防御有道!ATT&CK技術架構在工控安全防護中的實戰應用
一、前 言
網絡安全的本質是攻防對抗,攻防雙方在彼此對抗過程中不斷產生新的攻擊技術及手段。由于攻擊者在暗,防守者在明,因此當前網絡安全防御技術往往存在一定的滯后性。而當我們以攻擊者視角進行分析時,則能有效進行提前防御,盡可能降低網絡及業務系統遭受攻擊的風險,ATT&CK也因此應運而生。
ATT&CK技術矩陣是近幾年很火的安全攻防框架,通過各種公開的信息和安全社區對攻擊者的行為進行研究,匯聚攻擊者使用的各種戰術和技術,同時也提供了如何緩解和檢測各項入侵技術的方法,以便防御者能了解到攻擊者入侵時使用的各種手段以及如何進行防御,并進行持續更新,徹底改變了長期以來“防”落后于“攻”的局面。
經過多年持續更新,ATT&CK技術矩陣目前已形成了涵蓋企業、移動設備以及工業控制系統三大領域的攻防知識庫,對研究如何做好工業控制系統安全防護具有重要意義。
二、什么是ATT&CK
ATT&CK( Adversarial Tactics, Techniques, and
Common Knowledge)是由MITRE在2013年推出的一個反映各個攻擊生命周期攻擊行為的威脅建模模型和知識庫。它是根據真實的觀察數據來描述和分類網絡安全攻防對抗行為。ATT&CK將已知攻擊者行為轉換為結構化列表,將這些已知的行為匯總成戰術和技術,并通過幾個矩陣以及結構化威脅信息表達式(STIX)、指標信息的可信自動化交換(TAXII)來表示。由于此列表相當全面地呈現了攻擊者在攻擊網絡時所采用的行為,因此對于各種進攻性和防御性度量、表示和其他機制都非常有用。
說明:STIX/TAXII 是共享威脅情報的行業標準。
- STIX (Structured Threat Information eXpression)是由 MITRE 以協作方式開發的一種標準化語言,是用于表示網絡威脅的結構化信息。STIX易于被共享、存儲,并以一致的方式使用,從而促進自動化和人工輔助分析;
- TAXII (Trusted Automated eXchange of Indicator
- Information)是一個信息交換的標準,用于跨產品、服務和組織邊界來共享網絡威脅信息,是 STIX 結構化威脅信息的傳輸工具。
ATT&CK技術框架與洛克希德-馬丁公司提出的KillChain有一定的相似之處,兩者均是通過分析總結攻擊者攻擊行為,并提出針對性的防御思路。Kill Chain模式如下圖所示:
圖 1:Kill Chain模型示意圖
而ATT&CK技術框架則是KillChain模型的基礎上,構建了一套更具細粒度、更易共享的知識模型和框架。ATT&CK的目標是創建網絡攻擊中使用的已知對抗戰術和技術的詳盡列表,其會詳細介紹每一種技術的利用方式,以及為什么了解這項技術對于防御者來說很重要,這極大地幫助了防御者更快速地了解不熟悉的技術。例如,對于甲方企業而言,平臺和數據源非常重要,企業安全人員需要了解應該監控哪些系統以及需要從中收集哪些內容,才能減輕或檢測由于入侵技術濫用造成的影響。這時候,ATT&CK場景示例就派上用場了。其針對每種技術都有具體場景示例,說明攻擊者是如何通過某一惡意軟件或行動方案來利用該技術的,進而為安全人員提供防御思路。
簡單來說,ATT&CK是MITRE提供的“對抗戰術、技術和程序”框架,并按照易于理解的格式進行排列。攻擊戰術在矩陣頂部,每列下面列出了單獨技術。一個完整的攻擊過程可能包含多個攻擊戰術,并使用多種攻擊技術。
(1)戰術:表示攻擊期間攻擊者的短期戰術目標;
(2)技術:表示攻擊者如何通過采取行動來實現戰術目標;
(3)程序:表示攻擊者實施戰術或者技術的具體方法;
目前ATT&CK技術框架主要包含12大戰術,包括初始訪問、執行、持久化(堅持)、權限提升、防御規避、憑據訪問、發現、橫向運動、指揮與控制、外滲、影響(沖擊),已涵蓋企業、移動設備、工業控制系統三大場景。例如,工業控制系統ATT&CK技術矩陣如下圖所示:
圖 2:工業控制系統ATT&CK技術矩陣(第一部分)
圖 3:工業控制系統ATT&CK技術矩陣(第二部分)
相較于Kill Chain模式,ATT&CK技術框架沒有遵循任何線性順序,上述攻擊戰術在任何階段都可能存在;另外,ATT&CK除了在戰術上更加細化之外,還描述了可以在每個階段使用的技術,而Kill Chain則沒有這些內容。
三、ATT&CK的價值
ATT&CK技術框架提出了當前網絡安全防御方法的不足之處:
(1)目前大多數入侵防御系統、病毒過濾系統、終端威脅防御系統等防護措施普遍采用“黑名單”機制工作,依賴于檢測特征庫,可能無法可靠地檢測自定義工具,因為這些工具在使用前就已經經過攻擊者專門的產品測試,甚至可能已使用了逃避其他類型惡意軟件檢測的混淆技術;
(2)攻擊者也有能力在系統上使用合法功能來實現他們的目的;
