傳統的資安防禦方法較偏重防禦面,例如縱深防禦、漏洞補救、架設防火牆等等,只能從駭客先前造成的傷害,來探討事後補救和未來預防方法,往往陷入被動守勢而受制於駭客;而美國聯邦非營利組織MITRE(即CVE、CWE威脅指標的管理機構)對此做出反向思考,從駭客攻擊的動機、目的、技術、方法,建立駭客威脅模型並做出因應對策,進而對駭客威脅實施主動反擊,削弱駭客的攻擊力道以減少駭客的預期危害。
MITRE ATT&CK介紹,與駭客攻擊面向之探討
美國聯邦非營利組織MITRE相繼推出CVE通用漏洞披露、CWE通用弱點列表共兩項資安威脅指標以後,CVE與CWE獲得資安業界、硬體供應商、軟體服務商的注目與採用,並當作產品弱點補救及預防的參考依據之一;而MITRE藉由先前彙整CVE、CWE的經驗,來探討駭客以何種動機,採用何種技術與方法,來達到攻擊目的,進一步規劃出「ATT&CK」威脅模型,以表格形式列舉出駭客可使用的各項技術即方法,以及駭客攻擊前的布局與攻擊後影響,來協助資安業界按照ATT&CK威脅模型見招拆招,限縮駭客攻擊的構面以減少資安衝擊。
資料來源:MITRE
圖1 ATT&CK威脅模型
MITRE的ATT&CK威脅模型中,共有12類300項指標,其威脅情境包含Windows、Mac、Linux等作業系統,以及AWS、Azure、Google等雲端平臺,節錄如下:
藉由了解ATT&CK各種攻擊型態與方法,可以讓資安專家和軟硬體業者,因應駭客最有可能發動攻擊的方法,提前部署做好相關對策,來減少駭客來襲時對系統的衝擊。
資安專家採用ATT&CK威脅模型後,依照威脅模型建立防禦對策
自從MITRE釋出ATT&CK威脅模型後,隨即受到資安專家和軟硬體業者的注目與採納,除了用於傳統資安防禦和漏洞預防外,也能用於紅隊攻擊演練,由紅隊模擬駭客在ATT&CK所使用的攻擊方法,為擔任防守方的藍隊建立提前部署的對策。
來自荷蘭的資安專家Marcus Bakker以MITRE ATT&CK威脅模型為基礎,依照常用的攻擊手法頻率來歸納不同威脅來源的嚴重層級,並彙整為如下表格,威脅程度以紅色最高、橘色次之、綠色較低,藉此協助其他資安專家與軟硬體廠商,優先依據最常見的威脅來源做出最積極的應對措施;但綠色威脅級別以下的也應嚴加注意,以防止駭客用罕見手法發動攻擊。
資料來源: (Bakker, 2019)
圖2 資安專家所彙整的ATT&CK威脅頻度
小結
在ATT&CK威脅模型問世之後,能讓資安專家更了解駭客可能的攻擊模式與途徑,並且在提前部署防禦對策時,不再像無頭蒼蠅而導致事倍功半,並能用正確的策略對駭客最常發動攻擊的途徑做出因應對策。
ATT&CK不只能預防突發性的駭客攻擊,也能藉由平時的威脅來源分析,同時預防駭客藉由長期監控與潛伏並伺機而動的APT(進階持續威脅)攻擊,使得資安專家和軟硬體業界更能藉由ATT&CK的協助,積極做好漏洞修補、機敏資訊加密等資安基本功,減少被駭客逮到能發動APT、零時差攻擊的突破口,並從攻擊後駭客的蛛絲馬跡對應ATT&CK擬訂周全對策,預防駭客反撲而造成後患無窮的二次傷害。