概    述

在網(wǎng)絡(luò)安全領(lǐng)域，攻擊者可以相對(duì)自由和相對(duì)無限的運(yùn)用資源對(duì)組織機(jī)構(gòu)隨意發(fā)起攻擊；而防守方則處于被動(dòng)挨打的地位，用有限的資源去對(duì)抗無限的安全威脅。基于這種攻防不對(duì)稱的情況，防守方始終會(huì)被以下問題所困擾：①防御方案是否有效；②能否檢測(cè)到APT攻擊；③新的安全產(chǎn)品、安全策略能否有效；④安全工具覆蓋范圍是否有重疊；⑤如何確定安全防御優(yōu)先級(jí)。

一直以來，沒有人能夠很好地回上述的問題，直到MITRE ATT&CK的出現(xiàn)。ATT&CK提供了一種許多組織機(jī)構(gòu)迫切需要的關(guān)鍵功能——用一種標(biāo)準(zhǔn)化的方法來開發(fā)、組織和使用威脅情報(bào)防御策略，實(shí)現(xiàn)企業(yè)合作伙伴、行業(yè)人員、安全廠商以相同的語言進(jìn)行溝通和交流。

之后，MITRE公司在ATT&CK框架的基礎(chǔ)上開發(fā)了開源工具CALDERA。CALDERA是一個(gè)網(wǎng)絡(luò)安全平臺(tái)，旨在輕松實(shí)現(xiàn)對(duì)手仿真自動(dòng)化、協(xié)助手動(dòng)紅隊(duì)以及事件響應(yīng)自動(dòng)化[1]。

因此，本文將對(duì)ATT&CK和CALDERA進(jìn)行一個(gè)簡(jiǎn)介，并對(duì)CLADERA的一些基本功能做一個(gè)演示。

ATT&CK

ATT&CK概述

ATT&CK(Adversarial Tactics, Technologys, and Common Knowledge)，是由MITRE公司2013年提出的“對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)”知識(shí)庫框架。它基于真實(shí)世界的攻防數(shù)據(jù)來描述和分類對(duì)抗行為。這個(gè)知識(shí)庫是由社區(qū)驅(qū)動(dòng)的，并且是公開免費(fèi)、全球可訪問的知識(shí)庫[2]。

該知識(shí)庫建立的目的是為紅隊(duì)、藍(lán)隊(duì)、廠商、企業(yè)等不同組織構(gòu)建一套通用語言，提供更細(xì)粒度、更易共享的戰(zhàn)術(shù)、技術(shù)、流程、文檔等資源。

對(duì)于攻方，ATT&CK能起到對(duì)抗模擬、紅隊(duì)滲透測(cè)試作用，使紅隊(duì)更好實(shí)施作戰(zhàn)計(jì)劃；對(duì)于守方則能進(jìn)行防御差距評(píng)估、行為分析研究、威脅情報(bào)分析、SOC成熟度評(píng)估等行為，更好展開威脅分析和安全防御；研發(fā)人員也能借此設(shè)計(jì)開發(fā)出更實(shí)戰(zhàn)有效的安全產(chǎn)品，領(lǐng)導(dǎo)更全局掌控攻防態(tài)勢(shì)。

該框架包含三個(gè)技術(shù)域[3]，即①企業(yè)級(jí)的Enterprise ATT&CK，包含PRE、Windows、macOS、Linux、云、網(wǎng)絡(luò)、容器等平臺(tái)；②移動(dòng)端的Mobile ATT&CK，包括安卓和iOS等平臺(tái)；③工控系統(tǒng)的ICS ATT&CK。具體信息如表1所示。

表1. ATT&CK技術(shù)域

ATT&CK矩陣

對(duì)于每一個(gè)技術(shù)域，ATT&CK有對(duì)應(yīng)不同的矩陣。矩陣包括戰(zhàn)術(shù)、技術(shù)、程序，通過ATT&CK Matrix矩陣展示。橫軸代表戰(zhàn)術(shù)，核心研究攻擊者的技術(shù)目標(biāo)，提供一個(gè)大的行動(dòng)綱領(lǐng)；縱軸代表技術(shù)，指具體的戰(zhàn)術(shù)執(zhí)行（How、What），中間包括程序。戰(zhàn)術(shù)、技術(shù)、子技術(shù)的具體含義如下:

• 戰(zhàn)術(shù)（Tactics）：表示攻擊過程中的短期戰(zhàn)術(shù)目標(biāo)；
• 技術(shù)（Techniques）：描述對(duì)手實(shí)現(xiàn)戰(zhàn)術(shù)目標(biāo)的手段；
• 子技巧（Sub-Techniques）：描述對(duì)手在比技術(shù)更低的級(jí)別上實(shí)現(xiàn)戰(zhàn)術(shù)目標(biāo)的技術(shù)手段。

