根据Miter Corporation的Andy Applebaum,在对手技术之间寻找依赖性可以使安全团队更好地优化其防御能力。
如果信息安全团队可以理解对手如何构建其利用链,那么他们可以更好地优化其防御能力。
问题是:防御者如何首先能够访问此信息?
在第一次年度会议上周在英国爱丁堡,MITER Corporation的首席网络安全工程师Andy Applebaum提出了旨在做到这一点的新方法。
ATT&CK:最好的防御形式
对手很少孤立地执行他们的技术。取而代之的是,这些技术被用作进一步执行机会的垫脚石。
根据Applebaum的说法,大多数漏洞利用具有基本要求,必须在执行之前满足。
例如,要利用微软的远程桌面协议(RDP),对手必须首先可以访问有效的凭据。
为了使技术依赖性新鲜阐明,研究人员及其同事采用了一种数据驱动的方法att&ck- MITER开发的框架以了解对手策略,技术和程序(TTPS)。
Applebaum说:“ ATT&CK基于网络事件的实际数据。”“所有的TTP都是我们看到的对手在野外做的事情,或者是红队的常识。”
安迪·阿普鲍姆(Andy Applebaum)在上周的第一次会议上介绍
举例来说,Applebaum以Cybereason的了解操作钴小猫,请注意该报告提到了五种技术:通过Windows Admin共享的传播;通过哈希;通过票;获得凭证倾销的证书;和帐户发现。
Applebaum解释说:“查看这五种特定技术的有趣之处在于它们彼此相关。”
“要通过哈希,传递票务或Windows管理员共享,您需要获得凭据转储的凭据,并且还可以通过帐户发现在目标上发现Admins。
“通过此数据分析的想法是,如果两种技术具有某种关系,您应该期望在同一报告中看到它们。有一种内在的依赖性使它们在链条中链接。”
Applebaum展示了如何在矩阵中显示来自ATT&CK的数据,然后允许防御者跟踪技术对的频率。
计数共发生:通过ATT&CK框架共享技术参考
在上面的示例中,ATT&CK提供了14个报告,这些报告既提及“服务执行”和“凭据转储”;“有效帐户”和“凭据倾销”之间有20个报告;以及“有效帐户”和“服务执行”的五个报告。
Applebaum说:“这为我们提供了每个技术对的相对报告频率的近似值。”
进一步,研究人员展示了如何将矩阵中的每一行转换为相对百分比,这更好地证明了所选技术对的明显优势或弱点。
例如,所有报告“ Windows Admin共享”的报告中有29%也提到了“有效帐户”。
共同发生的百分比
Applebaum说,以这种方式可视化数据,可以允许信息安全团队开始开发与技术之间共同发生有关的假设。
语义分析
另外,Applebaum展示了如何使用语义分析来获取有关技术关系的信息。
Applebaum说:“这个想法是,利用前后条件将使我们能够构建技术链。”“使用这些链条,我们可以识别技术关系。”
为了对攻击技术进行语义分析,Applebaum使用了火山口,旨在自动化对手仿真过程的开源软件。
“从依赖性分析的角度来看,这个想法是,我们可以根据其前条件及其后条件将动作连接到对象,然后构造一个图表,显示这些动作如何相互关系。
Caldera逻辑中的强制依赖性
根据Applebaum的说法,这种方法可以使安全团队能够更好地了解强制性依赖性。换句话说,在执行另一种技术之前,始终需要哪些技术。
他说:“我们可以做的另一件事是技术设定增强。”“这里的问题是:给定一组技术,我们可以首先确定该集是否是独立的?
打破链条
在演讲过程中,Applebaum强调,两种方法都不完美。数据驱动的威胁报告分析中的缺点包括报告中的主观偏见,而火山口的逻辑错误可能导致数据丢失。
尽管有这些警告,但研究人员强调,可以深入了解攻击技术关系的安全团队将发现自己处于更强的防御地位,尤其是在狩猎威胁时。
他说:“如果我知道哪些技术彼此取决于彼此,那么我可以寻找使我专门寻找的技术。”
“如果我正在寻找一种替代技术,那么如果我的最初假设失败,我也许可以从某些东西中脱颖而出。如果我找不到RDP,也许我应该寻找通过哈希。”
