网空威胁框架的演进

时间 :  2020年06月17日  来源:  安天CERT


        在当前网空对抗形势下,威胁框架是认知威胁的重要方法,也是安全厂商提高客户安全防御能力、达成客户安全价值的有效途径。从网空杀伤链模型演进到TCTF、ATT&CK等更细粒度的威胁框架体系,网空威胁框架已成为深入认知威胁,交换行动情报、改善防御能力、提升产品和体系能力的重要参考。安天积极对标威胁框架改善产品,截至2019年6月,全线产品的告警和知识标签输出已靠拢到威胁框架体系,并在此基础上参照威胁框架不断完善安全引擎、产品能力和分析支撑工作。

        本文梳理了威胁框架的发展历程,解析了威胁框架的主体内容,并探讨了威胁框架的价值发挥。

1 网空威胁框架的发展历程


1.1 为什么需要网空威胁框架

        随着网空对抗的发展,网空威胁的作用背景、存在形式、内在机理,都发生了深刻的变化;传统的威胁认知方法与分析手段,已不能有效解决当前网空威胁的问题。早期的网空威胁,往往表现为离散的威胁事件;因此,对应采取的威胁认知方式,也往往是离散化的,即单独地看待、分析和处置各个威胁事件。然而,随着网络安全上升到国家安全的层面,网空已成为大国博弈与地缘斗争的激烈对抗领域,对网空安全构成严重危害的主体威胁,已转化为APT(Advanced Persistent Threat,高级持续威胁)形式的体系化攻击。鉴于APT攻击作业的持久性,跨时间域、跨网域而离散发生的多起威胁事件,本质上属于同一攻击作业过程。这些威胁事件,貌似是各个孤立存在的,然而,它们服务于同一攻击作业中不同阶段不同目的,具有前后关联、配合协作的内在联系。在这种对抗态势下,如果依然以离散的方式去孤立地看待和处置每个威胁事件,就会陷入没有头绪、无从下手的窘境,难以有效分析威胁的前因后果,看不清真正的对手,无法理解真正的危害,从而在网空对抗中处于战术攻防与战略决策的双重不利境地,进而对网空安全带来难以估量的损害后果。

        当前网空对抗的严峻形势,就促成了网空威胁框架的提出与发展。网空威胁框架是一套科学的方法和工具体系,能够更深入地认知APT形式的网空威胁,系统全面地分析其攻击意图、手法、过程与技术,达成增强防御有效性的目标。网空威胁框架的基本构成与作用,如图1所示。

图1. 网空威胁框架的基本构成与作用

        威胁框架是系统认知网空威胁、构建有效防御的方法与工具体系。简言之,威胁框架具有“约束性”和“支撑性”两个基本属性。所谓“约束性”,即为界定所认知的问题;例如,“横向移动”是指一种什么样的攻击作业。所谓“支撑性”,即为能够提供对问题的解析与处理;例如,“横向移动”的作业目标、作业过程、检测要素、缓解措施等。具体来看,为了能够满足不同程度的分析需求,可简可繁,既能向高层概念抽象,又能向底层细节解析,威胁框架通常采取层次化的组成结构。这种层次化的组成结构,首先通过构造和定义核心概念与术语,达成分析的基础性共识;然后,进一步引入更多的或更为具象化的属性描述、特征提取、关系刻画、功能作用、甚至算法推演等,形成逐步深入的分析层次,最终构成多层结构的分析体系。借助这一分析体系,网空防御者即可实施对网空威胁的分析预测、交流共享情报、优化防御措施、改善防御态势等。

1.2 网空威胁框架的构建过程

        具体的有影响力的威胁框架,主要是洛克希德-马丁的网空杀伤链框架(Cyber Kill Chain Framework)、MITRE的ATT&CK框架(Common Knowledge base of Adversary Tactics and Techniques,对手战术技术公共知识库)、ODNI的CCTF框架(Common Cyber Threat Framework,公共网空威胁框架),以及NSA的TCTF框架(Technical Cyber Threat Framework,技术性网空威胁框架)。如图2所示,这四者代表性地反映了威胁框架在网空技术对抗层面和情报对抗层面的构建与深化发展。

