安全知識圖譜|威脅建模助力企業“建防禦 抓運營”

本文為安全知識圖譜技術白皮書《踐行安全知識圖譜，攜手邁進認知智慧》精華解讀系列第六篇——威脅建模技術，重點介紹基於知識圖譜的威脅建模應用。

如何做好威脅建模  

如今，隨著技術的變化，攻防技術不對等和攻防雙方關注面不同，讓企業面臨的威脅複雜多樣化、多元化，傳統的防禦手段無法抵禦新興威脅，也無法有效地應對內外風險。威脅建模需要解決的問題是應該如何構建合理的安全體系，從而降低企業資產和業務面臨的風險。威脅建模作為網路安全威脅分析的一個重要環節，需要從多個角度考慮，如資產和風險、系統和軟體、攻擊對手的目的和戰術等，結合應用場景如漏洞管理、威脅狩獵、威脅溯源及入侵分析等考慮受害者、攻擊者、攻擊能力、基礎設施之間的相互影響因素和動態關係，攻擊能力劃分可以在Cyber Kill Chain[1] 階段進行事件建模和關聯分析。

威脅建模主要含有資產（主機/系統）、威脅（攻擊行為）、漏洞幾個主要元素，透過識別威脅和制定保護策略來保證資訊CIA(機密性/一致性/可用性)三要素。如圖 1所示，資產（Assets）受到各種威脅（Threats）影響，這些威脅可能是駭客等人為因素，也可能是火災地震等自然因素。威脅透過利用系統的脆弱性（Vulnerabilities）可導致暴露（Exposure），形成風險（Risk）。適當的對策是使用防護措施（Safeguards），緩解風險使資產得到安全保障，整個建模過程形成一個閉環。

圖 1 威脅建模目標

常見的威脅建模方法Microsoft STRIDE，是面向安全開發（SDL）和運營的威脅建模；PASTA（攻擊模擬和威脅分析）是以風險為中心的威脅建模框架；LINDDUN（可連結性、可識別性、不可否認性、可檢測性、資訊洩露、不遵守約定）專注於隱私問題，提供了一種系統的隱私評估方法，應用於資料安全建模；Attack Trees（攻擊樹）針對純網路系統、物理系統的威脅建模和應用；定量威脅建模方法（hTMM）在SEI 2018年開發，是結合SQUARE、Attack trees（攻擊樹）、STRID及CVSS等多個方法組合應用的建模方法。

攻擊視角下的“ATT&CK”模型

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge ）[2]是一個攻擊行為知識庫和模型，主要應用於評估攻防能力覆蓋、APT情報分析、威脅狩獵及攻擊模擬等領域。MITRE對威脅模型的概念按照抽象層次進行了粗粒度的劃分，如圖 2所示，劃分到不同層次的模型、概念沒有優劣之分，區別在於不同的抽象層次決定了模型的表達能力和能夠覆蓋的概念粒度。較高層抽象可謂高屋建瓴，可以從宏觀的角度給威脅事件定性、給風險評級。較底層的概念可以提供更多資訊細節，對威脅事件提供確切實際的解釋、指導和評估。

圖 2 知識模型抽象分層

從建模的層次來看，ATT&CK處於中間概念抽象層，是其區分於其他威脅模型、威脅知識庫的關鍵。ATT&CK正是從攻擊者視角出發，研究分析整理以往的攻擊技術知識，用於識別網路攻擊行為構建的模型。ATT&CK建模主要集中於攻擊行為層面，而傳統防護裝置的告警則屬於指示器層，指示器層往往基於規則進行資料匹配，能夠檢測已知的惡意資料，由安全專家提取特徵進行驅動，準確性高，誤報少，粒度小，進而現網環境中產生的告警數量龐大。行為層的分析針對可疑的事件進行檢測，由行為動作進行驅動，誤報相對較多，粒度粗，產生事件數量較少，生命週期更長。ATT&CK在行為層進行建模，一方面能夠充分利用威脅情報的TTP進行知識共享，另一方面能夠在更宏觀的程度對攻擊者進行畫像，能夠從具體的技術手段和指示器規則中解脫出來。

ATT&CK是一個反映攻擊生命週期中攻擊技術的知識庫模型，主要應用於評估攻防能力覆蓋、APT情報分析、威脅狩獵及攻擊模擬等領域。經過數年的知識積累，ATT&CK已經從針對企業內網的、Windows平臺的、終端側、post-compromise的行為分析模型，擴充為多場景（企業內網、移動環境、工控）、多平臺（Windows、Linux、macOS、Cloud等）、針對多源資料（終端、網路、檔案等）、攻擊鏈全生命週期的行為分析模型。目前安全廠商使用ATT&CK模型來評估產品的威脅識別能力，如圖3所示，融合網路安全裝置(IDPS/WAF)告警和終端檢測進行關聯分析，採用ATT&CK對攻擊技術進行自動化識別，進一步構建攻擊者行為畫像，藉助知識圖譜推理能力進行攻擊組織（APT）的識別，輔助推薦防護策略。

