2022年2月28日，MITRE Engage 團(tuán)隊(duì)正式發(fā)布了 Engage V1 版本。我們都非常了解MITRE ATT&CK框架，但針對(duì)ATT&CK框架中的攻擊技術(shù)，防守方如何進(jìn)行主動(dòng)防御呢?Engage 矩陣的推出給了我們很好的答案。本文將介紹MITRE Engage的基本信息及如何將Engage進(jìn)行落地實(shí)踐。

1. MITRE Engage介紹

1.1 詳解MITRE Engage矩陣結(jié)構(gòu)

Engage矩陣在縱向上被分為兩類活動(dòng)：戰(zhàn)略活動(dòng)和作戰(zhàn)活動(dòng)。

戰(zhàn)略活動(dòng)：戰(zhàn)略活動(dòng)(下圖黃色部分)是矩陣的基礎(chǔ)，確保防御者按照戰(zhàn)略規(guī)劃和分析推動(dòng)作戰(zhàn)行動(dòng)。此外，戰(zhàn)略活動(dòng)可以確保防御者收集了利益相關(guān)者(管理層、監(jiān)管機(jī)構(gòu)等)的要求并確定了可接受的風(fēng)險(xiǎn)。在整個(gè)行動(dòng)過程中，防御者將確保所有作戰(zhàn)都在這些定義的規(guī)則范圍內(nèi)進(jìn)行。

作戰(zhàn)活動(dòng)：作戰(zhàn)活動(dòng)(下圖中間部分)是傳統(tǒng)的網(wǎng)絡(luò)阻斷和欺騙活動(dòng)，用于推動(dòng)實(shí)現(xiàn)作戰(zhàn)目標(biāo)。

圖1：Engage矩陣(黃色部分為戰(zhàn)略活動(dòng)，中間部分為作戰(zhàn)活動(dòng))

Engage矩陣在橫向上被進(jìn)一步細(xì)分為目標(biāo)、方法和活動(dòng)。矩陣的頂部是Engage目標(biāo)，即用戶希望通過作戰(zhàn)能夠完成的高層次的結(jié)果?！皽?zhǔn)備”和“理解”部分的重點(diǎn)是作戰(zhàn)的投入和產(chǎn)出。雖然矩陣是線性的，但它應(yīng)該被看作是循環(huán)的。隨著作戰(zhàn)的深入，用戶要不斷地調(diào)整作戰(zhàn)活動(dòng)，以推動(dòng)作戰(zhàn)目標(biāo)的進(jìn)展。作戰(zhàn)目標(biāo)包括“暴露”、“影響”和“引出”。這些目標(biāo)的重點(diǎn)是針對(duì)攻擊者采取的行動(dòng)。下一行是作戰(zhàn)方法，確保用戶朝著選定的目標(biāo)取得進(jìn)展。其余部分是作戰(zhàn)活動(dòng)，這些是在對(duì)抗作戰(zhàn)中使用的具體技術(shù)。

圖2：Engage矩陣中的作戰(zhàn)目標(biāo)、作戰(zhàn)方法與作戰(zhàn)活動(dòng)

1.2 MITRE Engage與MITRE ATT&CK映射關(guān)系

當(dāng)攻擊者進(jìn)行某項(xiàng)特定行為時(shí)，他們很容易暴露出一些意想不到的弱點(diǎn)。MITRE Engage研究了每項(xiàng) ATT&CK 技術(shù)，來發(fā)現(xiàn)攻擊者的弱點(diǎn)并確定如何利用該弱點(diǎn)開展作戰(zhàn)活動(dòng)。將各項(xiàng)Engage 作戰(zhàn)活動(dòng)與 ATT&CK技術(shù)映射起來，可以確保 Engage 中的每項(xiàng)活動(dòng)都是針對(duì)觀察到的攻擊者行為所開展的。

例如，當(dāng)攻擊者進(jìn)行遠(yuǎn)程系統(tǒng)發(fā)現(xiàn)的 ATT&CK 技術(shù) (T1018) 時(shí)，他們很容易收集、觀察到欺騙性系統(tǒng)工件或信息。因此，作為防守方，我們可以使用誘餌讓他們暴露行蹤，使用更多或更高級(jí)的能力對(duì)付攻擊者，并影響他們的駐留時(shí)間。

