下载掌阅APP,畅读海量书库
立即打开
在网络靶场的攻防对抗中,决定红蓝双方胜负的,很大一方面是各自所处的IT环境以及目标自身的安全性在内的各种客观条件,很大程度上取决于攻防双方的“能动性”,这种能动性给靶场活动带来了几乎无限的可能性与极大的不确定性。 这是网络靶场的业务难点,但也是其魅力所在。本节重点从战略模型、战术决策、策略分析和技战法运用的角度展开讨论。
网络对抗中,决定胜负的要素非常复杂。假设我们将所有要素与要素间关系全部梳理清楚,集成为“网络战场”,那么,这个“战场”无疑将构建在网络系统和信息系统的基础之上。我们要利用网络靶场研究网络对抗的“决胜之道”,就需要使用多种理论方法与实用技术分析网络中信息的流动、易受攻击的影响程度、易受攻击节点的确定及潜在威胁的存在与定位。 对这些研究对象实施纯粹的人工分析是非常困难,甚至是不可能的, 这里可以借鉴“战场网络战”的思想方法。战场网络战的理论和实践研究有一套行之有效的分析方法,先对网络战原型系统进行建模并构建分析平台,再在建模和分析的基础上,为用户提供网络受到有效攻击的预测,以及为确保网络和信息的安全性、可生存性和可恢复性采取的相应措施建议。
战场网络战建模的关键在于展示战场网络战的作战过程及效能,而战场网络战建立在网络系统和信息系统的基础上,是以既能保证己方信息畅通又能预测敌方攻击,并在此基础上获得信息优势为目的的,因此,建模工具应提供如下功能。
·网络结构的可视化:网络拓扑结构和网络中信息流的可视化建模。
·易受攻击性分析:针对关键节点,用人工和计算机辅助分析的方法确定一个以信息为基础的过程易受攻击程度。
·信息流/指控流分析:评估一个攻击对局部或全部信息流/指控流的影响程度。
我们可以将战场网络系统的基本模型分解为功能模型、物理模型和信息模型。
1)功能模型描述系统的功能结构以及系统子功能之间的信息和对象关联。为了描述战场网络系统的功能架构建模,需要引入三个概念,即功能、功能建模和功能分解。功能是指系统和具体实现方式无关的行为抽象单元,即描述系统干些什么,而不考虑具体使用什么样的实际系统来完成;功能建模通过绘制系统的功能,以及功能之间的接口图来实现。如图2-5所示,功能用矩形表示,功能之间的接口用箭头表示,表示功能单元需要或产生的对象或信息。输入箭头显示执行该功能所需的信息或对象类型,输出箭头显示功能完成后所产生的对象和信息,控制箭头描述支配功能执行的条件或环境,机制箭头描述执行该功能的人或设备;功能分解是指将一个大的功能单元进一步细化,各个子功能之间的接口关系通过连接表示该子功能的矩形的相应箭头来表达。
·图2-5 战场网络系统功能模型的功能单元
如图2-6所示,某战场网络信息系统的功能可分解为侦察、评估、指挥、控制、协同作战和通信6个功能单元。
·图2-6 战场网络信息系统功能模型
首先,指挥官需要对战场态势有全面的了解,因此需要借助各类传感器设备(如雷达)搜集战场情报。其次,评估功能单元对搜集来的大量情报数据进行分析,产生一个全局的战场态势数据。该集成态势以一种特定的格式被提供给指挥单元,指挥中心进一步分析和评估该信息,依据作战目标确定可能的攻击对象和实施该攻击所采用的作战工具。在控制功能单元,指挥中心以作战计划的方式分发其关于攻击目标和所使用武器系统的决策,并监控作战行动的执行。在最后一个功能单元中,被下达命令的作战单元针对指派的攻击目标执行作战任务。通信功能贯穿在前5个子功能之间的数据和信号传输过程中。
2)物理模型提供信息存储和信息传播的途径。物理模型包括物理功能模型和物理拓扑模型。其中,物理功能模型描述实现系统各子功能的实际物理系统,物理拓扑模型描述这些物理系统节点之间的网络连接关系,提供网络和各节点物理连接依赖关系的表示方法,给出信息存储和信息传播的途径。
物理功能模型描述实现系统各子功能的实际物理系统。物理拓扑模型描述这些物理系统节点之间的网络连接关系。
