4.安全知識(shí)圖譜探索者余凱

“攻防對(duì)抗不對(duì)等”困境實(shí)質(zhì)是防守方長久以來僅面向自身做免疫修復(fù)而非基于實(shí)戰(zhàn)攻擊行為提升縱深防御。發(fā)現(xiàn)未知攻擊，首先是檢測(cè)已知攻擊，而更大的前提是能全面定義已知的攻擊行為。ATT&CK建立了從“知攻”通向“知防”的橋梁，360在長期攻防對(duì)抗實(shí)踐中構(gòu)建了獨(dú)有的全景攻防知識(shí)圖譜，并融入安全大腦體系為客戶提供超越合規(guī)的抗攻擊能力評(píng)價(jià)平臺(tái)和服務(wù)。

——余凱

沒有攻不破的網(wǎng)絡(luò)

2020年，不僅讓我們體驗(yàn)了史上最復(fù)雜的病毒疫情“新冠肺炎”，也讓我們?cè)谀昴┛吹搅耸飞献顝?fù)雜的黑客攻擊“SolarWinds”。2020年12月13日，知名網(wǎng)絡(luò)和系統(tǒng)監(jiān)測(cè)管理軟件制造商SolarWinds公司旗下的Orion基礎(chǔ)設(shè)施管理平臺(tái)發(fā)布環(huán)境遭到黑客組織供應(yīng)鏈攻擊。黑客篡改了系統(tǒng)所使用的庫文件，繞過安全檢查機(jī)制，并在官方安裝包和在線升級(jí)程序包中的核心服務(wù)組件植入了“后門程序”。SolarWinds覆蓋客戶包括“財(cái)富美國500強(qiáng)”企業(yè)、美國十大電信公司、美軍所有五大部隊(duì)和美國政府的多個(gè)部門。微軟和FireEye明確表明出現(xiàn)組織失陷和數(shù)據(jù)泄漏，美國國務(wù)院、商務(wù)部、財(cái)政部、國土安全部、國防部、國家衛(wèi)生研究院承認(rèn)被入侵。這兩件事很容易驗(yàn)證一個(gè)觀點(diǎn)，正如人體始終要面對(duì)未知病毒入侵，組織遭受黑客攻擊和失陷也無法避免，即便是當(dāng)下?lián)碛许敿?jí)安全能力的微軟、FireEye或美軍、美國政府也概莫能外。無法避免并不代表無可應(yīng)對(duì)，SolarWinds事件中的一個(gè)信息值得我們反思：FireEye意識(shí)到遭受入侵后主動(dòng)曝光，緊接著是微軟、Crowdstrike、MalwareByte等也開始披露內(nèi)部調(diào)研的攻擊細(xì)節(jié)。隨后美國防務(wù)智庫MITRE開始向公眾更新并持續(xù)發(fā)布SolarWinds相關(guān)攻防技戰(zhàn)術(shù)，同時(shí)MITRE向FireEye多個(gè)公司和個(gè)人致謝所提供的技術(shù)細(xì)節(jié)。

這個(gè)國家背影下的民間協(xié)同，使得防御者有機(jī)會(huì)看到SolarWinds攻擊圖譜全景，這是美國近年來安全體系化創(chuàng)新的最新高點(diǎn)。

對(duì)抗未知攻擊的行動(dòng)指導(dǎo)

我們常常說攻防對(duì)抗嚴(yán)重不對(duì)等，防守方需要做好每個(gè)系統(tǒng)的每個(gè)細(xì)節(jié)，而黑客只要找到一條路徑就能長驅(qū)直入。這種困境出現(xiàn)的實(shí)質(zhì)是防守方長久以來僅面向自身做免疫修復(fù)而非基于實(shí)戰(zhàn)攻擊行為提升縱深防御，陷入知己而不知彼的被動(dòng)局面。倘若防守方有機(jī)會(huì)在已知攻擊路徑節(jié)點(diǎn)都設(shè)卡檢查，形成天羅地網(wǎng)，就極大提升了入侵的門檻，因?yàn)楹诳涂梢栽诰植孔鰟?chuàng)新，但很難在攻擊的每一步都做創(chuàng)新，這時(shí)防守方只需監(jiān)測(cè)到已知黑客行為就能報(bào)警并基于預(yù)案開展入侵追蹤、溯源聯(lián)動(dòng)和遏制入侵。因此發(fā)現(xiàn)未知攻擊，首先是檢測(cè)已知攻擊，而更大的前提是能全面定義已知的攻擊行為。

ATT&CK是檢測(cè)與響應(yīng)能力的基礎(chǔ)