圖 3 ATT&CK知識模型應用於威脅分析場景

ATT&CK模型不斷迭代更新，安全研究者們開發出一些基於ATT&CK的安全專案，如開源專案CALDERA（https://github.com/mitre/caldera）是應用於紅藍對抗的自動化模擬系統；Atomic Red Team是基於ATT&CK設計的新型自動化測試框架；專案安全分析知識庫CAR（https://car.mitre.org/）是基於ATT&CK攻擊模型、網路、終端感測器開發的實用性分析知識庫。如今一些安全產品如態勢感知、終端檢測與響應(EDR)、入侵檢測系統(IDS)、動態沙箱等均在從資料分析的角度和ATT&CK的攻擊技術進行對映，體現了安全產品的攻擊技術識別能力，進一步達到對攻擊者進行威脅建模的目標。

MITRE今年釋出的D3FEND[3]網路安全對策技術的知識庫，具體來看是網路安全對策技術知識圖譜，主要目標是促進防禦性安全技術功能詞彙的標準化。此防禦知識庫和ATT&CK模型建立關聯，有效促進安全攻防的閉環。

圖 4 ATT&CK和D3FEND構建知識圖譜

圖識威脅，邁入智慧防禦

網路安全行業的一個新興趨勢是從攻擊者角度開始威脅建模。組織透過掃描現有系統漏洞，整合當前可能受到攻擊的威脅資料或攻擊面，安全運營團隊像駭客一樣思考，試圖識別潛在威脅或進行威脅狩獵（Threat Hunting）。

在日常的安全運營過程中，安全分析需要從海量的告警、日誌、檔案中發現確切攻擊，這是一項巨大的挑戰，ATT&CK作為攻防知識庫為威脅建模框架提供抽象化概念支撐，能夠在一些核心節點上，將安全檢測資料（如告警、漏掃結果）及威脅情報資料碰撞融合，形成含有豐富語義的安全知識圖譜，進一步視覺化關聯分析。

圖 5 攻擊模式例項化

上圖是一個攻擊模式例項化的簡單示例，研究人員基於ATT&CK知識庫形成攻擊模式，將海量的告警歸一化處理，達到資料去重、抽象表示形成語義序列表示的目的。

網路安全領域逐步興起的威脅情報（Threat Intelligence）為網路態勢感知提供了技術支援，要實現全面的威脅分析，首先需要能夠理解威脅並能預測即將呈現的狀態，觸發相應的防護決策。目前，安全威脅情報主要是網路安全廠商為了共同應對APT（Advanced Persistent Threat高階持續性威脅）攻擊，而逐漸興起的一項熱門技術。通常，APT攻擊事件很可能持續很長時間，它在OSSIM系統中反映出來的是一組可觀測到的事件序列，這些攻擊事件顯示出了多臺攻擊主機的協同活動，網路安全分析人員需要綜合各種不同的證據，以結合全球性威脅情報關係資料查清攻擊現象的根本原因。攻擊知識圖譜和告警關聯工具可以結合在一起進行評估，告警關聯關係工具可以把特殊的、多步攻擊的零散告警合理地組合在一起，以便把攻擊者的策略和意圖清晰地通知安全分析人員，進一步觸發主動防禦機制，實現攔截或封堵。隨著機器學習和圖計算能力的提高，在安全知識圖譜的基礎上實現自動化安全運維將會變得更加簡單。如圖6所示，機器可以學習APT32攻擊組織已使用過的攻擊技術、惡意軟體、工具集合等，結合威脅情報中基礎設施、IOCs等特徵，以及動態的攻擊事件告警和終端日誌，採用圖演算法模型實現自動化綜合評估和攻擊預測。

圖 6 攻擊組織APT32的知識圖譜

總結

網路安全大資料為威脅檢測分析帶來機遇，也同樣帶來挑戰。我們需要更加有效的資料收集、合理的資料組織、準確的資料分析以及豐富的視覺化能力，來支撐分析任務中的模擬、關聯、知識沉澱等過程，進而逐步構建自動化安全防禦能力。以ATT&CK進行威脅建模並建立行為分析知識庫，並以圖譜形式組織，能夠打通資料間壁壘，加速威脅情報、原始日誌、檢測資料、掃描資料、威脅知識庫等多源資料的融合分析，並利用圖學習和圖計算模型實現攻擊威脅評估和預測，為安全運營人員提供更準確的結果，減少安全運營人力投入，打造智慧化安全防禦體系。

參考文獻

1. Cyber Kill Chain® | Lockheed Martin 

2. MITRE ATT&CK®

3. D3FEND Matrix | MITRE D3FEND

點選“連結”下載報告完整版：https://nseocus.wjx.cn/vj/rCbWUu5.aspx