还是以战场网络战为例。战场网络战的物理拓扑模型是由计算机、通信网络、基础设施以及通信节点组成的基本连通性模型。战场网络战的抗毁性描述了网络在人为破坏作用下的网络可靠性,它假定“破坏者拥有关于网络拓扑结构的全部资料,并采用一种确定的破坏策略”,网络抗毁性的实质是研究网络拓扑结构的可靠性。例如,对于参与网络作战的专用通信网,网络的抗毁性可以理解为至少需要破坏几个节点或几条链路才能中断部分节点之间的通信,即破坏一个通信网的困难程度。可见,通信网络的抗毁性是对通信网络在部分链路或节点被毁之后能保持其原有通信能力大小的度量。
构建网络拓扑模型的作用除了用于分析战场网络战的连通性和抗毁特性,还可以用于分析战场网络战节点和链路的重要性。
3)信息模型描述网络节点的信息资源和传输信息的过程。信息模型应建立在功能模型和物理模型的基础上,包括静态的信息值模型和动态的信息流模型两部分。
为了表示及评估系统中信息丢失、毁坏甚至被完全操纵的程度,建立一个描述网络中节点信息资源的模型是必要的。信息值模型是建立在网络拓扑基础上的信息资源模型,它描述了各网络节点的信息资源及各节点间的信息依赖关系。信息值模型定义了一个静态信息层,是在物理模型基础上的一个更高层次的增值信息模型。
如图2-7所示,将战场信息网络按照自顶向下的层次分为网络、节点/链路和服务层:网络由节点和链路组成,节点上运行着1个或多个服务,也可以抽象为一种“组成”关系,节点上服务的实现依赖信息链路进行数据或者信号的传输。信息网络中的链路是虚拟的,对应着由物理拓扑模型中的多个通信节点和通信链路构成的一条通路。
基于网络、节点、链路和服务这4种构成元素,战场信息网络如图2-8所示。
·图2-7 战场信息网络的层次关系
一个节点上运行着多个不同服务,不同节点之间的相同服务通过特定的链路进行信息传输,从而形成该类服务的信息网络。需要指出的是,图中两个节点上不同服务之间的数据(信号)传输虽然用不同链路表示,它们在物理上可能是同一条物理通路。可以根据自底向上的原则,采用定性与定量相结合的综合评估方法,给出服务和节点的信息值计算模型。
·图2-8 战场信息网络的信息系统构成
上述各模型之间的关系如图2-9所示。功能模型和物理模型的叠加产生系统的静态可操作模型,静态可操作模型和信息模型的叠加产生系统的动态可操作模型。
·图2-9 网络战场各模型关系图
从战术角度看,相比于传统战争,网络战具备以下特点。
1)网络中心战,即围绕网络构筑一个贯通物理空间和网络空间的立体化进攻与防御体系,并以网络作为指挥的核心和控制的中枢。以此为标准,当前的网络战可能还处于战争形态的转型期,并非是成熟态的网络战。
2)通过网络战的方式,也将实现由不可控战争向可控战争的转变。传统战争的交战双方对于战争规模、战争进程和战争后果都无法做出控制,因此传统战争常常旷日持久且伤亡惨重。而网络战将变成一种高度可控的战争,通过战略设置和战术安排,战争双方可以对战争的规模和进程做出调整,在实现自身目的的前提下将战争的破坏力降到最小。
3)由军人战争向全民战争转变。网络战的参与方更加宽泛,包括国家、组织乃至个人都可能成为网络战的发动者和打击对象。尽管未来有组织的大规模网络战争将逐渐取代无组织的小规模网络攻击,但个人和民间机构依然可以在网络战中发挥重要作用。
4)有限战争逐渐向“更有限”的战争转变,战争的惨烈程度下降,战争的人道主义程度上升,国家之间更倾向于利用非杀伤性手段取得战争的胜利,因此网络战往往成为首选的形式。
在战术上,以下方面会对网络对抗的策略形成极为重要的影响。
1)地理因素对于战争的影响不断减弱。在传统战争中,地理是一个至关重要的影响因素,有时甚至能够决定战争的成败。 在网络战中,地理因素的影响效果相对弱化。同时,由于网络消除了地理距离上的差异,传统作战中前方和后方的概念在网络战中也已淡化,任何一个地方都可能成为网络战的攻击目标。
2)很难区分战时与平时。不同于传统战争,网络攻击行为可以即时生效。因此,网络战攻击可能发生在任何时间。同时, 相比物理空间中战争的旷日持久,网络空间中的战争持续时间往往非常短暂,战争可能在瞬间爆发,又可能在瞬间结束,故而很难区分平时与战时状态。