以Enterprise ATT&CK為例，ATT&CK矩陣如圖1所示。

ATT&CK戰(zhàn)術(shù)及緩解措施

ATT&CK戰(zhàn)術(shù)共14個(gè)，包括偵察、資源開發(fā)、初始訪問、執(zhí)行、持久化、權(quán)限提升、防御繞過、憑證獲取、發(fā)現(xiàn)橫向移動(dòng)、搜集、命令控制、數(shù)據(jù)滲出、影響[4]。戰(zhàn)術(shù)僅為作戰(zhàn)行動(dòng)提供目標(biāo)綱領(lǐng)，具體行動(dòng)由戰(zhàn)術(shù)中的技術(shù)與子技術(shù)實(shí)現(xiàn)。

圖1. ATT&CK矩陣

ATT&CK當(dāng)前緩解措施共42項(xiàng)，包括防病毒、審計(jì)、代碼簽名、漏洞掃描、應(yīng)用程序隔離和沙箱、漏洞利用防護(hù)、網(wǎng)絡(luò)入侵防護(hù)、威脅情報(bào)計(jì)劃、軟件更新、OS配置、加密敏感信息、多因素認(rèn)證等[5]。

每一項(xiàng)技術(shù)和子技術(shù)都會(huì)有相對(duì)應(yīng)的緩解措施，幫助防御者提高安全防護(hù)能力。

圖2. 戰(zhàn)術(shù)、技術(shù)、緩解措施示意圖

攻擊組織使用某些技術(shù)和軟件完成某（幾）種戰(zhàn)術(shù)，緩解措施則用于抵御技術(shù)攻擊。

如圖2所示，紅隊(duì)從矩陣中選取部分戰(zhàn)術(shù)并使用相關(guān)技術(shù)和程序進(jìn)行對(duì)抗模擬和滲透測(cè)試。藍(lán)隊(duì)利用矩陣中的技戰(zhàn)術(shù)進(jìn)行行為分析；評(píng)估防御差距；利用提供的緩解措施抵御紅隊(duì)攻擊。

CALDERA

CALDERA概述

CALDERA的全稱是：Cyber　Adversary　Language　and Decision Engine for Red Team Automation，即“用于紅隊(duì)自動(dòng)化的網(wǎng)絡(luò)對(duì)手語言和決策引擎”。它基于MITRE ATT&CK建立，是一種能夠輕松運(yùn)行自主的違規(guī)和模擬練習(xí)的網(wǎng)絡(luò)安全框架。功能包括自動(dòng)化紅隊(duì)行動(dòng)、手工紅隊(duì)行動(dòng)、自動(dòng)化應(yīng)急響應(yīng)等。

該框架包含兩個(gè)組件，如圖3所示：

• 核心系統(tǒng)：這是框架代碼，由該存儲(chǔ)庫中可用的內(nèi)容組成。其中包括帶有REST API和Web界面的異步命令和控制（C2）服務(wù)器。
• 插件：這些是獨(dú)立于核心框架的存儲(chǔ)庫，提供了其他功能。示例包括代理，GUI界面，TTP集合等。

圖3. CALDERA整體架構(gòu)

此外，還有幾個(gè)名詞需要明確：①Ability：一段具體的功能程序(TTPs)；②Adversary(Profile)：一系列Ability的結(jié)合；③Operation：針對(duì)特定組(group)特定Adversary的實(shí)現(xiàn)；④Agent：代理。具體關(guān)系如圖4所示。

圖4. Ability、adversary、operation、agent的關(guān)系

CALDERA服務(wù)器上包含Ability、adversary、operation和各種有用的插件，而通過將代理（Agent）部署到不同平臺(tái)的機(jī)器上，可以對(duì)目標(biāo)機(jī)器完成攻擊模擬的實(shí)現(xiàn)和緩解措施的測(cè)試。

CALDERA Server部署

CALDERA Server開源于GitHub，可使用git clone直接部署于任何Linux發(fā)行版或者macOS系統(tǒng)上。除此之外，要求雙核及以上CPU和大于8GB內(nèi)存，并安裝Python3.7+、pip3和Golang1.17+。

環(huán)境準(zhǔn)備完成后終端輸入如下命令即可啟動(dòng)CALDERA Server：

• git clone https://github.com/mitre/caldera.git --recursive
• cd caldera
• pip3 install -r requirements.txt
• python3 server.py –insecure