對(duì)于給定的 ATT&CK 技術(shù)，MITRE Engage提供以下映射：

ATT&CK ID & Name——ATT&CK技術(shù)ID和名稱

攻擊者缺陷——攻擊者在進(jìn)行特定行為時(shí)暴露的缺陷

作戰(zhàn)活動(dòng)——防御者可以采取的行動(dòng)來利用攻擊者暴露的漏洞

這些映射是一對(duì)多的關(guān)系(即單個(gè) ATT&CK ID 可能對(duì)應(yīng)一個(gè)或多個(gè)不同的漏洞和作戰(zhàn)活動(dòng))。

圖3：MITRE ATT&CK與MITRE Engage的映射關(guān)系圖

1.3 Engage與傳統(tǒng)網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙之間關(guān)系

防守者通常會(huì)使用縱深防御技術(shù)，來阻止攻擊者訪問網(wǎng)絡(luò)或關(guān)鍵資產(chǎn)。畢竟，任何時(shí)候攻擊者能夠訪問一個(gè)新的系統(tǒng)或從網(wǎng)絡(luò)中滲出一些數(shù)據(jù)，他們就贏了。但是魔高一尺道高一丈，例如，當(dāng)防御者引入欺騙性技術(shù)時(shí)，就能夠在一定程度上迷惑攻擊者，相關(guān)資產(chǎn)的不確定性能夠極大增加攻擊成本。

那Engage與傳統(tǒng)網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙之間有什么關(guān)系呢?如圖4所示：

圖4：網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙與對(duì)抗作戰(zhàn)的關(guān)系

網(wǎng)絡(luò)阻斷：是指阻止或以其他方式損害攻擊者開展行動(dòng)的能力。

這種破壞可能限制他們的作戰(zhàn)和收集行為，或者降低攻擊者能力的有效性。

網(wǎng)絡(luò)欺騙：是指故意暴露欺騙性的資產(chǎn)或架構(gòu)，以誘導(dǎo)攻擊者，同時(shí)隱瞞真實(shí)資產(chǎn)，以防止攻擊者采取進(jìn)一步的行動(dòng)。

對(duì)抗作戰(zhàn)：是指在戰(zhàn)略規(guī)劃和分析的背景下，綜合使用網(wǎng)絡(luò)阻斷和網(wǎng)絡(luò)欺騙就形成了對(duì)抗作戰(zhàn)的基礎(chǔ)。

根據(jù)MITRE官方內(nèi)容介紹，對(duì)抗作戰(zhàn)的目標(biāo)包括：檢測網(wǎng)絡(luò)上的攻擊者;獲取情報(bào)以了解攻擊者及其TTP;通過提高成本影響攻擊者，同時(shí)降低其網(wǎng)絡(luò)行動(dòng)的價(jià)值。當(dāng)對(duì)抗作戰(zhàn)與縱深防御技術(shù)搭配使用時(shí)，防御者能夠主動(dòng)地與網(wǎng)絡(luò)攻擊者“互動(dòng)”，以實(shí)現(xiàn)防御者的戰(zhàn)略目標(biāo)。

整個(gè)對(duì)抗作戰(zhàn)是一個(gè)不斷迭代的、目標(biāo)驅(qū)動(dòng)的過程，而不僅僅是技術(shù)堆棧的部署，絕不是部署一個(gè)誘餌就能取得成功的。相反，用戶必須認(rèn)真思考防御目標(biāo)是什么，以及如何利用拒絕、欺騙和對(duì)抗作戰(zhàn)來推動(dòng)這些目標(biāo)的進(jìn)展。

