术/行为,需要什么样的数据来检测它,现在是否可用,或者是否需要购买新的工具或产品来收集数据?一个组织完全有可能拥有大量的数据,并且只需要设计一种方法来收集和处理这些数据。在其他情况下,该技术可能非常先进,因此需要定制工具来捕获相关数据。
(3)开发分析:拥有所需的数据需要一种有效处理它的方法,以便获得任何价值。一个分析师一天只能处理这么多的信息,所以不管数据有多好,向它们注入大量的数据也不会有多大的效果。分析需要以这样一种方式来编写,即将分析人员的注意力集中在特别值得注意的事件上,从而使他们的调查能够得到足够的关注。使用MITRE的网络分析存储库查找已经开发的分析。
(4)开发对手仿真场景:针对企业使用ATT&CK,开发一个测试传感器和分析有效性的对抗性代表计划。该场景由已知的战术、技术和过程(TTPs)构建,这些战术、技术和过程由已知的目标为特定网络的敌对组使用。由于分析在一定程度上是由它们所覆盖的ttp定义的,所以评估计划应该包含它们,以便能够正确地评估它们。
(5)模拟威胁:一旦计划确定下来,请一个对手模拟团队来运行它,并确定运营防御者的表现如何。一个实时的MITRE网络被用来执行计划,这为额外的挑战做了准备,但也为分析开发过程增加了相当大的价值。首先限制范围,随着实践的改进而扩展。
(6)调查攻击:在对手模拟团队进行评估后,轮到蓝队重新创建模拟团队活动的时间轴。在一个理想的世界中,所有的活动都会被发现,并且防御者可以宣布胜利,但是Blue团队经常发现仿真团队使用的一些技术是他们还没有看到的。虽然分析可以提供对所发生的事情越来越准确的捕捉,但是对于一个想要获得完整画面的蓝色团队来说,深入研究数据是不可避免的。
(7)评估绩效:这是最重要的一步,也是最容易被忽视的一步。所有有关人员都需要开会讨论从这项工作中吸取的教训。如果模拟团队说:“我们拥有您的网络,下次再试一次。”所有各方都需要讨论什么有效,什么无效,以及模拟团队能够做什么,而Blue团队无法检测到这些,或者由于假阳性而遇到困难。本步骤中讨论的主题将推动在改进安全态势方面采取的下一步步骤,不仅针对下一个版本的练习,而且针对企业自己的运营网络防御。
正是通过这种迭代的入侵检测验证和细化方法,才能实现真正的、可度量的改进。通过使用APT防御手册的7个步骤,组织将通过发现和创建针对其面临的威胁的有效分析,开始识别和消除自己的对手检测安全漏洞。