图2. 代表性的网空威胁框架

        洛克希德-马丁作为全球最大的防务承包商,对信息网络安全具有高度严格的需求以及全谱领先的能力。其于2011年提出的网空杀伤链框架,将网空威胁划分为7个阶段,分别是“侦察-武器构建-载荷投送-突防利用-安装植入-通信控制-达成目标”。网空杀伤链框架创立了网空威胁框架的基本设计理念,即基于攻击者视角、以整个攻击行动统一离散的威胁事件而形成整体性分析。不同于以往基于防御者视角的安全模型与分析方法,网空杀伤链从攻击者视角更为清晰地理解攻击行动,通过上下文建立起事件之间的关联分析,从而更有效地理解攻击目标与攻击过程,也更有助于找到潜在对策与应对手段。

        MITRE是一家历史悠久的、专注于科学与技术研究、具有政府安全服务背景的非盈利机构,尤其以安全建模能力而见长。由于洛克希德-马丁网空杀伤链框架的抽象层次较高,虽然有助于描述攻击整体过程与理解攻击目的,但难以实际运用于表述和分析敌方的各个行动、行动之间的因果作用、行动序列与战术目标的关系,也缺乏分析攻击行动所涉及的与平台相关的数据源、防御措施、安全配置和解决对策等要素。为针对性解决威胁框架在战术技术层面上实践实用的问题,MITRE提出了ATT&CK框架。ATT&CK框架在网空杀伤链框架基础上,从大量的现实网空威胁中提炼出攻击行动的具体信息,对这些信息进行了细致的技术分解与特征描述,进而构造了丰富的攻击者战术技术知识库;通过知识库以及相关的工具系统,可以深入分析攻击行动的过程与细节,从而得以有效地改善防御态势、提高防御水平、优化安全产品与安全服务的技术能力。此外,ATT&CK框架的迭代更新非常积极,从2015年正式推出,几乎每隔三至六个月,都会有一次显著的更新;例如, 2019年10月执行了近期一次主要更新(即当前的官方正式版本、或2.0版本)。这使得ATT&CK框架能够及时地跟踪、涵盖最新的APT攻击特征,从而保持ATT&CK框架的生命力与有效性。

        从网空杀伤链框架到ATT&CK框架,反映了对网空威胁的认知,在技术层面上由浅入深的演进。然而,网空对抗的本质是国家行为体的对抗,网空威胁不仅仅只是技术层面的问题,也不仅仅是只依赖安全厂商就能解决的问题。政府与国家情报体系,必须密切关注网空威胁,并依据国家安全利益,对网空威胁的防御和反制进行分析研判、规划决策、资源协调、组织联动等方方面面的工作。为此,相关机构就提出了另外两个具有情报体系背景的网空威胁框架,分别是CCTF框架和TCTF框架。

        CCTF框架是ODNI(Office of the Director of National Intelligence,美国国家情报总监办公室)于2017年发布的面向政府机构、情报部门、政策与决策部门的网空威胁交流分析框架。该框架将威胁过程划分为“准备- 突破- 存在- 作用与后果”四个阶段,并通过分层描述,实现对网空威胁的分类与特征化,进而支撑分析、高层决策、趋势与差距研判等工作。总体而言,CCTF框架的攻击阶段划分是极为广义化的,其层次化的分析模型也是极度简化与高度概括的,所采用的术语与描述也不受网空专业技术语境的约束。这样的设计特性,使得网空专家和非网空专家都能够借助该框架进行清楚沟通与相互理解,有助于政府高层对网空威胁的分析决策。然而,对网空威胁的认知与对抗,终究是一个高度技术化的问题;与此同时,任何涉及网空威胁的高层分析与决策,也终究需要技术部门与安全厂商去落实执行。有机地将政府高层决策与厂商安全实践能力紧密结合在一起,是网空体系化对抗所必然要求的。为此,NSA(National Security Agency,美国国家安全局)于2018年提出了TCTF框架,以作为CCTF框架的技术性扩展。在大国博弈与地缘竞争背景下,NSA在全球网空对抗态势中,具有极为特殊与重要的角色和地位。一方面,NSA是美方情报体系中体量最大的成员机构,另一方面,NSA长期专注于技术情报,是全球网空攻防实力最强的一方。基于NSA的情报角色和技术优势,TCTF框架深入到网空威胁专业技术语境中,完成了对攻击意图、作业阶段、行动特征的拆解与刻画,形成了“政府情报机构”与“安全执行厂商”之间密切交流的粘合剂。