2013年在MITRE主導(dǎo)的Fort Meade Experiment（FMX）研究項(xiàng)目中，ATT&CK（Adversary Tactics and Techniques&Common Knowledge）模型首次被提出。ATT&CK由MITRE于2015年正式發(fā)布，匯聚來自全球安全社區(qū)貢獻(xiàn)的基于歷史實(shí)戰(zhàn)的高級(jí)威脅攻擊戰(zhàn)術(shù)、技術(shù)，形成了針對(duì)黑客行為描述的通用語言和黑客攻擊抽象的知識(shí)庫框架。MITRE作為美國防務(wù)智庫是一個(gè)非營利組織，向政府和行業(yè)提供系統(tǒng)工程、研究開發(fā)和信息技術(shù)支持，除了ATT&CK攻防技戰(zhàn)術(shù)知識(shí)庫，還維護(hù)CVE標(biāo)準(zhǔn)體系和威脅情報(bào)標(biāo)準(zhǔn)體系。

ATT&CK是一個(gè)全新的威脅模型。為什么已經(jīng)有了那么多威脅模型，還要引入一個(gè)全新的？

MITRE為美國政府所做的Cyber Threat Modeling: Survey, Assessment, and Representative Framework（《網(wǎng)絡(luò)安全建模：調(diào)查、評(píng)估和典型框架》）將威脅模型框架分為以下三類：

（1）面向風(fēng)險(xiǎn)管理的模型，例如著名的美國國家標(biāo)準(zhǔn)及技術(shù)研究院提出的網(wǎng)絡(luò)安全框架NIST Cybersecurity Framework；以及更加著名的洛克希德·馬丁定義的殺傷鏈Lockheed Martin Cyber Kill Chain。

（2）面向安全軟件設(shè)計(jì)開發(fā)測(cè)試的模型，例如Microsoft提出的STRIDE模型，Intel提出的TARA模型。

（3）面向威脅信息分享的模型，例如MITRE定義的STIX模型，美國國家情報(bào)總監(jiān)定義的網(wǎng)絡(luò)威脅模型ODNI CTF。

其中第一類中的殺傷鏈模型在業(yè)界赫赫有名，應(yīng)用廣泛，其定義了網(wǎng)絡(luò)攻擊的七個(gè)階段，增強(qiáng)了普通人對(duì)網(wǎng)絡(luò)攻擊的理解，呼應(yīng)了縱深防御策略，為企業(yè)安全規(guī)劃提供了參照。

可以說，引入ATT&CK解決了殺傷鏈模型的重大局限：

（1）殺傷鏈模型起源于網(wǎng)絡(luò)入侵防御早期，突出了病毒和漏洞相關(guān)的外線防守（Perimeter Defense），無法反映現(xiàn)代黑客入侵的變化，例如無文件攻擊，利用合法工具的離地攻擊（living off the land），同時(shí)對(duì)入侵后長達(dá)數(shù)月經(jīng)年的黑客行為只以少量筆墨籠統(tǒng)描述為遠(yuǎn)程控制及擴(kuò)散，給人一種至此防御已經(jīng)失敗的錯(cuò)覺。而現(xiàn)實(shí)恰恰告訴我們，失陷是不得不面對(duì)的常態(tài)，從黑客成功入侵后到成功獲取數(shù)據(jù)或造成重大影響前，長時(shí)間跨度的內(nèi)線對(duì)抗（Interior Defense）大有可為。同時(shí)，內(nèi)線對(duì)抗相關(guān)的其他場(chǎng)景例如內(nèi)鬼威脅并未涵蓋。

（2）殺傷鏈模型只引領(lǐng)大家在“一萬米高空”看黑客入侵和攻防對(duì)抗，知其然而不知其所以然，攻擊威脅可以被感知卻因沒有細(xì)節(jié)而無法轉(zhuǎn)化為對(duì)抗能力，因此組織安全建設(shè)可參照攻擊階段來確定該買什么產(chǎn)品，卻無法評(píng)估其效果，安全建設(shè)陷入安全合規(guī)有無選擇，卻無法衡量有效性，進(jìn)而無法進(jìn)行針對(duì)性改進(jìn)。

