来源:Cyber Kill Chain based Threat Taxonomy and its Application on Cyber Common Operational Picture
一、引言
随着连接到网络的资产数量的增加,组织依靠计算机和网络完成任务的任务数量的增加,网络威胁带来的负面影响也越来越严重。蠕虫[1]和病毒等计算机上的网络威胁,或分布式拒绝服务(DDoS)攻击[2]等网络上的网络威胁,已经成为传统的攻击模式。10年来,APT攻击稳步发生,攻击目标扩展到国家[3],个人电脑、家庭网络、企业网络[4]。
即使在军事领域,它也逐渐依赖计算机和网络来进行动态操作。因此,从网络战的角度来看,始终需要通过战略、作战、战术和技术手段来有效应对对抗攻击。
网络态势感知等指挥控制技术是有效应对对手网络攻击的一种手段。从网络指挥和控制的角度来看,指挥官必须能够识别网络空间中网络资产的当前状态(我方),并识别和应对对手的网络威胁(敌方)。有效识别和管理网络资产的资产管理系统,识别对手威胁的安全信息和事件管理(SIEM)系统,以及分类和分析威胁的威胁分类(或威胁知识库)是网络态势感知所必需的。
为了有效地识别和管理网络威胁,本文提出了一种网络攻击链模型和威胁分类方法。我们还介绍了一个可视化系统,可以有效地表示网络空间中的资产和威胁的状态,并描述了如何将威胁分类应用于可视化系统。
本文的其余部分组织如下。在第二节中,我们研究了一些网络攻击链模型和威胁分类。第三部分从防御的角度分析对手的行为,提出了网络态势感知的网络击杀链模型和每个攻击阶段对应的攻击TTPs。第4节介绍了一种用于可视化当前网络空间网络资产和威胁的网络通用操作图(CyCOP),以及一种将基于网络杀死链模型的威胁分类应用于CyCOP系统的方法。最后,第五部分是本文的结论和未来的研究方向。
二、相关工作
A .当前的网络攻击链模型
APT攻击,以前定义的方式多种多样,现在可以综合定义,是指组织严密的对手为达到目的(如泄露机密数据或信息、破坏重要数据或系统、拒绝服务等)而持续、隐秘地对目标进行的专门设计的网络攻击。
网络攻击链模型以APT攻击的形式来解释网络威胁。网络威胁被建模为多个攻击阶段,并描述了可以在每个攻击阶段执行的攻击模式。对手可以通过成功地执行顺序攻击阶段来实现最终的攻击目标。即使防御者只对一个阶段(如果在早期阶段)有效地检测和响应,对手也不能进入下一个攻击阶段。通过检测和响应每个攻击阶段的敌对行为来防止对手攻击,对手不能实现他们的最终目标。
各种网络攻击链模型如[11]、[12]、[13]、[14]等已被提出,其中最具代表性的是洛克希德·马丁公司提出的[11]网络攻击链模型,该模型由侦察、武器化、交付、利用、安装、指挥控制、目标行动7个攻击阶段组成。
每个网络攻击链模型如图1所示,攻击阶段的配置因模型而异。从侦察活动开始,利用侦察成果制造武器(攻击有效载荷和/或恶意代码),利用侦察成果渗透目标组织的系统或网络,达到最终目的,其攻击环境是相似的。
B.当前网络威胁的分类
一些工作提出了攻击分类模型。然而,就我们所知,没有标准化和常用的网络威胁分类。
MITRE提出的对TTPs攻击进行分类的ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)模型,是对洛克希德·马丁公司(Lockheed Martin)提出的网络杀伤链模型或MITRE提出的攻击生命周期模型(Attack Life Cycle model)利用阶段后,对手在目标系统或网络中执行的行为进行系统解释的模型。为此,MITRE和几家与网络安全相关的公司开展了各种网络事件分析和渗透测试活动。在此基础上,将对手在利用阶段后的行动分为10种战术和188种技术。
MITRE还提出了PRE-ATT&CK模型,该模型可以快速识别入侵系统或网络,并对对手的攻击TTP进行分类。在ATT&CK模型中,对抗性ttp分为17种战术和173种技术,与ATT&CK模型中攻击阶段的方向相反。
由MITRE提出并管理的CAPEC (Common Attack Pattern Enumeration and Classification)模型[19]列举了常见的攻击模式。CAPEC中列出的攻击模式是利用硬件和软件中的漏洞进行攻击的模式。在机密性、完整性和可用性方面,每个攻击模式都有描述、示例实例、测试和利用相关漏洞的方法、缓解攻击措施的解决方案和方法、严重性和影响级别。