2. MITRE Engage矩陣入門實(shí)踐

通過上文，我們已經(jīng)了解網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對(duì)抗作戰(zhàn)的概念，接下來我們介紹如何將對(duì)抗作戰(zhàn)流程和技術(shù)整合到防御策略中。我們會(huì)從研究Engage矩陣開始，這是開展對(duì)抗作戰(zhàn)策略的基礎(chǔ)。在討論和計(jì)劃網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對(duì)抗作戰(zhàn)活動(dòng)時(shí)，Engage矩陣提供了一個(gè)共享參考，彌合了防御者、安全廠商和決策者之間的差距。其核心是，Engage矩陣讓防御者確定了對(duì)抗作戰(zhàn)目標(biāo)，然后根據(jù)這些目標(biāo)來確定他們的作戰(zhàn)活動(dòng)。

2.1 如何將Engage矩陣整合到企業(yè)網(wǎng)絡(luò)戰(zhàn)略中來

雖然我們已經(jīng)探索了如何實(shí)施Engage矩陣，但我們尚未研究如何在企業(yè)更大的網(wǎng)絡(luò)戰(zhàn)略背景下應(yīng)用該矩陣及對(duì)抗作戰(zhàn)。

針對(duì)防御者的目標(biāo)而言，Engage 可以用來補(bǔ)充傳統(tǒng)的網(wǎng)絡(luò)防御策略。暴露、影響和引出等作戰(zhàn)目標(biāo)本質(zhì)上不是欺騙性的?？梢韵胂蟮玫?，很多企業(yè)已經(jīng)在按照這些目標(biāo)來組織企業(yè)的安全實(shí)踐了。

雖然我們經(jīng)常將對(duì)抗作戰(zhàn)視為一種獨(dú)特的安全實(shí)踐，但最有效和最成熟的實(shí)施方式是將安全無縫集成到組織文化中。正如培訓(xùn)員工養(yǎng)成良好的網(wǎng)絡(luò)運(yùn)維習(xí)慣一樣，企業(yè)必須培訓(xùn)員工將欺騙視為最佳實(shí)踐。有時(shí)，人們把欺騙病態(tài)化了，認(rèn)為欺騙本質(zhì)上是消極的、偷偷摸摸的和不誠實(shí)的。但是，Engage 認(rèn)為，防御者要將網(wǎng)絡(luò)阻斷和欺騙活動(dòng)常態(tài)化，將其視為常規(guī)、必要和智能的安全實(shí)踐。

2.2 Engage實(shí)踐的四要素

一次成功的對(duì)抗作戰(zhàn)活動(dòng)可以分解為四個(gè)部分：故事敘述、作戰(zhàn)環(huán)境、監(jiān)控和分析。故事敘述是指用戶計(jì)劃向攻擊者描述的欺騙故事。作戰(zhàn)環(huán)境是一套精心定制的、高度感知化的系統(tǒng)，需要根據(jù)每次作戰(zhàn)情況來設(shè)計(jì)，作為故事敘述的背景。這些系統(tǒng)可以是完全隔離的，也可以是集成到生產(chǎn)網(wǎng)絡(luò)中的。監(jiān)控是指用于觀察攻擊者在環(huán)境中移動(dòng)的收集系統(tǒng)。監(jiān)控對(duì)于在整個(gè)作戰(zhàn)中保持行動(dòng)安全至關(guān)重要。最后，分析是指用戶采取一些行動(dòng)，將行動(dòng)的產(chǎn)出轉(zhuǎn)化為可操作的情報(bào)。連接所有這四個(gè)要素的紐帶就是作戰(zhàn)目標(biāo)，包括：暴露網(wǎng)絡(luò)上的攻擊者、通過降低攻擊者的行動(dòng)能力來影響攻擊者、和/或獲取情報(bào)以了解攻擊者的TTP。下圖為開展對(duì)抗作戰(zhàn)行動(dòng)時(shí)應(yīng)該圍繞這幾大要素考慮的問題。

圖5：開展對(duì)抗作戰(zhàn)行動(dòng)時(shí)應(yīng)考慮的問題

2.3 Engage實(shí)踐落地流程：收集、分析、確認(rèn)、實(shí)施

對(duì)抗作戰(zhàn)行動(dòng)應(yīng)該是一個(gè)根據(jù)新情況、新機(jī)會(huì)不斷迭代、不斷改進(jìn)和變化的作戰(zhàn)活動(dòng)。Engage矩陣旨在推動(dòng)討論和規(guī)劃活動(dòng)，而不是一刀切地涵蓋對(duì)抗作戰(zhàn)活動(dòng)的所有情況。MITRE Engage周期圖說明了Engage矩陣是如何在一次作戰(zhàn)過程中實(shí)施的。

