简介
在网络安全领域,经常会听到一个军事术语:“失去繁荣”。原来(和在书由道格·劳克斯(Doug Laux)合著),这个术语指的是潜入一个恐怖分子小组,挫败一场计划中的袭击,因此在袭击的时间轴上,处于袭击的左侧。这对信息安全来说是个不错的比喻;能够在对手的行动造成损害之前中断他们的行动是一个有价值的,但具有挑战性的目标。在这个由三部分组成的系列博客中,我们将了解如何使用各种工具和数据集帮助您的组织移动(或保持)到对手可能计划针对您的“boom”的左侧。
构建许多网络安全活动的流行模型——mitre的ATT&CK洛克希德·马丁公司的网络杀伤链,钻石模型特别是——为我们在各种数据集和我们将要研究的技术中找到方向提供有用的参考。虽然在较高的水平上,这些模型有一些重叠,因为它们都描述了网络攻击是如何展开的以及如何分析它们,它们每个都贡献了一些独特的分析方面,所以熟悉它们是明智的。还有其他有价值的分析模型,例如竞争假设分析(ACH),它不会是本博客的一部分,但也有很多东西可以提供。
ATT&CK和网络杀伤链都描述了对手在准备和执行攻击时可能采取的各种步骤。这些步骤中的许多都涉及到基于internet的可观察对象,这些可观察对象对于分析师和其他蓝团队成员具有一些重要的属性。在这种情况下,“基于internet的可观察对象”指的是在线基础设施的组件,如域名、IP地址、服务器内容(如跟踪代码)、SSL/TLS证书以及与之关联的各种数据点。这些有用的属性包括:
- 除了纯粹基于物理访问或极不可能/罕见的被动监控技术之外,任何攻击都依赖于基于互联网的基础设施。
- 受保护环境中的许多设备都能够对这些类型的指示器进行日志记录,有时还会发出警报。
- 可观察对象具有广泛可用的元数据,可以帮助分析人员描述给定的可观察对象,并将其与其他可观察对象连接起来。
- 其中一些,特别是域和IP地址,是构成拒绝列表基础的对象;就采取明确的防御行动而言,它们是“橡胶遇到道路”的地方。
网络杀戮链
《网络杀戮链》描述了七个步骤:侦察、武器化、投送、利用、安装、指挥与控制、而且行动目标.侦察、武器化、开发和安装阶段在大多数情况下不太可能包括基于互联网的可观察对象,但其他三个阶段肯定包括:
- 交付:含有对手基础设施链接或恶意附件的钓鱼电子邮件;酒吧的攻击;面向公共的服务器或服务的破坏
- 指挥和控制:加载程序或木马程序获取额外的攻击组件;恶意软件“打电话回家”接收指令;为后期活动的筹备工作收集资料;建立管控渠道
- 行动目标:窃取知识产权、具有战略价值的信息等。
ATT&CK框架
类似地,ATT&CK框架中描述的战术、技术和过程(TTPs)包括许多涉及Internet可观察对象的步骤。与杀伤链一样,ATT&CK描述了一些涉及到这些指标的领域,而另一些则没有。一些涉及对手基础设施的ATT&CK战术和相应技术包括:
- 资源开发:钓鱼获取凭证,获取和配置基础设施
- 最初的访问:钓鱼,顺路的妥协
- 持久性:交通信号
- 指挥和控制:多种技术
- 漏出:多种技术
- 影响:各种网络攻击技术
并不是所有列出的技术都能得到可用的网络可观察数据,但只要您是这样做的,许多技术都能得到可用的网络可观察数据记录必要的数据.
的钻石模型的四个主要组成部分(对手,受害者,能力,基础设施),也提供了重要的见解,你可以在哪里计划你的狩猎和反应活动。“基础设施”特性显然是许多Internet可观察对象发挥作用的地方,但它不是唯一的一个。您可以使用从基础设施中学到的知识来获得关于对手的重要见解。本系列的第2部分将更深入地讨论钻石模型如何提供帮助。
框架的局限性
像ATT&CK和Kill Chain这样的框架对于组织攻击形成的心理模型非常有用。有人说过,并且值得重复,对手并不使用这些框架作为清单。由于受害者环境的配置方式的特殊性,许多(如果不是大多数的话)攻击能够跳过一些步骤。这就引出了威胁建模的问题,它不仅影响着你如何进行狩猎和取证,还影响着你如何在精神上(或纸上)创建ATT&CK和/或Kill Chain的定制版本。
威胁建模和互联网可观察对象
每个组织面临的攻击都是不同的,因此他们的威胁模型也应该是不同的。例如,您的组织可能只有最少的面向公众的服务。你拥有的那些面向公众的服务可能由云提供商管理。你的劳动力可能主要是在线的(知识工作者),也可能不是(服务业、制造业/工业等)。但是,除非面向公共的服务是您操作的主要部分——例如,如果您是SaaS/IaaS/PaaS提供商,那么您应该考虑大量的威胁建模来查看出站(而不是入站)流量。在过去,入站流量被认为是威胁集中的地方,因此许多商店对被拒绝(在某种程度上允许)的入站流量进行的日志记录要比出站流量多得多。记录出站流量过去是相当不常见的,因为它通常被认为是良性的,流量的量很高,所有的日志数据都必须存在于某个地方。
这些假设在今天看来可能天真得可笑,甚至是疏忽大意的,但它们背后的思想痕迹依然存在。例如,许多组织不会记录来自受保护环境的递归DNS查询。许多网站不记录他们的web代理流量,或者他们只记录违反政策的情况。但是放弃这些日志源会使分析“引擎”缺少重要的燃料。如果在您的环境中出现了一些问题,那么很有可能需要进行取证进行DNS查找的关键流量,并通过已配置的允许出站服务之一退出。聪明的攻击者知道如何避免触发防火墙策略违反。
所有这些都意味着,您的威胁模型需要考虑攻击者将如何利用来自受保护网络的出站服务,以及您如何阻止或至少检测此类流量。如果敌人要伤害你,你最不应该做的就是错过至少获得他们行动的重要信息的机会。
认为你可以在攻击的早期阶段始终保持在左侧是不现实的。如果对手正在使用OSINT技术和数据来计划他们的行动,那么就没有什么(或几乎没有什么)可以检测或阻止它。一旦它们到达交付(杀伤链)或资源开发(ATT&CK)阶段,它们就会开始依赖外部基础设施,从那时起,你就有机会在它们达到最终目标之前接触到它们。
关键的外卖
- 通过应用对对手基础设施和操作的分析,可以领先于攻击或攻击的后期组件
- 攻击的各个阶段依赖于对手的Internet基础设施,其中包括攻击者无法完全掩盖的域和IP地址等可观察对象
- 威胁建模不仅可以帮助您确定暴露的情况,还可以帮助您确定在哪里可以挖掘日志数据以获得有用的对手可观察数据
- 这种威胁数据的可用性完全依赖于获取、存储和访问各种日志
在本系列的下一篇文章中,我们将研究在攻击的特定部分或更大活动中的特定攻击中“向左移动”的一些具体方法。