        由此可见,在体系化网空对抗态势下,从“能力对抗与责任担当”的双重要求出发,能力型安全厂商应优先选用ATT&CK框架与TCTF框架,作为深入认知网空威胁的方法基础,并与自身优势和沉淀积累紧密结合,全面优化提升网空对抗的分析研判与防御反制能力。概括性地来看,二者都涵盖了网空威胁从高层目标意图到底层行为细节,但二者并非简单的冗余或重复。ATT&CK框架侧重现实攻击的技术分析层面,以面向技术研究和产业界为主;TCTF框架侧重攻防对抗的情报研判层面,以面向政府和情报机构的技术部门为主。这种差异,并不会形成对二者综合运用的障碍,反而恰恰是由于二者差异的存在,能够产生互补与价值叠加的效果。

2 网空威胁框架的主体内容


2.1 ATT&CK框架
2.1.1 框架特性

        如前所述,ATT&CK框架是一套技术细节丰富、易于共享应用的攻击行为分析模型和知识库。从框架本身的构建设计角度来看,ATT&CK框架具有如下特性:

        - 以网空杀伤链框架为基础方法,采用攻击者视角对离散威胁事件形成整体性分析;

        - 以TTP为核心分析要素,针对攻击的行为特征而展开分析,从行为层克制APT攻击的防御规避能力;

        - 着重于“突破后”分析,将防御重点由网络边界转为网络内部,建立起对APT攻击的持续检测与持久对抗机制;

        - 以现实场景下的现实攻击行动为知识的分析来源,依据对真实APT攻击进行追踪分析,提炼出技术点,不断积累知识库,促使该框架基于可能遇到的实际威胁来完善;

        - 通过对分析模型和知识库的多维度优化与工具集合辅助,促进知识向防御实践转化的效率与便捷。

2.1.2 核心要素

        对手TTP(Tactics, Techniques and Procedures;战术, 技术与过程)是ATT&CK框架的核心概念;对攻击行动的分析以及知识库的提炼积累,都是围绕TTP而展开的。所谓战术,是指对攻击行动的概括性要求,表达的是目的或行动原因,常用于攻击作业规划与过程追踪;所谓技术,是指通过什么动作执行来达成战术的目标,包含预期完成的行动,但不包括完成行动的规定性指导;所谓过程,是特定的案例化或参照化技术执行说明,是完成任务的详细、具体的操作说明和/或指导,重点在于提供完整、详细、正确的任务步骤说明。

        TTP使得防御系统摆脱或降低了对IOC(Indicators of Compromise)的依赖,将防御从检测机器层执行动作信息,提升到检测作业层行为信息。相比于恶意代码Hash值、IP地址等IOC指标,基于TTP的行为特征,是很难改变的,攻击者需要付出大量努力才能发现新的作业手法并实现防御规避的目的,其技术难度、时间周期和成本代价都是巨大的。因此,TTP刻画了攻击者相对稳定的行为特征;也因此,基于TTP的攻击行动检测分析,对于识别攻击和提升防御,都具有更高效和更鲁棒的安全价值。

2.1.3 知识库

        对照网空杀伤链的阶段划分,如图3所示,ATT&CK框架的内容包括“Pre-ATT&CK”与“企业ATT&CK / Enterprise ATT&CK”。

图3. ATT&CK框架的内容构成

        Pre-ATT&CK对应杀伤链的前两阶段;企业ATT&CK对应杀伤链的后五阶段。鉴于ATT&CK框架侧重于“突破后”防御,因此,相比于Pre-ATT&CK,企业ATT&CK是ATT&CK框架的主体内容。这一点,也正符合APT攻防对抗的现实状况。对于以APT作业为主要形式的网空威胁,边界和预设的防御措施,总会被突破;因此,认知与防御APT威胁的要点,应以“敌已在内”为敌情想定的基础,强化网络内部的威胁防御。具体地,企业ATT&CK还可再进一步依据执行环境而细分为Windows版、Linux版、MacOS版以及云计算/Cloud版(其下又具体对应若干种不同云平台环境),其中,又以Windows版为重点。除此之外,还有适用于移动/Mobile环境的版本。

