MITRE Engage V1 来了

 

MITRE Engage V1 来了

2022 年 2 月 28 日 MITRE Engage 发布了 V1 版本。那么 MITRE Engage 是什么?它能发挥什么作用?如何进行应用?本文将对 MITRE Engage 进行介绍并回答这些问题。

 

什么是 MITRE Engage

MITRE Engage 是用于规划和讨论对手作战的框架,它帮助我们通过对手作战达到安全目标。对手作战是一种积极防御手段,它通过战略规划和分析,利用网络阻断和网络欺骗手段,达到作战的目标。这些目标包括暴露网络上的攻击者,获取情报以进一步了解攻击者及其TTP,通过提高行动成本和降低行动价值来影响攻击者。

MITRE Engage 为我们如何利用网络阻断和网络欺骗进行对手作战的规划和实施提供了指导,并提供了相应的模板和工具帮助进行实践。MITRE Engage 包含了对手作战相关的概念、作战要素、作战活动、作战规划和实施等内容,为防御者、决策者和供应商讨论对手作战提供了参考。

 

MITRE Engage 矩阵

MITRE Engage 矩阵基于 MITRE 在对手作战方面的专业知识以及 MITRE 对在现实世界中观察到的攻击者行为的了解而构建,是 MITRE Engage 的核心内容之一。Engage 矩阵描述了对手作战中所有可用的作战活动,这些作战活动可以分为战略性活动和作战性活动,即矩阵中的黄色和蓝色部分,作战性活动即传统的网络阻断和网络欺骗手段。同时这两种类型的作战活动可以按照作战目标和作战方法进行组织和分类,作战目标为矩阵中的第一行,作战方法为矩阵中的第二行,矩阵中的剩余部分即作战活动。

作战目标是用户作战行动期望达到的高层次结果。准备(Prepare)和理解(Understand)是战略性活动的目标,分别关注一次作战行动的投入和产出。作战性活动的目标包括暴露(Expose),影响(Affect)和引出(Elicit)。暴露即通过欺骗使网络上的攻击者暴露,影响即通过提高行动成本和降低行动价值来对攻击者施加影响,引出即通过定制作战环境并观察攻击者在作战环境中的活动以获取关于攻击者更多的TTP情报。

作战方法是为了确保朝着选定的作战目标前进而采用的方法。达成作战目标可以有不同的作战方法,比如阻止(Prevent)和引导(Direct)都可以对攻击者施加影响。

作战活动是攻击者行为驱动的为达成作战方法所采用的具体技术手段。一个作战活动可能服务于多个作战方法或作战目标,比如诱饵(Lure)可以在某次作战行动中用于检测(Detect),即使攻击者暴露(访问了该诱饵的行为很可能意味着攻击发生了),而该诱饵在另一次作战行动用于分散攻击者对高价值目标的注意力,即用于引导(Direct)。

Engage 矩阵中的作战活动是和 MITRE ATT&CK 矩阵映射起来的。当攻击者进行某项特定行为(这对应于攻击者的某个TTP)时,他们很容易暴露出一些意想不到的弱点。ATT&CK 矩阵中的每个技术都映射到 Engage 矩阵中的一个或者多个作战活动,也就是针对攻击者采用的每个技战术,都可在 Engage 矩阵中找到相应的弱点和利用这些弱点的作战活动。例如下图,当攻击者尝试发现远端系统(采用 ATT&CK 技术 Remote System Discovery)时,需要与远端系统进行交互并对收集的远端系统信息进行处理,此时攻击者的交互行为会被远端系统感知到,攻击者也容易受到远端系统提供的信息的影响(战术弱点),那么防御就可以采取相应的作战活动(诱饵系统)来使攻击者暴露或使攻击者花费精力来鉴别收集到的信息。通过将作战活动和 ATT&CK 矩阵映射起来,可以保证我们的作战活动是攻击行为驱动的,并且能够更好地规划应当采取哪些作战活动。

 

如何应用 MITRE Engage

对手作战行动应该是一个持续迭代的过程,需要根据攻击者的行为和防御目标的变化不断地完善和调整作战活动。对手作战行动的周期(见下图)由四个循环的阶段组成。首先利用采集器从网络收集原始数据。然后利用 MITRE ATT&CK 等工具来分析这些数据并和以往的攻击者行为进行比较,以识别攻击者的行为模式,如攻击者的 TTPs。接下来利用 MITRE Engage 矩阵来识别为达成防御目标的作战机会。最后,根据确定的机会实施作战行动。

一次成功的对手作战行动可以分解为四个基本要素(见下图):故事(Narrative),作战环境(Environment),监控(Monitoring)和分析(Analysis)。故事即作战行动中要向攻击者展现的欺骗故事,包括虚拟的人员,人员拥有和处理的文档等内容。作战环境即作战行动发生的环境,包括物理机或虚拟机,部署的软件,网络设备等,是精选定制并且高度仪表化的一系列系统,需要根据不同的作战行动进行设计。作战环境可能是完全隔离的,也可能和生产环境集成在一起。监控即通过一系列部署在作战环境中的采集器进行日志记录,抓包等收集操作,它除了给后续分析提供数据外,对确保作战行动的安全和防御者对作战行动拥有清晰的可见性至关重要。分析即利用现有的威胁情报和监控获取的数据进行分类和理解,评估作战目标的达成并形成对攻击者可操作的情报。

对手作战 10 步流程(见下图)用于帮助组织计划作战行动,是 MITRE 吸取和改进了《军事欺骗的艺术与科学》一书中提出的军事欺骗的 10 个步骤 形成的。它通过清晰地定义作战目标和缩减与作战目标紧密相关的作战范围,使得拥有有限资源和不够成熟的安全流程的组织也能将对手作战纳入到它们的防御战略中。

虽然作战性活动经常受到关注,但是在作战行动中最重要的部分是战略性活动,即作战的准备和对作战结果的理解。对手作战 10 步流程(见下图)分为准备(Prepare)、作战(Operate)和理解(Understand)三个阶段,和 Engage 矩阵的作战目标相对应。其中步骤 1 至步骤 6 对应 Engage 矩阵作战目标准备下的作战活动,步骤 7 对应 Engage 矩阵作战目标暴露影响引出下的作战活动,步骤 8 至步骤 10 对应 Engage 矩阵作战目标理解下的作战活动。在准备阶段,防御者需要了解攻击者和自身的优劣势,即知己知彼;明确作战行动的目标;确定为了推进作战目标实现,希望攻击者在作战行动中的反应;确定为了使攻击者作出这些反应而需要使攻击者感知到什么;确定作战渠道,即在欺骗故事和作战环境中寻找将需要被攻击者感知到的东西展现给攻击者的方法;明确作战行动的成功标准和把控标准,把控标准即在哪些情况下需要无条件暂停或终止作战行动。作战阶段即将作战计划付诸实践并和攻击者进行作战。在理解阶段,防御者需要将作战阶段收集的信息转化为可操作的情报;将转化的情报反馈给现有的模型以改进未来的决策;总结作战成功和失败的经验教训,以完善将来的作战行动。

除了对手作战 10 步流程外,MITRE Engage 还提供了一系列的指南,工作表,模板和工具包用于帮助组织进行 Engage 实践。如用于指导构建作战环境的对手作战行动构建指南,用于帮助开发作战行动中虚拟角色的角色档案工作表,用于指导作战数据组织和处理的作战数据模板,对手作战入门工具包Starter Kit

 

参考链接

MITRE Engage

(完)