(3)其他當前的網絡安全方法,例如威脅情報訂閱或共享可能對于檢測對手作用不大。一方面攻擊方攻擊手段變化太快;另一方面部分網絡環境無法及時更新防御特征庫,嚴重影響威脅檢測能力。同時,典型的網絡流量檢查也沒有用,因為APT的流量一般已通過有效的SSL加密。
因此,ATT&CK技術框架在各種日常環境中都很有價值。開展任何防御活動時,可以應用ATT&CK分類法,參考攻擊者及其行為。ATT&CK不僅為網絡防御者提供通用技術庫,還為滲透測試和紅隊提供了技術基礎。企業組織可以使用多種方式來使用ATT&CK,包括但不限于:
(1)攻防對抗演練:企業可參照ATT&CK技術框架搭建攻防對抗性模擬場景,測試和驗證針對常見對抗技術的防御方案;
(2)攻防滲透測試活動:企業在進行HVV或滲透測試活動時,攻防對抗的規劃、執行和報告可以使用ATT&CK技術矩陣,以便防御者和報告接收者以及其內部之間有一個通用語言;
(3)制定攻擊行為監測方案:幫助企業構建和測試網絡攻擊行為監測與分析方案,以檢測環境中的對抗行為;
(4)防御差距分析:通過梳理ATT&CK技術矩陣中攻擊者所采用的攻擊手段及緩解措施,幫助防御者評估組織企業內現有防御方案中的工具、監視及防護措施的有效性及殘余風險,為后續安全加固提供方向;
(5)網絡威脅情報收集:由于ATT&CK技術矩陣采用一種標準方式描述攻防對抗行為及所使用的技術,因此企業防御者可以根據攻擊者利用的ATT&CK中已知的技術和戰術來跟蹤攻擊主體,從而實現網絡威脅情報的收集。
四、ATT&CK技術矩陣
ATT&CK技術矩陣針對工業控制系統常見的攻擊方法及技術手段,給出了51項緩解措施,包括訪問管理、賬戶使用策略、防病毒/反惡意軟件、禁用或刪除功能或程序、執行預防、漏洞利用防護、限制通過網絡訪問資源、網絡白名單、網絡入侵防御、限制文件和目錄權限等。如下表所示:
表 1:ATT&CK技術矩陣-工業控制系統緩解措施
考慮到工業生產網絡中業務應用及網絡訪問行為單一、網絡架構相對隔離、生產及業務可用性和完整性遠大于安全性的現狀,企業網絡安全防御者不用完全執行上述緩解措施。例如“更新軟件”措施,業務軟件或系統的更新往往會涉及系統重啟,從而導致生產中斷;且防御者無法明確更新是否會產生兼容性問題。
但可以參考ATT&CK技術矩陣進行差距分析,并利用“白名單”技術理念進行防護策略設定,實現工業控制系統網絡訪問最小化權限管控,降低核心資產風險暴露面,從而降低遭受攻擊的風險。
以“網絡白名單”措施為例,在工業控制系統網絡中的上位機與控制系統之間部署工業防火墻,強化系統安全域邊界訪問控制能力。通過訪問控制及工業協議深度解析技術,實現對業務通信、生產控制指令等進行精細化管控。針對不同的工業協議,管控顆粒度各有不同。下面以OPC協議為例進行介紹:
圖 4:工業協議白名單管控策略
圖 5 工業協議深度解析-OPC協議白名單控制-接口管控
圖 6:工控協議深度解析- OPC協議白名單控制-接口方法管控
另外,在工業控制系統上位機及業務系統中部署工控主機衛士,在應用、網絡、系統、外設等層面形成主機運行“白環境”。通過內置智能學習模塊,一鍵掃描生成工業控制軟件正常行為的白名單庫,在程序執行時會與白名單庫進行比較、匹配、判斷。如果發現其不符合白名單庫中的特征,工控主機衛士將會對此程序執行阻斷或告警,以此避免主機受到已知或未知攻擊;同時還可以有效的阻止操作人員異常操作帶來的危害。如下圖所示:
圖 7:工控主機衛士程序白名單管控(非白名單應用禁止執行)
同時,通過工控主機衛士網絡白名單功能模塊,關閉非必要端口及服務,并嚴格限定工控主機網絡訪問,做到最小化權限管控。如下圖所示:
圖 8:工控主機衛士網絡白名單管控
說明:ATT&CK中的“網絡白名單”指一種緩解措施,此處的“網絡白名單”為工控主機衛士的一個功能模塊。
針對工業生產現場外設使用帶來的風險,通過工控主機衛士的外設管控及非法外聯等功能模塊,對工控主機的USB、無線、光驅、藍牙、串口、并口等外設進行精細化管控,避免攻擊者以外設為跳板引入外來威脅。如下圖所示:
圖 9:工控主機衛士外設管控
圖 10:工控主機衛士U盤注冊管控
此外,通過工控主機衛士的安全基線、雙因子認證、強制訪問控制等功能模塊,在“多重身份證驗證”、“操作系統配置”、“限制文件和目錄權限”、“限制庫加載”、“限制注冊表權限”等角度落地ATT&CK技術矩陣的緩解措施,進一步提升工業控制網絡中計算資源的安全性。
五、結束語
ATT&CK技術矩陣作為動態更新的網絡安全攻防實戰知識庫,可幫助工控生產企業網絡安全管理人員梳理當前生產網絡現狀,包括存在的問題、防御的薄弱點、可能會被攻擊者利用什么手段攻擊,做到知己知彼,安全防護措施也更加有的放矢。
需要注意的是,工業控制系統網絡不同于傳統IT網絡,傳統IT網絡中的云端大腦協同聯動的方案不適用于工業生產現狀,更不能純粹依賴堆砌設備來應對威脅。而是要根據生產網絡特性,搭配合理的管控策略,提升工業生產網絡安全防御、安全監測、運維響應、評估預測的能力,切實解決工業生產網絡中目前存在的安全問題。