CAPEC是利用软件和硬件的漏洞,对攻击模式进行枚举和分类,使攻击者能够渗透到系统或网络中,而ATT&CK和PRE-ATT&CK在多级攻击视图中对对手执行的攻击ttp进行分类。这些模型是相互关联的,而不是相互排斥的。我们采用这些模型来对所提出的网络杀伤链模型的每个阶段中敌手使用的攻击TTP进行分类,如下所述。
三、提出的攻击链模型和分类方法
前面提到的网络杀伤链模型分析对手的行为,并将其划分为攻击阶段。然而,大多数网络攻击链模型都是在概念层次上进行的,并没有明确地描述对手在每个攻击阶段的行为。此外,网络杀伤链模型对每个攻击阶段敌手行为的描述略有不同,如图1所示。例如,它们在安装阶段、命令和控制阶段以及目标阶段以稍微不同的方式描述了对手的后利用行为。更重要的是,实施网络攻击的对手与防御网络攻击的响应团队之间存在信息不对称。对手秘密行动以防止他们的行动被发现,响应团队通过探测实际攻击的传感器生成的事件或日志来估计对手的行为。
因此,我们提出了一个网络攻击模型来分析对手的防御行为。为此,我们分析了现有的网络攻击链模型,明确定义了对手在每个攻击阶段的行为。为了清楚地定义对手的行为,我们分析了前面讨论的CAPEC和ATT&CK模型,并将它们应用于每个攻击阶段。CAPEC和ATT&CK已经是很好的威胁分类法,它们定义了网络攻击行为或攻击TTP。然而,它们是根据不同的标准(根据攻击机制(CAPEC)或根据战术(ATT&CK))进行分类的,这无助于理解攻击的流程或上下文。两个威胁分类应用于我们的网络攻击链的每个攻击阶段,以帮助识别当前的攻击水平下的网络态势感知。
首先,在网络攻击链模型中,特别是在洛克希德·马丁公司提出的网络攻击链模型中,武器化阶段对于反应小组来说是一个看不见的阶段,因此从态势感知角度[20]是无法识别的。因此,我们排除了武器化阶段。
其次,对手利用系统的漏洞,并在几分之一秒内安装额外的攻击工具(如后妥协工具或远程访问工具(rat))。因此,利用阶段与安装阶段相结合,称为利用阶段。然而,对于暴露于网络外部的主机或服务的利用尝试被视为交付阶段。
第三,敌手在被入侵主机与敌手的基础设施之间进行通信,并采取各种必要的行动进行最终的攻击以达到最终的目的。这些行为分散在安装阶段、命令控制阶段和目标阶段。此外,前一节中描述的每个网络攻击链并不一致地描述对手在每个攻击阶段的行为。因此,我们定义了对手的行为,如控制被入侵的主机,横向移动到内部持续存在,以及在命令和控制阶段为最终目标(如发现和收集数据和/或信息)做准备。
最后,对手为实现最终目标而执行的操作在机密性、完整性和可用性方面已经缩小。
针对网络态势感知,从防御角度提出的网络杀伤链模型由侦察、交付、利用、指挥控制和目标行动5个攻击阶段组成。这些攻击阶段描述如下。
A.侦查阶段
侦察阶段,敌手对目标进行识别和选择。具体来说,对手收集有关潜在目标系统或网络的信息,以选择可以应用的攻击技术。在这一阶段,敌方通过对网络、端口或服务的扫描和足迹收集潜在攻击目标的信息,进行主动侦察活动,或者通过社交网络或网站搜索进行被动侦察活动。表一显示了属于这个阶段的战术和技术。
B .交付阶段
在传递阶段,对手掌握前一侦察阶段收集到的潜在攻击目标信息,生成与目标相匹配的攻击有效载荷或恶意代码,并将攻击有效载荷或恶意代码传递到目标系统和/或网络中。在此阶段,对手执行以下攻击。
•对手通过网站(通过drive-by-download)、电子邮件(通过附件、uRL链接或文本中的脚本)或usB存储器传播恶意代码。
•对手试图利用漏洞(例如sQL注入或跨站脚本(Xss))入侵主机或服务,如暴露在网络外部的web应用程序。
这一阶段。分配给分类的类别列攻击技术,因为在PRE-ATT&CK推出策略涵盖了广泛的攻击技术。表中并没有列出CAPEC和PRE-ATT&CK中的所有技术;列举的技术就是例子。
C.利用阶段
在攻击利用阶段,触发前一交付阶段传输的攻击有效载荷或恶意代码,攻击者利用目标系统和/或网络的漏洞。结果,敌人占领了目标系统和/或网络中的基地。在此阶段,敌手将对被破坏系统的特权进行升级。