ATT&CK創(chuàng)造性地統(tǒng)一了黑客行為描述，對(duì)殺傷鏈模型提到的黑客入侵生命周期做了完整的映射，并超越模型本身，進(jìn)一步持續(xù)構(gòu)建和積累黑客行為知識(shí)庫，從而填平了長期以來防守遠(yuǎn)落后于攻擊的溝壑，類似大秦統(tǒng)一了文字、貨幣、度量衡，生產(chǎn)力和戰(zhàn)斗力有了突破性成長。ATT&CK知識(shí)庫最大的亮點(diǎn)和獨(dú)特價(jià)值是，技術(shù)細(xì)節(jié)都來源于MITRE和社區(qū)對(duì)于實(shí)戰(zhàn)的分析并持續(xù)更新擴(kuò)充，為防守方基于已知而對(duì)抗未知提供了明確而強(qiáng)大的行動(dòng)指導(dǎo)，成為了應(yīng)對(duì)未知攻擊“檢測(cè)”和“響應(yīng)”能力建設(shè)的基礎(chǔ)。

實(shí)戰(zhàn)定義數(shù)據(jù)，數(shù)據(jù)驅(qū)動(dòng)安全

2015年筆者正在負(fù)責(zé)公司沙箱技術(shù)研發(fā)，開始只是參考其補(bǔ)全惡意文件執(zhí)行的行為定義，到2018年ATT&CK開始獲得爆發(fā)式關(guān)注，我們和當(dāng)時(shí)幾乎所有國際安全頭部廠商都迅速開始在產(chǎn)品中增加針對(duì)ATT&CK的支持，并且持續(xù)將自己看到的黑客手法和攻擊行為貢獻(xiàn)給ATT&CK知識(shí)庫。

前面提到ATT&CK是美國國家背影下的民間協(xié)同平臺(tái)，是其近年來安全體系化創(chuàng)新的最新高點(diǎn)，而更大意義是在冰山之下：

ATT&CK誕生之日起，多數(shù)人關(guān)注的是與技戰(zhàn)術(shù)相關(guān)的實(shí)現(xiàn)過程，所謂“一花一世界，一葉一如來”，每個(gè)技戰(zhàn)術(shù)（Tactic、Technique）都有萬千實(shí)現(xiàn)可能，而這部分MITRE并未公布。因此只有長期戰(zhàn)斗在高級(jí)威脅對(duì)抗一線的廠商才能如魚得水，通過參照其模型和體系，讓藝術(shù)般靈光乍現(xiàn)的攻防對(duì)抗點(diǎn)的體系化和知識(shí)化成為可能。

而現(xiàn)實(shí)中，很多廠商能講各種安全理論，但其實(shí)并沒有經(jīng)歷過真正的國家級(jí)大規(guī)模實(shí)戰(zhàn)對(duì)抗，也沒有發(fā)現(xiàn)過APT攻擊，是無法做出真正有效的安全產(chǎn)品和體系規(guī)劃的。我們常說“數(shù)據(jù)驅(qū)動(dòng)安全”，其實(shí)還有半句應(yīng)該放在前面：“實(shí)戰(zhàn)定義數(shù)據(jù)”。當(dāng)前多數(shù)組織部署的態(tài)勢(shì)感知攻擊檢測(cè)效果不佳，基礎(chǔ)問題在于探針的數(shù)據(jù)沒有應(yīng)對(duì)實(shí)戰(zhàn)對(duì)抗需求打點(diǎn)和采集。在錯(cuò)的數(shù)據(jù)上分析，再有經(jīng)驗(yàn)的專家或者AI算法模型都無法施展。

在360，我們很早就開始了這方面工作，大家都知道，在過去的15年里，360持續(xù)服務(wù)和保護(hù)中國10億消費(fèi)者和數(shù)千萬中小企業(yè)。因?yàn)?60做免費(fèi)殺毒，無論是一個(gè)病毒木馬的作者，還是有組織的勒索軟件犯罪集團(tuán)，或是其他國家的網(wǎng)軍，只要想在中國入侵任何一個(gè)電腦，基本上都免不了要跟360打交道，他們都希望能想辦法越過360產(chǎn)品的檢測(cè)和查殺。所以這15年來我們一直陷入和這些人長期的、非常艱苦的攻防對(duì)抗，而這些付出和努力不僅讓360收獲了全球最好的終端安全軟件，全球規(guī)模最大的安全大數(shù)據(jù)，東半球最大的網(wǎng)絡(luò)安全攻防專家團(tuán)隊(duì)，同時(shí)還構(gòu)建了自己的ATT&CK知識(shí)庫。它與MITRE ATT&CK最大的不同是它的東半球視角，依托360高級(jí)威脅研究院、實(shí)戰(zhàn)云、漏洞研究院、安全工程院、網(wǎng)絡(luò)安全研究院、安全服務(wù)團(tuán)隊(duì)等多個(gè)核心安全團(tuán)隊(duì)的實(shí)戰(zhàn)和研究成果，大量擴(kuò)充了360視野內(nèi)獨(dú)特的技戰(zhàn)術(shù)細(xì)節(jié)，同時(shí)創(chuàng)造性地增加了漏洞利用技戰(zhàn)術(shù)知識(shí)庫并持續(xù)更新，形成了360獨(dú)有的全景攻防知識(shí)圖譜。

