浅谈ATT&CK：让攻击手法拥有通用语言

秦统一六国，立小篆，由此民族文化交融。而今ATT&CK统一攻击手法的描述，让威胁无所遁形。

2019年3月的RSA 大会上，有超过10个议题讨论ATT&CK的应用，6月的Gartner Security & Risk Management Summit会上，ATT&CK被F-Secure评为十大关注热点。俨然，ATT&CK已经成为了2019年网络空间安全最热门的议题之一。

那么，ATT&CK是什么？

谈及ATT&CK或许很多人并不那么熟悉相比之下Cyber Kill Chain更为耳熟。

近年来，很多网络安全公司发布威胁情报/报告，描述所追踪到的一些黑客组织的动态、攻击行为，由此给更多企业以参考。但Cyber Kill Chain，也就是网络杀伤链描述却没有一个统一的标准。这就导致了同一个攻击事件，在不同安全厂商的报告中描述有所出入没有标准难分对错但也带来了很多不便。

ATT&CK，就是在“Kill Chain”模型基础上，针对更具可观测性的后四个阶段中的攻击者行为，构建了一套更细粒度、更易共享的知识框架。

用观察结果，描述和分类对抗行为

2013年MITRE推出了ATT&CK模型根据真实的观察数据来描述和分类对抗行为。

说到ATT&CK，顺便提一句它背后的公司，MITRE，一家美国政府资助的非营利性研究机构。MITRE的履历上有FAA空中交通管制系统、AWACS机载雷达系统等亮眼的表现，后来又在美国国家标准技术研究所（NIST）的资助下，做了大量的网络安全实践。

而ATT&CK ，也就是Adversarial Tactics, Techniques, and Common Knowledges 。顾名思义，这并不是一项技术,而是更加底层“知识库”的基础框架。

譬如，ATT&CK会详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要。同时，把真实环境中使用到的对抗技术形成一套策略。可以说，它的着眼点不是单个的IOC，而是 IOC 处于攻击过程中的上下文，也就是从点扩展到了面扩展到了链。

当ATT&CK 把那些上下文信息都用更加一套标准和抽象的方式总结成了初始访问、驻留、横向移动、命令控制等阶段，并且将具体的攻击行为整理到一起，可以想象的是，我们可以像翻阅字典一样，轻易地找到相对应的常见战术动作，甚至做到杀伤链还原，更好地应对攻击。

目前，ATT&CK模型分为三部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile，其中PRE-ATT&CK覆盖攻击链模型的前两个阶段，ATT&CK for Enterprise覆盖攻击链的后五个阶段。

PRE-ATT&CK包括的战术有优先级定义、选择目标、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施人员的开发、建立能力、测试能力、分段能力。

ATT&CK for Enterprise包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。

ATT&CK：威胁洞见的指导手册

以Petya为例，新的网络空间安全态势下，攻击者在变得更强，他们的基础设施会更有适应能力，武器库会不断补充完善，而他们自身的攻击手段也在不断提升，0day漏洞、在野漏洞的利用变得更快。在这样的背景下，不管是小之一个企业，还是大之一个国家，威胁情报的作用都不言而喻。

ATT&CK，则给出了一些新的思路。

1、安全分析，改善防御体系

一般来说，APT组织具有强烈的地域属性和行业属性。因此，在明确所属行业后，如一家保险公司，即处于金融行业，通过在ATT&CK检索finance，可以检索到针对金融行业的APT组织。

选择某一APT组织，如APT38，就可以快速了解该黑客组织的具体信息，比如基本介绍，常用攻击手段、技巧等。再通过分析其使用的TTPs，还原入侵过程。而根据这些分析，企业可以更好地理解攻击者的后续行为，比如该黑客组织更关注的关键资产部分是什么，由此针对性地改善公司的防御体系，或通过特定攻击者的威胁情报和攻击手法来模拟威胁测试企业的安全能力。

整个过程中，由于ATT&CK对攻击性操作进行细分和分类，提供了相对完善的参照，可以说极大减少了安全分析中整理总结的成本。

2、威胁情报捕获

结合等级保护条例2.0中提出的部署威胁情报检测系统成为合规的必需，以及攻防演练中威胁情报发挥的重要作用，可以预计威胁情报的应用和落地将迎来爆发性增长。除了发现和响应威胁，如何快速识别并且捕获威胁成为了企业最新的议题。

3、态势感知

态势感知往往是观察、理解、预测，对未来的可能发生的事件进行预测。而ATT&CK可以做到观察数据的分类、归并和关联分析，从而还原杀伤链，帮助企业更好地进行上下文理解和行为预测，从而实现态势感知的目的。

简单的说，在ATT&CK知识库的支撑下，我们可以知道：

对手是谁，黑产？黑客组织？国外威胁体？

对手水平怎么样？常用的战术手段是什么？

对比之下，我们和对手的优劣势在哪？

最后，制定一个防御策略。

产品落地？备受期待

ATT&CK是个好东西，但是谁来用，怎么用，才能发挥最大的作用？

目前，ATT&CK的发展趋势或是应用大致有4类：

1、拿来做红蓝军建设，练手

2、用来评估企业安全能力

3、建设威胁情报模型

4、甲方用来做安全建设

在笔者看来，一方面，ATT&CK上信息量大，覆盖行业广，但缺少细分行业的深入分析，对于关键技术点的介绍也相对比较缺失，企业构建自己的ATT&CK知识库管理平台或成为趋势，通过大量的针对性的事件分析、行为分析，在网络安全防御中更好地了解对手行为，逐渐优化适合自身的威胁分析模型，提升防御能力。

另一方面，ATT&CK框架的产品化落地，对于安全市场、安全厂商或是企业客户来说，都可以说是福音，直接基于TTP的分析，让威胁更加无所遁形，而对于攻击者来说，改变行为需要新的技术和攻击手段攻击成本将大幅提高。

虽然产品化落地还有一段路要走，攻击上下文理解的难度、匹配结果存在嵌套等难点还需要继续攻克。但是笔者对于ATT&CK的技术发展和市场前景依旧持乐观态度。也简单梳理了几条建议：

1、跑步之前先学会走路：处于安全布局初期的企业不要从ATT&CK起步一定要先做好早期的组织安全体系架构，在坚固的安全基础的土壤下再考虑ATT&CK的引入问题。

2、适合自己的才是最好的：构建ATT&CK也要循序渐进。根据自己所处的行业领域、发展规模面临的主要威胁，再选择从某一种方式开始做ATT&CK切忌一口吃成胖子。

3、数据库信息需要经常性快速更新，由于网络空间变化快，武器库、攻击手段层出不穷，ATT&CK数据库势必要经常性更新，降低因未涵盖到的技术或变种而带来的攻击影响。

本文始发于微信公众号（疯猫网络）：浅谈ATT&CK：让“攻击手法”拥有通用语言