圖6：MITRE Engage周期圖

這個(gè)周期沒有確定的開始或結(jié)束，但在這個(gè)模型中，我們首先要從采集器或Agent收集原始數(shù)據(jù)。這種收集與收集工具無關(guān)，只是指收集方法，收集工具可以是Sysmon、Auditd等，也可以是廠商提供的EDR等工具。然后，下一步是在現(xiàn)有CTI數(shù)據(jù)的背景下分析原始數(shù)據(jù)。在這里，我們可以使用MITRE ATT&CK等工具，對(duì)這些新數(shù)據(jù)進(jìn)行背景分析。通過分析攻擊者的行動(dòng)，并將這些數(shù)據(jù)與過去的行為進(jìn)行比較，防御者可以了解攻擊者當(dāng)前的活動(dòng)、甚至可以預(yù)測其未來的活動(dòng)。掌握了這些知識(shí)，防御者可以使用 Engage矩陣來確定作戰(zhàn)機(jī)會(huì)，以達(dá)到防御目標(biāo)。

2.4對(duì)抗作戰(zhàn)實(shí)施：10步流程法

結(jié)合對(duì)抗作戰(zhàn)的四大作戰(zhàn)要素，我們可以概括出對(duì)抗作戰(zhàn)行動(dòng)的流程。但企業(yè)通常無法有效規(guī)劃如何在其網(wǎng)絡(luò)中、以及在網(wǎng)絡(luò)的哪些位置進(jìn)行網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對(duì)抗作戰(zhàn)活動(dòng)。如前所述，對(duì)抗作戰(zhàn)是一個(gè)不斷迭代的、目標(biāo)驅(qū)動(dòng)的過程，而不僅僅是技術(shù)堆棧的部署。為此，MITRE Engage制定了 10 步流程法來幫助企業(yè)，將對(duì)抗作戰(zhàn)活動(dòng)納入到網(wǎng)絡(luò)防御流程中。

10 步流程法對(duì)于資源有限或安全計(jì)劃不太成熟的組織尤其重要。如果企業(yè)能夠明確定義作戰(zhàn)目標(biāo)，就可以緊密圍繞這些目標(biāo)有效縮小作戰(zhàn)范圍。所以，即使是小型組織也可以在資源有限的情況下將對(duì)抗作戰(zhàn)整合到他們的防御策略中!

“Engage 10步流程法”分為三類：準(zhǔn)備、作戰(zhàn)和理解。在準(zhǔn)備階段，用戶確定作戰(zhàn)目標(biāo)。然后，用戶要構(gòu)建一個(gè)支持這一目標(biāo)的故事敘述，為作戰(zhàn)環(huán)境的設(shè)計(jì)和所有的作戰(zhàn)活動(dòng)提供參考。在這一階段，用戶還可邀請(qǐng)任何利益相關(guān)者來確定可接受的風(fēng)險(xiǎn)水平。通過預(yù)先設(shè)定風(fēng)險(xiǎn)水平，用戶就可以構(gòu)建清晰的作戰(zhàn)規(guī)則(RoE)。監(jiān)控和分析能力應(yīng)足以確保作戰(zhàn)活動(dòng)保持在這些范圍內(nèi)。在作戰(zhàn)階段，用戶要實(shí)施和部署他所設(shè)計(jì)的活動(dòng)。最后，在理解階段，用戶可以把作戰(zhàn)產(chǎn)出轉(zhuǎn)化為可操作的情報(bào)，以評(píng)估是否達(dá)到了作戰(zhàn)目標(biāo)。而且，這種評(píng)估有助于用戶進(jìn)行經(jīng)驗(yàn)總結(jié)，以便完善未來的作戰(zhàn)活動(dòng)。

