防御有道！ATT&CK技术架构在工控安全防护中的实战应用

一、前 言

网络安全的本质是攻防对抗，攻防双方在彼此对抗过程中不断产生新的攻击技术及手段。由于攻击者在暗，防守者在明，因此当前网络安全防御技术往往存在一定的滞后性。而当我们以攻击者视角进行分析时，则能有效进行提前防御，尽可能降低网络及业务系统遭受攻击的风险，ATT&CK也因此应运而生。

ATT&CK技术矩阵是近几年很火的安全攻防框架，通过各种公开的信息和安全社区对攻击者的行为进行研究，汇聚攻击者使用的各种战术和技术，同时也提供了如何缓解和检测各项入侵技术的方法，以便防御者能了解到攻击者入侵时使用的各种手段以及如何进行防御，并进行持续更新，彻底改变了长期以来“防”落后于“攻”的局面。

经过多年持续更新，ATT&CK技术矩阵目前已形成了涵盖企业、移动设备以及工业控制系统三大领域的攻防知识库，对研究如何做好工业控制系统安全防护具有重要意义。

二、什么是ATT&CK

ATT&CK（ Adversarial Tactics, Techniques, and Common Knowledge）是由MITRE在2013年推出的一个反映各个攻击生命周期攻击行为的威胁建模模型和知识库。它是根据真实的观察数据来描述和分类网络安全攻防对抗行为。ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。

说明：STIX/TAXII 是共享威胁情报的行业标准。

• STIX (Structured Threat Information eXpression)是由 MITRE 以协作方式开发的一种标准化语言，是用于表示网络威胁的结构化信息。STIX易于被共享、存储，并以一致的方式使用，从而促进自动化和人工辅助分析；

• TAXII (Trusted Automated eXchange of Indicator Information)是一个信息交换的标准，用于跨产品、服务和组织边界来共享网络威胁信息，是 STIX 结构化威胁信息的传输工具。

ATT&CK技术框架与洛克希德-马丁公司提出的KillChain有一定的相似之处，两者均是通过分析总结攻击者攻击行为，并提出针对性的防御思路。Kill Chain模式如下图所示：

图 1：Kill Chain模型示意图

而ATT&CK技术框架则是KillChain模型的基础上，构建了一套更具细粒度、更易共享的知识模型和框架。ATT&CK的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表，其会详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要，这极大地帮助了防御者更快速地了解不熟悉的技术。例如，对于甲方企业而言，平台和数据源非常重要，企业安全人员需要了解应该监控哪些系统以及需要从中收集哪些内容，才能减轻或检测由于入侵技术滥用造成的影响。这时候，ATT&CK场景示例就派上用场了。其针对每种技术都有具体场景示例，说明攻击者是如何通过某一恶意软件或行动方案来利用该技术的，进而为安全人员提供防御思路。

简单来说，ATT&CK是MITRE提供的“对抗战术、技术和程序”框架，并按照易于理解的格式进行排列。攻击战术在矩阵顶部，每列下面列出了单独技术。一个完整的攻击过程可能包含多个攻击战术，并使用多种攻击技术。

（1）战术：表示攻击期间攻击者的短期战术目标；

（2）技术：表示攻击者如何通过采取行动来实现战术目标；

（3）程序：表示攻击者实施战术或者技术的具体方法；

目前ATT&CK技术框架主要包含12大战术，包括初始访问、执行、持久化（坚持）、权限提升、防御规避、凭据访问、发现、横向运动、指挥与控制、外渗、影响（冲击），已涵盖企业、移动设备、工业控制系统三大场景。例如，工业控制系统ATT&CK技术矩阵如下图所示：

图 2：工业控制系统ATT&CK技术矩阵（第一部分）

图 3：工业控制系统ATT&CK技术矩阵（第二部分）

说明：中文译文源自Google翻译，存在一定偏差，原文请查看https://attack.mitre.org/。

相较于Kill Chain模式，ATT&CK技术框架没有遵循任何线性顺序，上述攻击战术在任何阶段都可能存在；另外，ATT＆CK除了在战术上更加细化之外，还描述了可以在每个阶段使用的技术，而Kill Chain则没有这些内容。

三、ATT&CK的价值

ATT&CK技术框架提出了当前网络安全防御方法的不足之处：

（1）目前大多数入侵防御系统、病毒过滤系统、终端威胁防御系统等防护措施普遍采用“黑名单”机制工作，依赖于检测特征库，可能无法可靠地检测自定义工具，因为这些工具在使用前就已经经过攻击者专门的产品测试，甚至可能已使用了逃避其他类型恶意软件检测的混淆技术；

（2）攻击者也有能力在系统上使用合法功能来实现他们的目的；

（3）其他当前的网络安全方法，例如威胁情报订阅或共享可能对于检测对手作用不大。一方面攻击方攻击手段变化太快；另一方面部分网络环境无法及时更新防御特征库，严重影响威胁检测能力。同时，典型的网络流量检查也没有用，因为APT的流量一般已通过有效的SSL加密。

因此，ATT＆CK技术框架在各种日常环境中都很有价值。开展任何防御活动时，可以应用ATT＆CK分类法，参考攻击者及其行为。ATT＆CK不仅为网络防御者提供通用技术库，还为渗透测试和红队提供了技术基础。企业组织可以使用多种方式来使用ATT＆CK，包括但不限于：