評(píng)估驗(yàn)證效能，差距驅(qū)動(dòng)改進(jìn)

“實(shí)戰(zhàn)定義數(shù)據(jù)，數(shù)據(jù)驅(qū)動(dòng)安全”，應(yīng)該還有半句加在后面：“評(píng)估驗(yàn)證效能，差距驅(qū)動(dòng)改進(jìn)”。長期以來組織安全負(fù)責(zé)人都很難回答安全體系防護(hù)效能以及投入收益比的問題。普遍的共識(shí)是安全產(chǎn)品不能不買但又無法證明物有所值，這背后主要的挑戰(zhàn)是如何系統(tǒng)化衡量、評(píng)估和改進(jìn)安全防護(hù)的抗攻擊能力。

MITRE給出的建議是進(jìn)行咨詢式展示評(píng)估。2017年MITRE接受美國政府的咨詢服務(wù)希望評(píng)測(cè)行業(yè)內(nèi)的高級(jí)威脅檢測(cè)和響應(yīng)類產(chǎn)品，MITRE與Endgame、Crowdstrike合作設(shè)計(jì)了一套評(píng)測(cè)方法，并為評(píng)測(cè)定了一個(gè)全新的名字：入侵者模擬（Adversary Emulation）。入侵者模擬是ATT&CK評(píng)測(cè)的核心理念和實(shí)施基礎(chǔ)，其本質(zhì)是ATT&CK+紅隊(duì)，即紅隊(duì)模擬ATT&CK描述的入侵者攻擊行為。

我們從2018年開始參與MITRE基于ATT&CK的入侵者模擬產(chǎn)品評(píng)測(cè)。2018年基于APT3組織技戰(zhàn)術(shù)做評(píng)測(cè)，2019年基于APT29，2020年基于Carbanak+FIN7。下面是2019年我們參與APT29評(píng)測(cè)所見的高級(jí)持續(xù)攻擊作戰(zhàn)圖。

基于ATT&CK知識(shí)庫的入侵者模擬技術(shù)可用以衡量、驗(yàn)證防護(hù)產(chǎn)品和體系的效能，并形成差距清單，為改進(jìn)提供指導(dǎo)和持續(xù)驗(yàn)證。最近幾年無論是美國聯(lián)邦政府、美國國防部，還是頭部安全廠商Palo Alto、FireEye等都加速了對(duì)這個(gè)方向的探索。

從2019年開始我們將在MITRE親歷的入侵者模擬技術(shù)工程化、自動(dòng)化，與360全景攻防知識(shí)圖譜一并融入了360安全大腦體系，對(duì)內(nèi)驅(qū)動(dòng)360自身產(chǎn)品持續(xù)改進(jìn)，對(duì)外為客戶提供超越合規(guī)的抗攻擊能力評(píng)估平臺(tái)和服務(wù)。目前已經(jīng)在國內(nèi)多家頭部金融客戶推廣，更應(yīng)用于備戰(zhàn)即將到來的大型攻防實(shí)戰(zhàn)演練，獲得了客戶的贊譽(yù)好評(píng)。

MITRE官方推薦了如下ATT&CK適用的場(chǎng)景，我們也在持續(xù)實(shí)踐和探索自己的道路：

● 入侵者模擬；

● 紅隊(duì)和藍(lán)軍建設(shè)；

● 威脅防護(hù)檢測(cè)產(chǎn)品能力衡量；

● 抗攻擊能力差距分析以確認(rèn)安全規(guī)劃建設(shè)優(yōu)先級(jí)；

● 安全運(yùn)營成熟度評(píng)估；

● 攻擊組織歸因分析參考。

習(xí)近平總書記說：“網(wǎng)絡(luò)安全的本質(zhì)在于對(duì)抗，對(duì)抗的本質(zhì)在于攻防兩端能力的較量”。攻擊是一門藝術(shù)，需要想象力；防守是系統(tǒng)性工程，依靠理性和邏輯。ATT&CK建立了從“知攻”通向“知防”的橋梁，攻防對(duì)抗中長期易攻難防的局面有望緩解，我們?cè)概c同行一起攜手建設(shè)中國網(wǎng)絡(luò)安全知識(shí)圖譜，共同提升數(shù)字基建和信創(chuàng)體系對(duì)抗高級(jí)威脅攻擊的能力。