打開瀏覽器輸入http://$(ServerIP): 8888即可訪問CALDERA Server。$(ServerIP)替換為安裝CALDERA Server機(jī)器的IP。紅隊(duì)藍(lán)隊(duì)賬戶名分別為red、blue，密碼均為admin

CALDERA代理部署

CALDERA代理部署，共有sandcat、ragdoll、Manx三種代理可選。本文以sandcat為例，其余兩種參考sandcat執(zhí)行。

1.Linux和macOS

Linux各發(fā)行版和macOS操作步驟基本一致，以Ubuntu系統(tǒng)為例。首先需要在OS上安裝curl：

sudo apt install curl

此后登錄caldera server，選擇側(cè)邊欄的Agent，選擇代理和平臺(tái)類型。將app.contact.http改為server IP，復(fù)制下端代碼至目標(biāo)機(jī)器終端執(zhí)行，即可在目標(biāo)機(jī)器建立代理。如圖5所示。

2.Windows

關(guān)閉Windows Defender實(shí)時(shí)防護(hù)，其他參考Linux agent部署。

若Win11的Windows Defender無法打開，PowerShell管理員運(yùn)行如下命令：

圖5. 代理部署

CALDERA Operations

Operations選項(xiàng)能自定義攻擊劇本并對(duì)劇本進(jìn)行執(zhí)行。操作步驟見圖6如下：① 選擇operation標(biāo)簽；②  點(diǎn)擊“Create Operation”創(chuàng)建operation；③  選擇相關(guān)選項(xiàng)，開始o(jì)peration。

圖6. Operations操作步驟

CALDERA插件

CLADERA的插件為CALDERA提供了豐富的功能。本文以兩個(gè)常用插件Access和Compass為例。

1.Access

Access提供了CALDERA的Ability中所有功能的單項(xiàng)實(shí)現(xiàn)。通過使用Access可以從數(shù)據(jù)庫中為任何具有任意Ability的代理分配任務(wù)。這對(duì)于執(zhí)行初始訪問攻擊特別有用。要做到這一點(diǎn)，需要在目標(biāo)機(jī)器部署一個(gè)代理，并使用pre-ATT&CK或初始化Access策略來分配任務(wù)，指向任何目標(biāo)。用戶還可以遠(yuǎn)程部署代理并將其用作代理來執(zhí)行初始Access攻擊。具體操作見圖7所示。

圖7. Access使用步驟

2.Compass

Compass是一個(gè)基于網(wǎng)絡(luò)的工具，用于注釋和探索ATT&CK矩陣。它可以用于可視化防守覆蓋范圍、紅/藍(lán)團(tuán)隊(duì)規(guī)劃、檢測(cè)技術(shù)的頻率等。它可以為任何Adversary生成一個(gè)layer文件，用戶可以將其覆蓋在Compass提供的矩陣上，或在矩陣中創(chuàng)建一個(gè)Adversary，然后上載layer文件以生成用于操作的Adversary。具體界面如圖8所示。

圖8. Compass操作界面

結(jié)    語

ATT&CK通過用一種標(biāo)準(zhǔn)化的方法來開發(fā)、組織和使用威脅情報(bào)防御策略，實(shí)現(xiàn)了企業(yè)合作伙伴、行業(yè)人員、安全廠商以相同的語言進(jìn)行溝通和交流，提供了更細(xì)粒度、更易共享的戰(zhàn)術(shù)、技術(shù)、流程、文檔等資源。而開源軟件CLADERA基于MITRE ATT&CK的資源，建立了一個(gè)對(duì)紅藍(lán)雙方都簡(jiǎn)單易用的攻防模擬平臺(tái)，能夠輕松運(yùn)行自主的違規(guī)和模擬練習(xí)。

本文對(duì)于ATT&CK和CLADERA的基本功能和架構(gòu)進(jìn)行了一些簡(jiǎn)單介紹，并演示了如何使用CALDERA的一些功能。但是受限于文章篇幅和學(xué)識(shí)有限，只能對(duì)二者進(jìn)行簡(jiǎn)單介紹，更多深入的功能和認(rèn)知還需要再實(shí)踐中探索學(xué)習(xí)。也歡迎各位讀者共同探討交流。

參考文獻(xiàn)

1.CALDERA. GitHub - mitre/caldera: Automated Adversary Emulation Platform

2.MITRE ATT&CK. https://attack.mitre.org/

3.ATT&CK MATRICES. Matrix - Enterprise | MITRE ATT&CK?

4.ATT&CK TACTICS. Tactics - Enterprise | MITRE ATT&CK?

5.ATT&CK MITIGATIONS. Mitigations - Enterprise | MITRE ATT&CK?