        对于企业ATT&CK,网空威胁所涉及的对手战术与技术,汇总形成一个矩阵/Matrix,即ATT&CK框架的知识库。该矩阵形式的知识库是ATT&CK框架的知识主体,也是进一步扩展形成其它分析工具、分析方法与分析资源的知识基础。知识库矩阵的总貌如图4所示。

图4. ATT&CK框架的知识库矩阵

        该矩阵中列举了12项攻击战术,如“初始访问”、“执行”和“持久化”;需要注意的是,这12项攻击战术并不限定执行的时间或先后顺序,攻击者可以按任意顺序来组合运用这12项攻击战术。在每一战术下,包含可支持此战术的攻击技术;例如,为达成战术“初始访问”,可运用技术“水坑攻击”、“通过可移动介质复制”或“使用鱼叉式钓鱼附件”。如果需要了解某一具体攻击战术或攻击技术的细节,可直接在此矩阵上点击来获取细节信息(注:点击矩阵以获取内容需访问MITRE网站)。在攻击技术的细节说明中,包含此项攻击技术的定义与描述,也包含与检测此项攻击技术密切关联的信息如数据来源,还包含此项攻击技术被哪些APT组织所采用,以及其它技术性细节信息。

2.1.4 作用领域

        ATT&CK框架的主要作用领域包括:

                - 检测分析

                - 威胁情报

                - 对手仿真

                - 评估与工程

        检测分析方面,ATT&CK框架可指导如何防御某一具体攻击技术。对于特定的攻击技术,知识库给出了诸如检测方法、缓解措施以及检测所需数据源等信息;防御者可依据相关信息,部署对应的数据传感器,分析捕获的数据以实施有效的检测。威胁情报的利用方式是灵活多样的;通过威胁框架,能够将威胁情报结构化,便于对APT报告的理解,以及通过威胁情报提升防御。例如,可通过攻击战术技术在矩阵中的映射状态,来分析APT组织。由于不同APT组织的作业方式各不相同,其所采用的战术技术集合也各不相同、且具有相对稳定的特点,因此,基于矩阵映射状态的分析,可区别不同的APT组织,跟踪特定APT组织的战术技术变化,从而针对性地调整防御措施。对手仿真的主要目的,在于可靠检验防御措施对真实APT攻击的有效性。评估与工程,则依托威胁框架改变了防御差距评估缺乏明确指标的模糊性问题。通过验证防御措施对攻击技术的覆盖范围与覆盖深度,防御差距评估具有了清晰的“可见性”,使得防御方能够避免盲目性,有的放矢地优化防御部署、聚焦防御重点,从而更为有效地提升防御水平。

2.1.5 扩展资源

        以ATT&CK知识库为基础,围绕其主要作用领域,MITRE以及第三方合作组织和安全团队,开发了丰富的工具系统、专家资源以及解决案例,以辅助安全研究人员和安全厂商,优化威胁防御机制,改善网空安全态势。

        CAR (Cyber Analytics Repository,网空分析库)从防御者角度形成对ATT&CK知识库的有效利用。对应ATT&CK知识库中所列举的每一攻击技术,CAR都说明了对应的分析方法(包括如何实现的伪代码描述)、数据模型以及如何收集数据。Navigator/导航器是一个便捷的在线工具,可将威胁情报中获取的攻击者战术技术在知识库矩阵中进行标注,以辅助分析攻击者组织。ART(Atomic Red Team)是第三方开发的映射到ATT&CK框架的小型、高度可移植的检测测试库;防御者可选择要测试的攻击技术,利用测试库生成测试程序并执行测试,通过分析对该测试程序的检测结果,来达到改善防御的目的。Mitigations/缓解库 则专门提供对攻击技术予以缓解的指导措施;例如,如何设置账号管理策略,以阻断对账号密码的暴力破解攻击。除此之外,大量丰富的专家资源与解决案例,都提供了对安全实践的有效帮助,是ATT&CK框架得以广泛运用的强大助力。