3)攻击与防御成本常常不对等。传统战争中,一般来说,主动攻击的一方通常需要投入较多的力量,战争成本较高。而防御方可以利用种种优势以逸待劳,战争投入较低。但是,在网络战场中,情况正好相反。 网络攻击武器的造价低廉,发起攻击的成本很低。同时,攻击方常常匿名,且拥有主动退出战争的自由。而防御方不管如何努力,其构筑的网络防御体系(包括网络中的计算机软硬件、组织、个人,以及安全制度等)却永远存在未知的漏洞。一旦为敌人所利用,精心构筑的防御就会一触即溃。 因此,网络战通常都是易攻难守,重攻击而轻防御便成了当前网络战中的普遍现象。
4)军事与非军事的界限逐渐变得模糊。网络战缩小甚至抹平了以往军队和平民在武器装备上的巨大差距。所以, 网络战在很大程度上是一场“全民战争”,任何一个个人或民间团体都有可能发起一场极具破坏力的网络战争,军事行动和民间攻击行为由此变得更加难以区分。 同时,网络军事行动也不再单单瞄准军事目标,还极有可能指向民用网络设施。
如同人类掌握的技术决定了我们生活在哪个历史时期,在网络对抗中,攻防双方所处的技能“段位”,在很大程度上会影响或限制最后实施时所能采取的战法。
图2-10所示为攻击者可能采取的各种“可能性”。但所有可能性,不管是针对战术上的“攻击点”还是“威胁入口”,以及针对组织上的“攻击者”与“潜在攻击者”来说,最难突破的就是技术。
当然,网络对抗技术从未停止过演进与突破。早期“宏病毒”“脚本小子”“钓鱼邮件”使用极其简单的攻击手段,就可以在互联网上肆虐多年,后来的恶意代码在对抗中演变得越来越复杂,如静默安装、分步组装、加密加壳、指令混淆、延时触发、跨网攻击和虚拟机对抗等技术。
·图2-10 攻击者的各种可能性
再好的技术,没有精心策划的战术配合,攻击效果也将大打折扣。传播策略、隐身策略、社工策略、潜伏策略和收割策略等,都是攻击者不断变化的重点。
基于历史上重要网络安全事件的分析总结,业界对网络攻防常用的技战术模型进行归纳积累,逐步发展成了ATT&CK技战术库,如图2-11所示。
ATT&CK(Adversarial Tactics Techniques and Common Knowledge,对抗性策略、技术和通用知识)是由美国的一家非营利研究机构MITRE提出的一套反映各个攻击生命周期的攻击者行为模型和知识库。ATT&CK在网络安全杀伤链Kill Chain模型的基础上,对更具观测性的后四个阶段中的攻击者行为,构建了一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络攻击者行为知识库,以指导用户采取针对性的检测、防御和响应工作。
目前 ATT&CK模型分为三部分,分别是PRE-ATT&CK、ATT&CK for Enterprise和ATT&CK for Mobile, 其中PRE-ATT&CK覆盖攻击链模型的前两个阶段,ATT&CK for Enterprise覆盖攻击链的后五个阶段,ATT&CK for Mobile则考虑到传统企业PC与当前移动设备之间的安全架构差异,重点描述了攻击链模型七个阶段中面对移动威胁TTPs的情况。后续还可能会有ATT&CK for Cloud模型的推出,下面对ATT&CK的战术、技术和应用进行描述和分析。
PRE-ATT&CK包括的战术有优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力和分段能力。ATT&CK for Enterprise包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。
战术指的是ATT&CK的技术原因,是攻击者执行行动的战术目标,涵盖了攻击者在操作期间所做事情的标准和更高级别的表示。技术指的是攻击者通过执行动作实现战术目标的方式,或者执行动作而获得的内容。在ATT&CK矩阵中可以到看到战术和技术的关系,可能有很多种方法或技术实现战术目标,因此每种战术类别有很多种技术。