（1）攻防对抗演练：企业可参照ATT&CK技术框架搭建攻防对抗性模拟场景，测试和验证针对常见对抗技术的防御方案；

（2）攻防渗透测试活动：企业在进行HVV或渗透测试活动时，攻防对抗的规划、执行和报告可以使用ATT＆CK技术矩阵，以便防御者和报告接收者以及其内部之间有一个通用语言；

（3）制定攻击行为监测方案：帮助企业构建和测试网络攻击行为监测与分析方案，以检测环境中的对抗行为；

（4）防御差距分析：通过梳理ATT&CK技术矩阵中攻击者所采用的攻击手段及缓解措施，帮助防御者评估组织企业内现有防御方案中的工具、监视及防护措施的有效性及残余风险，为后续安全加固提供方向；

（5）网络威胁情报收集：由于ATT＆CK技术矩阵采用一种标准方式描述攻防对抗行为及所使用的技术，因此企业防御者可以根据攻击者利用的ATT＆CK中已知的技术和战术来跟踪攻击主体，从而实现网络威胁情报的收集。

四、ATT&CK技术矩阵

在工业控制系统安全防护中的应用

ATT&CK技术矩阵针对工业控制系统常见的攻击方法及技术手段，给出了51项缓解措施，包括访问管理、账户使用策略、防病毒/反恶意软件、禁用或删除功能或程序、执行预防、漏洞利用防护、限制通过网络访问资源、网络白名单、网络入侵防御、限制文件和目录权限等。如下表所示：

表 1：ATT&CK技术矩阵-工业控制系统缓解措施

考虑到工业生产网络中业务应用及网络访问行为单一、网络架构相对隔离、生产及业务可用性和完整性远大于安全性的现状，企业网络安全防御者不用完全执行上述缓解措施。例如“更新软件”措施，业务软件或系统的更新往往会涉及系统重启，从而导致生产中断；且防御者无法明确更新是否会产生兼容性问题。

但可以参考ATT&CK技术矩阵进行差距分析，并利用“白名单”技术理念进行防护策略设定，实现工业控制系统网络访问最小化权限管控，降低核心资产风险暴露面，从而降低遭受攻击的风险。

以“网络白名单”措施为例，在工业控制系统网络中的上位机与控制系统之间部署工业防火墙，强化系统安全域边界访问控制能力。通过访问控制及工业协议深度解析技术，实现对业务通信、生产控制指令等进行精细化管控。针对不同的工业协议，管控颗粒度各有不同。下面以OPC协议为例进行介绍：

图 4：工业协议白名单管控策略

图 5 工业协议深度解析-OPC协议白名单控制-接口管控

图 6：工控协议深度解析- OPC协议白名单控制-接口方法管控

另外，在工业控制系统上位机及业务系统中部署工控主机卫士，在应用、网络、系统、外设等层面形成主机运行“白环境”。通过内置智能学习模块，一键扫描生成工业控制软件正常行为的白名单库，在程序执行时会与白名单库进行比较、匹配、判断。如果发现其不符合白名单库中的特征，工控主机卫士将会对此程序执行阻断或告警，以此避免主机受到已知或未知攻击；同时还可以有效的阻止操作人员异常操作带来的危害。如下图所示：

图 7：工控主机卫士程序白名单管控（非白名单应用禁止执行）

同时，通过工控主机卫士网络白名单功能模块，关闭非必要端口及服务，并严格限定工控主机网络访问，做到最小化权限管控。如下图所示：

图 8：工控主机卫士网络白名单管控

说明：ATT&CK中的“网络白名单”指一种缓解措施，此处的“网络白名单”为工控主机卫士的一个功能模块。

针对工业生产现场外设使用带来的风险，通过工控主机卫士的外设管控及非法外联等功能模块，对工控主机的USB、无线、光驱、蓝牙、串口、并口等外设进行精细化管控，避免攻击者以外设为跳板引入外来威胁。如下图所示：

图 9：工控主机卫士外设管控

图 10：工控主机卫士U盘注册管控

此外，通过工控主机卫士的安全基线、双因子认证、强制访问控制等功能模块，在“多重身份证验证”、“操作系统配置”、“限制文件和目录权限”、“限制库加载”、“限制注册表权限”等角度落地ATT&CK技术矩阵的缓解措施，进一步提升工业控制网络中计算资源的安全性。

五、结束语

ATT&CK技术矩阵作为动态更新的网络安全攻防实战知识库，可帮助工控生产企业网络安全管理人员梳理当前生产网络现状，包括存在的问题、防御的薄弱点、可能会被攻击者利用什么手段攻击，做到知己知彼，安全防护措施也更加有的放矢。

需要注意的是，工业控制系统网络不同于传统IT网络，传统IT网络中的云端大脑协同联动的方案不适用于工业生产现状，更不能纯粹依赖堆砌设备来应对威胁。而是要根据生产网络特性，搭配合理的管控策略，提升工业生产网络安全防御、安全监测、运维响应、评估预测的能力，切实解决工业生产网络中目前存在的安全问题。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   陈女士 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：防御有道！ATT&CK技术架构在工控安全防护中的实战应用