2.1.6 前景趋势

        ATT&CK框架业已获得业界的广泛支持,其积极作用得到了普遍认可。ATT&CK框架的成功也促进了自身的快速发展,其内容体系日趋丰富;例如,补充了用于工业控制的版本(ATT&CK for Industrial Control Systems)。当然,ATT&CK框架本身在实践中也暴露出一定的局限性,例如,对某些攻击技术的拆解粒度不足,造成实际运用的困惑。MITRE已意识到相关问题,正积极着手予以优化完善。针对某些攻击技术拆解粒度过大的问题,MITRE已推出攻击“子技术/ sub-Techniques”测试版本,以细化攻击技术的拆解粒度,解决实际运用中的不足。通过MITRE和业界的共同努力,相信ATT&CK框架将成为占主导地位的威胁分析指导方法和知识基础。

2.2 TCTF框架
2.2.1 主体内容

        当前的TCTF框架是NSA于2018年11月发布的第二版。通过参考网空杀伤链、ATT&CK等多种现有威胁框架,TCTF框架以阶段(Stage)、目标(Objective)、行为(Action)和关键短语(Key Phrases)所组成的四层描述结构,构造了一个与网空行为活动紧密结合的通用技术词典。为清晰表示,TCTF亦以矩阵的形式组织其主体内容,以前三个层次组成如图5所示的矩阵(二维表格形式)。

图5. TCTF框架的阶段、目标和行为矩阵

        TCTF将攻击行动划分为6个阶段,分别是“行动管理与资源保障、目标勘察与环境整备、接触目标与进攻突防、持久化驻留潜伏、致效能力运用、全程持续支撑作业”。这一阶段划分,既有与网空杀伤链相同之处,也有不同之处。例如,阶段“行动管理与资源保障”实际已超出单纯的网空专业技术范畴和窄带的攻防行动范畴,涉及到组织、资金、规划计划等战略性作业筹划。再例如,特别强调在对方网络内部的持久潜伏与持续存在,而不仅仅只是为了达成某种破坏性目标,这突出显示了情报作业的典型特质。通过隐蔽渗透与持续监控搜集,形成对对方网络的深远控制和无形威慑,并能够在任何需要的时刻,立即由网空情报刺探行动(即CNE,Computer Network Exploitation)转换为网空军事进攻行动(即CAN,Computer Network Attack)。

        分属于上述6个阶段的,是各个阶段所要达成的目标,这些目标共计有21个;与此21个目标相关联,则包含188种可达成目标的行为。TCTF对阶段、目标和行为都给出了细致的定义描述。举例来说,在意图获得受害者的物理或虚拟计算机、信息系统、网络和/或数据存储的访问权限而进行的“接触目标与进攻突防”阶段,为了达成通过技术、认知、物理手段向被攻击对象投递恶意载荷的“投递”目标,可采取“发送恶意邮件”行为以在电子邮件中嵌入恶意附件或链接。针对行为,进一步通过关键短语来施加更多的特征细化描述,从而形成第4层分析结构。例如,“发送恶意邮件”行为所包含的关键短语有“鱼叉式网络钓鱼、网络捕鲸、恶意附件、iFrame、嵌入式代码,等等”。所有的分析层次,包括阶段、目标、行为和关键短语,均不涉及环境约束,也不具体限定检测规则和数据传感。可见,TCTF框架是定义在网空威胁技术语境中,虽与网空安全行业的定义紧密结合,但又脱离了具体执行约束,从而适合于上下沟通(比如政府管理部门与安全厂商之间的沟通)。