圖7：10步流程法

步驟1：評(píng)估對(duì)攻擊者和組織的了解情況

孫子說，知己知彼，百戰(zhàn)不殆;不知彼而知己，一勝一負(fù);不知彼，不知己，每戰(zhàn)必殆。

這句話在網(wǎng)絡(luò)作戰(zhàn)中也是正確的。創(chuàng)建威脅模型來了解組織的風(fēng)險(xiǎn)、漏洞和優(yōu)勢(shì)，這是規(guī)劃有效的對(duì)抗作戰(zhàn)行動(dòng)的基礎(chǔ)。在威脅模型中，防御者必須識(shí)別組織的關(guān)鍵網(wǎng)絡(luò)資產(chǎn)。同樣，防御者應(yīng)該使用網(wǎng)絡(luò)威脅情報(bào)來了解威脅形勢(shì)。

步驟2：確定作戰(zhàn)目標(biāo)

在了解自己的優(yōu)勢(shì)、劣勢(shì)和威脅的基礎(chǔ)上，防御者應(yīng)該確定他們的作戰(zhàn)目標(biāo)。這些目標(biāo)應(yīng)反映已確定的優(yōu)先事項(xiàng)。對(duì)于成熟的組織，對(duì)抗作戰(zhàn)是組織戰(zhàn)略的核心支柱，這些目標(biāo)也應(yīng)該反映這個(gè)更大的戰(zhàn)略。這些目標(biāo)應(yīng)該是具體的、可衡量的行動(dòng)，讓防御者能夠推動(dòng)實(shí)現(xiàn)更大、更具戰(zhàn)略性的目標(biāo)。在確定作戰(zhàn)目標(biāo)時(shí)，防御者還應(yīng)確定目標(biāo)攻擊者，即某次作戰(zhàn)行動(dòng)優(yōu)先針對(duì)的攻擊者?？梢猿鲇诙喾N原因選擇目標(biāo)攻擊者。目標(biāo)攻擊者可能是過去以你的組織或與類似的組織為目標(biāo)的威脅。目標(biāo)攻擊者也可以是威脅情報(bào)中存在差距的地方。無論出于何種原因，有了目標(biāo)攻擊者，都可以讓防御者集中注意力并優(yōu)先考慮作戰(zhàn)活動(dòng)。

步驟3：確定你希望攻擊者作何反應(yīng)

現(xiàn)在，防御者必須確定他們希望攻擊者在作戰(zhàn)期間作何反應(yīng)，以便朝著作戰(zhàn)目標(biāo)取得進(jìn)展。重要的是要記住攻擊者的想法和他們的反應(yīng)之間是有區(qū)別的。如果防御者只考慮他們認(rèn)為攻擊者會(huì)怎么想，就很容易誤判攻擊者的反應(yīng)。這種不匹配可能導(dǎo)致攻擊者做讓防御者意外的反應(yīng)。

步驟4：確定你希望攻擊者感知到什么

現(xiàn)在防御者已經(jīng)確定了攻擊者應(yīng)該會(huì)作何反應(yīng)，接下來，防御者就該考慮攻擊者應(yīng)該在環(huán)境中感知到哪些東西來支持實(shí)現(xiàn)作戰(zhàn)目標(biāo)了。這時(shí)，防御者必須計(jì)劃好將哪些事實(shí)和虛假信息暴露給攻擊者，應(yīng)該將哪些信息向他們隱藏起來。

步驟5：確定與攻擊者互動(dòng)的渠道

在確定了攻擊者應(yīng)該作何反應(yīng)以及他們應(yīng)該感知到哪些事情之后，防御者必須探索可用的手段來向攻擊者展示這種效果。作戰(zhàn)環(huán)境和作戰(zhàn)故事敘述都可以充當(dāng)攻擊者被欺騙的渠道。

步驟 6：確定成功和把控標(biāo)準(zhǔn)