根据[22],可以利用的漏洞分为操作系统级、网络级和应用程序或软件级。操作系统级的漏洞通常针对内核或设备驱动程序。网络级利用目标协议(如FTP、SMTP、NTP或SSH)或网络设备(如路由器)。应用程序或软件级别的攻击通常针对安装在主机上的应用程序,如web浏览器(Internet Explorer、Firefox或Chrome)、文档相关程序(Microsoft Office、Hangul(在韩国广泛使用的文字处理器)或Adobe PDF)、Java或Flash。有时,对手会绕过防御机制,成功地入侵目标系统或网络。
表三列出属于这一阶段的战术和技术。表中并没有列出CAPEC和ATT&CK中的所有技术;列举的技术就是例子。
D.指挥和控制阶段
在命令控制阶段,敌手执行各种必要的活动,以实现在前一个利用阶段被破坏的主机的最终目标。敌对方通过各种渠道(端口和/或协议)或媒体(有线或无线网络,或可移动媒体)与被攻破的主机通信。在通信信道或媒体上,敌手通过创建或修改账户、权限或组策略来获取用户权限,通过内部侦察选择最终攻击目标,在目标阶段的后续行动中收集信息外泄。
表四列出属于这一阶段的战术和技术。表中并没有列出CAPEC和ATT&CK中的所有技术;列举的技术就是例子。
E.目标阶段的行动
在目标阶段的行动中,在目标阶段进行连续攻击的敌手进行攻击以达到最终目标。在这个阶段,对手会窃取敏感数据,破坏或修改敏感系统和/或数据,或执行拒绝服务攻击[21]来破坏正常运行的服务。表五列出属于这一阶段的战术和技术。
四、CYCOP网络态势可视化
网络通用行动图(Cyber Common Operational Picture, CyCOP)是一种从不同角度识别和显示网络空间资产和网络威胁情况的工具。通过CyCOP,指挥官可以识别当前的资产状态和网络威胁情况(perception,感知)。此外,指挥官可以通过了解网络威胁情况的细节,评估相关资产的损失和对与资产相关的任务的影响来了解网络情况(comprehension,理解)。最后,通过对威胁场景的分析,指挥官可以以攻击链(projection,投影)的形式对威胁进行预测。
从军事角度出发,提出了网络空间态势感知可视化的工作[23][24]。最初,描述军事行动的可视化系统被称为通用操作图(COP)。术语CyCOP被用作网络战的可视化系统。
Conti等人提出了概念级别的CyCOP,将网络空间与动态操作协作可视化。他们描述了赛博空间与物理世界相比的动态操作特点,从用户、任务、技术角度对赛博空间的设计要求,赛博空间的信息流,用户交互的界面要求。
Esteve等人提出了在战略层次上的屏幕结构、系统架构和CyCOP的用例。他们提出的CyCOP系统试图通过收集和可视化SIEM产生的威胁警报和动态作战的指挥控制系统信息,来显示网络空间和物理空间的态势感知。
B. CyCOP体系结构
CyCOP系统对网络资产和网络威胁情况进行识别和可视化,并与相关信息和系统进行耦合,如图2所示。
资产管理系统识别和管理属于组织的网络资产。CyCOP系统加载并可视化存储在资产数据库中的网络资产信息,由资产管理系统进行管理。
SIEM收集各种低级事件来分析和识别网络威胁。这些低级事件是:
•主机生成的系统事件日志(例如syslog、Windows事件日志)
•应用程序日志(例如web日志)
•anti - alware生成的恶意软件检测事件日志
•由网络安全解决方案(如防火墙、IDS/IPS和Web应用程序防火墙(WAF))生成的事件日志
SIEM将收集到的低级事件关联起来,以生成高级威胁警报。我们在前一节讨论的基于网络杀死链的威胁分类被应用到SIEM来设置相关规则。每个相关规则映射到相应的攻击阶段和TTP,以识别实时发生的威胁。
生成的威胁警报转发给CyCOP,并表示在受威胁资产和相应组织(或单位)的地理位置上,帮助用户实时识别网络威胁。此外,转发的威胁警告将出现在下面的威胁警告列表中。我们的基于网络攻击链的威胁分类被应用到CyCOP中,以实时可视化整个网络威胁状态。
用户(军事指挥官)可以根据网络攻击链轻松识别当前的网络攻击情况。与显示当前攻击的详细信息不同,根据攻击链显示攻击的上下文有助于他们更容易地了解当前的网络攻击,特别是在他们升到高级别的时候。
C.使用Kill Chain模型实现网络威胁的可视化
1)普通屏幕结构:我们实现的CyCOP屏幕由主区域和围绕主区域布置的辅助功能组成,如图3所示。主要区域代表地图上组织(或单位)之间的网络连接(地理透视图)、网络空间中资产和资产之间的关系(组织透视图和网络拓扑视图)、资产和相应组织面临的网络威胁。