        通观TCTF框架的主体内容,有两点特别值得注意。一是该框架体现了NSA在网空作业行动中,对对手活动特征刻画的深入、细致、全面。通过对网空攻击全生命周期内的对手行为的原子化拆解,实现了对手行为分类的标准化与全覆盖化,从而能够指导讨论攻击者全生命周期内的活动,呈现攻击事件全貌,有效支撑分析、共享、产品开发、计划运营等工作,进而促进情报体系各机构之间、情报体系与安全业界之间更紧密的合作。另外一点,则是该框架充分展现了NSA网空作业的高超能力。由于NSA在框架内容构建中尝试覆盖所有可能的目标与行为,从而恰恰将其自身和关联的专属攻击能力也涵盖在内;例如,硬盘固件持久化、修改通信路径、向中点发送信标、仿冒合法流量等特有能力,都能够在TCTF框架的目标与行为中得到映射。这种间接显露出来的作业能力,体现了NSA在网空攻击装备体系、技术水平等方面的高度复杂与完善。这也是为什么TCTF框架,对于我方梳理来自超高能力网空威胁行为体的网空攻击活动,是不可或缺的、有特殊价值的参照方法。

2.2.2 与ATT&CK框架的差异分析

        总体来看,ATT&CK框架与TCTF框架,都提供对网空威胁的标准化定义、分类描述和特征刻画,都可用于威胁信息的共享,以及支持对威胁的预测、分析,进而可指导防御有效性的提升。但二者又具有显著的不同,主要体现在三个方面的差异性。

        (1)背景意图方面. 设计者不同的身份背景,决定了其所看待网空对抗的视野、所关注的利益焦点、所侧重的威胁分析要素。因此,MITRE作为民间研究机构,必然与作为情报机构的NSA,具有不同的威胁框架设计意图,所想定的框架的作用领域也各不相同。ATT&CK框架专注于攻击技术的解析,面向安全实践领域或操作实施层面。TCTF框架旨在提供更广范围的沟通,在操作实施、任务流程、组织策略等多个层面上,加强不同工作角色和知识背景人员之间的协作,方便安全客户对网络威胁活动的理解,以及推动高层决策的制定。

        (2)结构内容方面. 二者所覆盖的攻击作业范畴不同;ATT&CK框架只涵盖攻击作业全生命周期的突破后部分,而TCTF框架不但包含全部的攻击作业周期,还涉及到供应链、甚至非网空攻击行动。二者的核心概念不同;ATT&CK框架完全围绕TTP,而TCTF框架则通过阶段、目标、行为、关键短语来有效支撑层次化的分析结构。细节粒度与提炼程度不同;ATT&CK框架具有丰富的技术操作性细节,强化了对具体攻击行为的分析准确性和辨识力;TCTF框架的细化则侧重于拆解攻击动作以实现对各种可能的攻击行为的全面覆盖,但其技术特征刻画并不包含与具体攻击直接关联的操作性细节。

        (3)应用发展方面. ATT&CK日益被越来越多的安全厂商所支持,而TCTF则普遍应用于美方情报系统中,二者都具有广泛的现实应用。由于ATT&CK突出对APT攻击的实时跟踪与技术提炼,因此,ATT&CK会保持较快的知识库更新速度,并可能会响应某些困难问题而作出结构和内容上的较大调整(例如,随着意见反馈与优化,“子技术测试版本”将很快成为官方正式版本)。对于TCTF而言,攻击作业手法的分类、以及脱离具体执行约束的特征刻画,会保持相对长期的稳定,预计不会进行频繁的更新。

        应该意识到,二者差异的存在,并不会形成对威胁协同分析的障碍。恰恰相反,差异性提供了分析能力互补与安全价值叠加的途径。

3 网空威胁框架的价值发挥


        网空威胁框架的价值根本在于科学有效地理解对手与认知威胁,从而有效作用于如下方面:

                - 分析防御差距

                - 检测/缓解攻击者着重使用的技术

                - 跟踪特定对手的技术集合

                - 指导攻击者模拟

                - 评价安全技术,优化安全部署

                - 分析攻击行为与威胁发展态势

                - 其它

        无论是ATT&CK框架,还是TCTF框架,二者均是梳理高/超高能力网空威胁行为体攻击活动的有效框架方法和工程体系。从威胁框架出发,分析威胁所采用的战术、技术,推演威胁所关联的阶段、目标与行为,无论是对威胁事件和威胁行为体进行深度分析,还是评估当前防御体系能力及相关防御机制的有效性,指导形成体系化的防御规划与建设目标,都是不无裨益的。例如,安天在分析NSA“方程式组织”所实施的“SWIFT”攻击作业以及复盘“震网”攻击中,运用TCTF框架,清晰梳理超高能力网空威胁行为体的作业模式。