在規(guī)劃對(duì)抗作戰(zhàn)行動(dòng)時(shí)，防御者必須了解怎樣算是成功和失敗。每次操作都存在風(fēng)險(xiǎn)因素。通過設(shè)置可接受與不可接受風(fēng)險(xiǎn)的明確界限，防御者可以創(chuàng)建明確的把控標(biāo)準(zhǔn)，或觸發(fā)作戰(zhàn)活動(dòng)結(jié)束與暫停的節(jié)點(diǎn)。這樣，防御者可以避免在作戰(zhàn)過程中出現(xiàn)任何混亂、事故或其他可預(yù)防的風(fēng)險(xiǎn)。此外，在觸發(fā)把控標(biāo)準(zhǔn)的情況下，防御者應(yīng)確定明確的響應(yīng)行為，知道超出某些標(biāo)準(zhǔn)時(shí)應(yīng)該如何進(jìn)行響應(yīng)。最后，應(yīng)該清楚地了解作戰(zhàn)目標(biāo)是否成功完成。如果成功的定義不明確，很容易因?yàn)樽鲬?zhàn)持續(xù)時(shí)間過長或忽視初始目標(biāo)而浪費(fèi)資源。

步驟7：執(zhí)行作戰(zhàn)行動(dòng)

此時(shí)，作戰(zhàn)行動(dòng)從計(jì)劃轉(zhuǎn)向執(zhí)行。防御者實(shí)施計(jì)劃的作戰(zhàn)活動(dòng)并開始積極與攻擊者作戰(zhàn)。接下來的步驟是分析，這些步驟不應(yīng)僅在達(dá)到預(yù)定把控標(biāo)準(zhǔn)后才考慮，而是應(yīng)該不斷地分析作戰(zhàn)情況，不斷迭代、優(yōu)化實(shí)施細(xì)節(jié)。在整個(gè)行動(dòng)過程中，防御者應(yīng)該不斷地循環(huán)規(guī)劃、執(zhí)行和分析，促使作戰(zhàn)活動(dòng)達(dá)到既定目標(biāo)。

步驟8：將原始數(shù)據(jù)轉(zhuǎn)化為可操作的情報(bào)

隨著行動(dòng)的進(jìn)行，作戰(zhàn)的原始輸出結(jié)果應(yīng)提煉為可操作的情報(bào)，這可以確保作戰(zhàn)活動(dòng)的結(jié)果對(duì)于防御者是有用的。提煉情報(bào)的一種關(guān)鍵方法是使用數(shù)據(jù)分析。通過數(shù)據(jù)分析，防御者可以將作戰(zhàn)期間收集的原始數(shù)據(jù)映射生成攻擊者的攻擊行為。行為分析等自動(dòng)化分析對(duì)于產(chǎn)生有意義的情報(bào)至關(guān)重要。在這一步驟中產(chǎn)生的情報(bào)可以酌情在組織內(nèi)部和外部共享，并用于改善威脅模型和未來的防御活動(dòng)。

步驟9：反饋情報(bào)

從作戰(zhàn)中獲得的可操作情報(bào)必須反饋到現(xiàn)有威脅模型中，以便為未來的決策提供信息。每次更新威脅模型時(shí)，都必須重新審視利用原有情報(bào)做出的作戰(zhàn)決策。

步驟10：分析成功和失敗，為未來的活動(dòng)提供信息

每當(dāng)達(dá)到把控標(biāo)準(zhǔn)時(shí)，就必須分析作戰(zhàn)中成功和失敗的地方。通過回顧，團(tuán)隊(duì)可以分析作戰(zhàn)中的事件，確保朝著實(shí)現(xiàn)作戰(zhàn)目標(biāo)發(fā)展。這包括回顧規(guī)劃、實(shí)施、對(duì)抗活動(dòng)和產(chǎn)生的影響。除了回顧作戰(zhàn)情況之外，還要評(píng)估團(tuán)隊(duì)和其他利益相關(guān)者的溝通和合作情況。雖然這類審查應(yīng)在作戰(zhàn)行動(dòng)結(jié)束時(shí)進(jìn)行，但在長期作戰(zhàn)時(shí)，應(yīng)定期進(jìn)行，這對(duì)于確保實(shí)現(xiàn)作戰(zhàn)目標(biāo)至關(guān)重要。

文章來源：青藤云安全