MITRE ATT&CK:一種從攻擊面探討的全新資安威脅模型

作者: 李啟榮 發佈時間:2020-06-02
產業分類: 資訊安全
文章分類: 技能觀測
文章標籤: 資訊安全
瀏覽人數:884

傳統的資安防禦方法較偏重防禦面,例如縱深防禦、漏洞補救、架設防火牆等等,只能從駭客先前造成的傷害,來探討事後補救和未來預防方法,往往陷入被動守勢而受制於駭客;而美國聯邦非營利組織MITRE(即CVE、CWE威脅指標的管理機構)對此做出反向思考,從駭客攻擊的動機、目的、技術、方法,建立駭客威脅模型並做出因應對策,進而對駭客威脅實施主動反擊,削弱駭客的攻擊力道以減少駭客的預期危害。 

MITRE ATT&CK介紹,與駭客攻擊面向之探討

美國聯邦非營利組織MITRE相繼推出CVE通用漏洞披露、CWE通用弱點列表共兩項資安威脅指標以後,CVE與CWE獲得資安業界、硬體供應商、軟體服務商的注目與採用,並當作產品弱點補救及預防的參考依據之一;而MITRE藉由先前彙整CVE、CWE的經驗,來探討駭客以何種動機,採用何種技術與方法,來達到攻擊目的,進一步規劃出「ATT&CK」威脅模型,以表格形式列舉出駭客可使用的各項技術即方法,以及駭客攻擊前的布局與攻擊後影響,來協助資安業界按照ATT&CK威脅模型見招拆招,限縮駭客攻擊的構面以減少資安衝擊。

 ATT&CK威脅模型

 資料來源:MITRE

圖1 ATT&CK威脅模型 

MITRE的ATT&CK威脅模型中,共有12類300項指標,其威脅情境包含Windows、Mac、Linux等作業系統,以及AWS、Azure、Google等雲端平臺,節錄如下:

  1. 初期存取(Initial access):駭客在發動攻擊前,摸索入侵途徑的方法,共11項。
  2. 執行(Execution):駭客執行惡意程式碼和惡意指令的方法,共34項。
  3. 持續性(Persistence):駭客成功侵入系統後,能保持伏擊狀態的方法,共62項。
  4. 權限提升(Privilege escalation):駭客可藉由奪取更高權限來控制受害系統的方法,共32項。
  5. 防禦規避(Defense evasion):駭客在發動攻擊的同時,繞過系統防禦機制的方法,共69項。
  6. 憑證存取(Credential access):駭客得到使用者合法登入認證來發動攻擊的方法,共21項。
  7. 探索(Discovery):駭客能窺探系統內敏感個資和關鍵資訊的種類,共23項。
  8. 橫向移動(Lateral movement):駭客成功入侵一個模組後,對下一個模組下手攻擊的方法,共18項。
  9. 蒐集(Collection):駭客能盜取資料的種類,共13項。
  10. 指揮與控制(Command & control):駭客奪取系統控制權後,能介入操控的項目,共22項。
  11. 滲出(Exfiltration):駭客能攜出、外流敏感各資和關鍵資訊的方法,共9項。
  12. 衝擊(Impact):駭客攻破系統後,對系統造成的危害種類,共16項。

藉由了解ATT&CK各種攻擊型態與方法,可以讓資安專家和軟硬體業者,因應駭客最有可能發動攻擊的方法,提前部署做好相關對策,來減少駭客來襲時對系統的衝擊。 

資安專家採用ATT&CK威脅模型後,依照威脅模型建立防禦對策

自從MITRE釋出ATT&CK威脅模型後,隨即受到資安專家和軟硬體業者的注目與採納,除了用於傳統資安防禦和漏洞預防外,也能用於紅隊攻擊演練,由紅隊模擬駭客在ATT&CK所使用的攻擊方法,為擔任防守方的藍隊建立提前部署的對策。

來自荷蘭的資安專家Marcus Bakker以MITRE ATT&CK威脅模型為基礎,依照常用的攻擊手法頻率來歸納不同威脅來源的嚴重層級,並彙整為如下表格,威脅程度以紅色最高、橘色次之、綠色較低,藉此協助其他資安專家與軟硬體廠商,優先依據最常見的威脅來源做出最積極的應對措施;但綠色威脅級別以下的也應嚴加注意,以防止駭客用罕見手法發動攻擊。

資安專家所彙整的ATT&CK威脅頻度

資料來源: (Bakker, 2019)

圖2 資安專家所彙整的ATT&CK威脅頻度 

小結

在ATT&CK威脅模型問世之後,能讓資安專家更了解駭客可能的攻擊模式與途徑,並且在提前部署防禦對策時,不再像無頭蒼蠅而導致事倍功半,並能用正確的策略對駭客最常發動攻擊的途徑做出因應對策。

ATT&CK不只能預防突發性的駭客攻擊,也能藉由平時的威脅來源分析,同時預防駭客藉由長期監控與潛伏並伺機而動的APT(進階持續威脅)攻擊,使得資安專家和軟硬體業界更能藉由ATT&CK的協助,積極做好漏洞修補、機敏資訊加密等資安基本功,減少被駭客逮到能發動APT、零時差攻擊的突破口,並從攻擊後駭客的蛛絲馬跡對應ATT&CK擬訂周全對策,預防駭客反撲而造成後患無窮的二次傷害。 

參考來源:

  1. Bakker, M. (2019, May 8). DETT&CT: Mapping Your Blue Teamto MITRE ATT&CK. Retrieved May 29, 2020, from MBSecure: https://www.mbsecure.nl/blog/2019/5/dettact-mapping-your-blue-team-to-mitre-attack
  2. Brook, C. (2020, April 23). What is the MITRE ATT&CK Framework? Retrieved May 28, 2020, from Digital Guardian: https://digitalguardian.com/blog/what-mitre-attck-framework
  3. (2019, October 9). ATT&CK Matrix for Enterprise. Retrieved May 28, 2020, from MITRE: https://attack.mitre.org
  4. (2020, January 17). MITRE ATT&CK Navigator. Retrieved May 29, 2020, from GitHub: https://mitre-attack.github.io/attack-navigator/enterprise/