ATT&CK对各类战术和技术做了较为详细的定义。
以ATT&CK中的T1060为例,T1060表示攻击技术Registry Run Keys/Startup Folder的ID,ATT&CK将其描述为在注册表或启动文件夹中向“运行键”添加条目,将导致在用户登录时执行引用的程序。这些程序将在用户的上下文环境中执行,并具有账户权限。T1060处于战术的持久化(Persistence)阶段,要利用该技术需要“用户”“管理员”权限。检测该攻击技术所依赖的数据源有Windows注册表和文件监控。
·图2-11 网络攻防技战术模型ATT&CK
针对该攻击技术的检测方法:1)监控与已知软件、系统补丁等无关的注册表的变化;2)监控启动文件夹的增加或改变;3)如SysInternals AutoRuns(类似于Sysmon)之类的工具也可用于监控注册表和启动文件夹等相关内容的变化。
针对该攻击技术的缓解方法有使用白名单工具实时识别并阻断尝试通过运行密钥或启动文件夹进行持久化的潜在恶意软件。
可以进一步将ATT&CK应用于攻击者行为的描述,进而:1)找出感兴趣的攻击者;2)找出攻击者使用的技术和留下的痕迹;3)基于情报进行溯源。ATT&CK具有APT攻击组织的描述能力,我们注意到,在部分网络安全厂商的ATP分析报告中,也使用了ATT&CK模型对攻击手法和过程进行描述。
在应用层面,ATT&CK支持的用例包括以下6个方面。
(1)模拟攻击者手法
指通过特定攻击者的威胁情报和攻击手法来模拟威胁的实施过程,进而评估某项防护技术的完备性。模拟攻击者的攻击手法侧重在验证检测或缓解在整个攻击过程中的攻击行为,ATT&CK可用作构建模拟攻击者攻击手法的场景的工具,来对常用的攻击者攻击技术进行测试和验证。通过对攻击行为进行分解,将动态、复杂的攻击活动“降维”映射到ATT&CK模型中,极大降低了攻击手法的描述和交流成本,进而在可控范围内对业务环境进行系统安全性测试。具体来说,可以在以下方面使用ATT&CK辅助模拟攻击者手法。
·对攻击者在不同攻击阶段使用的攻击技术进行模拟。
·对防护系统应对不同攻击手法的检测和防御效果进行测试。
·针对具体的攻击事件进行详细的分析和模拟。
(2)红队渗透辅助
指的是在红蓝对抗中,在不使用已知威胁情报的前提下,红队的最终目标是攻陷对方的网络和系统,而不被检测发现。ATT&CK则可以被红队用于制定和组织攻击计划的工具,以规避网络中可能使用的防御手段。另外,ATT&CK还可以用于研究攻击者的攻击路线,进而摸索出绕过普通防御检测手段的新方法。
(3)攻击行为分析开发
指通过对攻击者的攻击行为进行检测分析,进而识别网络和系统中潜在的恶意活动,这种方法不依赖于已经识别的攻击工具特征和攻陷指标IOCs
的信息,比传统的通过攻陷指标IOCs或恶意行为签名的方法更加灵活。ATT&CK可以用作构建攻击者攻击行为的工具,以检测环境中的攻击行为。
在实际应用方面,可以使用ATT&CK对攻击者的攻击手法进行对比,通过分析攻击者攻击手法的重叠情况,判断攻击是否由同一个组织发动。
(4)防护差距评估
指的是对企业在网络防护能力的不足方面进行评估。ATT&CK可看作一种以攻击者攻击行为为中心的模型,用于评估企业内部现有的检测、防护和缓解系统,确定防护差距后,指导安全增强的投资计划,进而改进和提升现有的系统。
(5)SOC成熟度评估
指利用ATT&CK对企业的安全运营中心在网络入侵时的检测、分析和响应的有效性进行评估。
(6)网络威胁情报增强
指的是将ATT&CK作为传统基于攻陷指标IOCs的情报应用的补充。网络威胁情报指的是影响网络安全的网络威胁和攻击者群体的知识,包括关联的恶意软件、工具、TTPs、行业、行为,以及威胁相关的其他攻击指标信息。 ATT&CK可从攻击组织行为角度对其进行理解和描述,分析和运维人员可以更好地理解攻击组织的共同行为,以采取更好的防御措施。 可以看到,将ATT&CK用于检测的方法较传统的IOCs的检测方法要复杂得多。