        在技术研发、产品开发、安全服务与解决方案方面,安天基于威胁框架来清晰反映技术产品和解决方案等方面的能力体系水平与不足,进而对相关工作形成具有明确能力导向的建设指导,促进能力提升过程的科学性、规划性、可检验性、可持续性。以“智甲”产品为例,安天运用ATT&CK框架,形成智甲产品的防御能力映射图谱如图6所示。

图6. 安天智甲基于ATT&CK框架的防御能力映射

        智甲是安天具有完全自主知识产权的端点类安全防护产品,而端点防护是整个防御体系的最后一道、也是最为重要的防线。从ATT&CK框架的统计分析可知,绝大多数攻击技术(95%以上)与端点密切相关。因此,运用威胁框架,推动端点防护产品完善数据采集、防御要点和检测手段,对于强化防御体系的有效性,具有极为重要的价值。在智甲产品的设计研发方面,基于ATT&CK框架对攻击者战术技术的深度揭示,有效指导:(1)智甲的安全架构设计,使防御体系的构建更具有主动性;(2)对威胁的层次化检测缓解,以形成足够的防御纵深;(3)构建清晰、完备的采集体系,提升分析深度,以发现隐蔽复杂的威胁。在智甲产品的落地评估方面,通过对ATT&CK框架覆盖的广度与深度,形成可验证的指标。在广度上,基于常见威胁和新兴威胁完善产品主防和采集点在ATT&CK框架中的覆盖度,在深度上,进一步挖掘单点的防御规则和采集方法,使产品能够提供更多行为动作、安全级别、告警级别、标签信息、行为信息等内容,提高对单点威胁的防护和感知能力;基于2019年10月份的版本,智甲已覆盖168项ATT&CK框架攻击技术点,覆盖度约为51%。面向威胁框架,通过在广度上不断提升在各个攻击环节的覆盖面,在深度上加深对各攻击点的研究与防护投入,促进智甲落地为适合我方安全环境的最佳产品实践。

        作为国内重要的能力型厂商,安天具有对安全技术的孜孜追求、以及守护国家网络安全的责任担当。安天一方面需要在技术层面深入研究攻防机制以提升安全防御能力,另一方面,需要面向安全客户、公众提供网络安全的研判服务、态势报告,以帮助其理解网络威胁行为。因此,安天同时将ATT&CK框架和TCTF框架,运用于公司的安全产品与安全服务中,其协同分析的作用和价值如图7所示。

图7. ATT&CK框架与TCTF框架的协同分析

        利用ATT&CK框架,完成网空威胁在技术层面的分析,实现防御技术的优化改善。与网空威胁相关的事件捕获、情报线索以及研究发现等技术性信息,通过ATT&CK框架而完成对攻击者战术、技术等要素的解析提炼,依据解析结果而指导防御能力的优化提高;例如,对特定攻击技术防御的优先级,可采取的有效的检测分析方法,等等。与此同时,在网空对抗大背景下,考虑大国博弈、地缘政治、产业竞合等更为广泛的因素以及更为根本的动机,运用TCTF框架,对高/超高能力网空威胁行为体发起的APT攻击作业,在作业意图、行为、能力水平、危害程度等方面,作出更为全面深入的分析研判,有效支撑情报与决策体系应对网空威胁,以满足更高层次的安全需求、维护更为广泛的安全利益。

        我们面临日益严峻的网空对抗形势,网空威胁日益复杂多样,没有任何一种方法、技术、产品或服务是“银弹”而能够一劳永逸地解决网络安全问题。我们必须坚持全面的能力建设之路,积极吸纳和借鉴威胁框架的有益价值,改进和完善对网空威胁行为体与攻击行动的认知,提高认知的科学性与系统性,以此深化和完善敌情想定,指导扎实构建动态综合的体系化防御,筑牢网络安全的新边疆。