特别是在右侧,有一个SIEM生成的威胁警报列表,它与日志和事件相关。另外,在上面的威胁警报列表中有一个通过对威胁警报之间的攻击链分析创建的攻击场景列表。
威胁警报列表中,每个威胁警报用一个符号标识的攻击ttp和相应的攻击阶段网络杀伤链的颜色直观地表明威胁的严重性,标志指示的反应状态的威胁警报,警报和文本总结了威胁。如果用户单击某个特定的威胁警报,则可以从SIEM确认该威胁警报的详细信息。威胁警报列表也可以在SIEM得到确认。
在攻击链列表中,出现了以攻击链的形式分析的攻击场景的标题。如果您单击攻击场景的标题,所选的攻击场景将在下面描述的cyber kill chain视图中显示为一个攻击链。
2)网络攻击链视图:图4所示的网络攻击链视图以攻击场景的形式表示,攻击场景是通过对SIEM中日志和事件的相关性分析产生的高级别警报的攻击场景分析而产生的攻击链。攻击场景可以由系统根据攻击TTP关系信息自动分析,也可以由专业分析人员通过跟踪威胁历史手动分析。
我们的网络攻击链模型的攻击场景是可视化的一个垂直泳道类型的框架。每条通道代表了我们的网络攻击链模型的五个攻击阶段。表示攻击场景的攻击链中的每个节点都是由SIEM中定义的相关规则集生成的高级警报。根据攻击阶段,单个警报位于一个泳道(lane)上。每个警报由传感器的初始检测时间(相关事件和日志的初始时间戳)确定的时间戳按时间顺序列出,并且每个警报由实线连接。
在屏幕的底部,与攻击链相关的主机由各自的节点用相应的IP地址表示,节点之间的关系用实线表示。当用户在屏幕上选择构成攻击链的特定威胁警报时,相关主机在图中突出显示。
这有助于用户(军事指挥官)从攻击链的角度了解攻击是如何发生的。如果用户在此视图中显示的场景中发现警报之间的不确定性,则可以指示分析人员进行进一步的调查。该视图还允许用户在系统的帮助下,根据攻击场景的累积数据,预测当前攻击场景中的下一个攻击阶段及其特征。
3)地理透视图:以地理透视图为主要视图,如图5所示,表示网络空间网络资产所属组织的地理位置,以及在地图上连接组织之间的(主干)网络。
当收到SIEM在CyCOP生成的威胁警报消息时,系统将显示一个红色圆圈,以直观地识别威胁所属组织的地理位置上的威胁信息。还可以触发攻击场景分析结果并显示在攻击链列表中,当用户选择特定的攻击场景时,可以在cyber kill chain视图中显示详细的信息。
4)组织视角和网络拓扑视图:组织视角视图,如图6所示,分层次表示属于特定组织的网络资产和网络。图7所示的网络拓扑视图以拓扑形式表示在组织中运行的多个独立网络(特别是用于军事行动的多个独立网络),它们独立于地理和组织信息。
连接到主干网络的路由器和/或其他网络设备位于最底层,防火墙和安全组件(如IDSs或IPSs)位于中间层,组织中的服务器和端点主机位于顶层。这些资产之间的关系用行表示。组织透视图和网络拓扑视图加载并可视化存储在资产数据库中的网络资产信息和这些资产之间的关系。
收到SIEM在CyCOP生成的威胁警报消息后,受威胁资产上显示一个红色圆圈,以便直观地识别威胁信息。
五、结论与未来工作
本文提出了一种基于网络攻击链模型的威胁分类方法。首先,我们分析了现有的网络杀伤链模型,从网络态势感知的角度,重构了由侦察、交付、利用、指挥控制和目标行动5个攻击阶段构成的网络杀伤链模型。然后利用ATT&CK、PRE-ATT&CK和CAPEC对每个攻击阶段的攻击ttp进行分类。
利用所提出的网络攻击链模型和相应的威胁分类,可以构建应用于SIEM的相关规则集,从而将低级事件或日志关联起来,生成高级警报。通过参考CyCOP中提出的网络杀伤链模型来可视化生成的威胁警报。
我们开发了CyCOP来实时识别网络空间的情况,并帮助指挥官做出决策。应用所提出的基于威胁分类的网络攻击链模型,可以直观地识别威胁。通过可视化基于威胁情景分析的网络杀伤链模型的结果,CyCOP帮助指挥官了解网络威胁的背景,为预测未来的攻击提供灵感。
我们目前正在研究网络威胁本体论,它将我们的网络攻击链模型、基于CAPEC、ATT&CK和PRE-ATT&CK的当前威胁分类、CVE、NVD和CWE等漏洞数据库、代表资产信息的CPE、网络威胁情报(例如,指标和/或战役)以及基于STIX的数据模型结合在一起。已经有几个工作[25][26]建立,代表和共享网络威胁情报。同时,我们致力于实现识别网络空间当前情况(特别是网络威胁)的算法,并利用威胁分类作为知识库,以低复杂度的方式对威胁进行高精度预测。