前言

在 紫隊這條路 Day6 藍隊的三大利器之一：資安情資了解了資安情資（Threat Intelligence）的詳細介紹，資安情資是蒐集、分析和應用於實際環境中的資訊，主要用於進行防禦。這些情報可以是外部來源的，例如其他組織或廠商所提供的威脅情報，也可以是內部收集的，例如來自日誌或內部系統的資料。

也提到 紫隊這條路 Day10 紅隊如何用藍隊的利器學習：資安情資篇之了解駭客手法 & 利用 ATT&CK 設計紅隊演練訓練流程 中的 ATT&CK 。

紫隊與 CTI 的目的

紫隊演練的價值在於可以利用 CTI，來重點針對那些最有可能影響企業的方法、手法和TTPs 進行攻擊模擬。

從攻擊者的角度來了解目標企業，這樣才能有效將 CTI 放在合適的背景下，並為紫隊演練開發攻擊鏈或攻擊場景。且 CTI 可用於選擇要模擬的攻擊，因為紫隊的演練，需要考慮攻擊者的能力、意圖和機會。

在框架當中，框架提出者受到 Katie Nickels 和 Cody Thomas 在 2018 年 SANS 威脅狩獵和事件響應研討會上的演講啟發，整理了利用網路威脅情報進行紫隊練習的過程，主要過程包括：理解目標組織、識別要模仿的攻擊者、收集網路威脅情報和提取流程級的 TTPs。網路威脅情報可以通過公開情報、供應商或內部建立來取得。最後，從取得的情報中提取 TTPs 並將其映射到像 ATT&CK 這樣的框架是非常重要的。

CTI

網路威脅情報 (Cyber Threat Intelligence, CTI) 基於證據的知識、背景、指標和對企業的威脅行為。

紅隊：嘗試千上萬種方法達到目的
紫隊：專注於最可能影響企業的 TTPs

利用網路威脅情報進行紫隊演習的過程

1. 了解目標組織/企業
2. 識別攻擊者
3. 收集威脅情資
4. 輸出 TTPs
5. 建立攻擊者分析說明
6. 沙盤演練
7. 建立攻擊計畫/開始模擬攻擊者

一、了解目標組織/企業

當我們提到「了解目標企業」，就好比一家公司想要了解它可能會面臨的各種外部威脅，這樣它就可以做好預防和應對。

簡單來說，就是想先知道壞人可能從哪裡攻擊，這樣可以提前做好防禦。

1. 誰應該做這件事？
   無論你是一家幫助其他公司評估威脅的顧問公司，還是公司內部的專家團隊，首先要做的就是深入了解這家公司。這有點像想要保護一座城堡，首先要知道城堡的每一道門、每一座塔和每一面牆。

2. 如何做？
   資安部門/資安專家會進行一系列的行為

• 試著模仿可能的壞人，看看他們可能會從哪裡開始攻擊
• 訪談和討論，嘗試從壞人的角度找出公司的弱點

3. 結果是什麼？
   結果會告訴我們公司的「哪些人、哪些流程和哪些技術」最容易受到攻擊，這樣我們就知道應該怎麼保護它們。

4. 如果我們沒有對照的威脅模型呢？
   如果一家公司還沒有明確知道可能的威脅是什麼，它可以選擇使用一些現成的方法來模擬可能的攻擊。
   但這種方法可能不準，因為每家公司都是獨特的，所以最好的方法還是根據實際的威脅來制定計劃。

舉個例子

一家知名玩具公司「飛飛玩具」。生產的玩具銷售全球，而且網站讓顧客在線上購買與留言。

提到「了解目標企業」，就像「飛飛玩具」想要知道，有哪些壞人可能想要破壞他們的生產或是騙取他們的客人。

他們希望提前知道這些問題，這樣才能提前做好防禦。

1. 誰應該做這件事？
   就好像「飛飛玩具」可能會請外部專家，或者他們內部的資安團隊，來檢查他們的工廠門窗是否鎖得緊、網站是否有漏洞等。

2. 如何做？
   這些專家可能會假裝是壞人，試著進入工廠或網站，看看能不能輕易地鑽入。他們也會與工廠管理員或網站開發者進行訪談，了解可能的弱點。

3. 結果是什麼？
   例如，專家可能發現工廠的後門經常不上鎖，或者網站的客戶留言系統容易被操控。了解這些之後，「飛飛玩具」就可以針對這些問題進行修復和加強。

4. 如果「飛飛玩具」沒有對照的威脅模型呢？
   他們可以選擇使用一些常見的保護方式，例如定期更換門鎖或更新網站安全程式。但如果他們知道特定的威脅，比如有人曾試圖偽造玩具留言，那麼他們就可以更有針對性地防禦。

二、識別攻擊者

提到「識別攻擊者」，是一家公司想要知道可能對它造成威脅的人是誰。這有助於公司更好地保護自己，就像一個人要知道哪些動物可能對他造成威脅，這樣他就會小心避免或做好防護。

1. 為什麼要認識攻擊者？
   想像你的家中有很多寶貴的東西。你會想知道可能會偷這些東西的小偷是誰，他們通常會在什麼時候來，以及他們會使用什麼方法。

   • 誰要攻擊
   • 想要什麼
   • 有什麼能力

2. 如何識別攻擊者？

• 主要看三點：
  • 意圖（Intent）：就是攻擊者想要什麼？他是想偷資料還是破壞系統？例如，一些攻擊者可能只是想偷取信用卡資訊，而另一些則可能想破壞公司的系統。
  • 機會（Opportunity）：是指攻擊者知道的資訊和適當的時機。例如，員工的年終獎金發放時間可能是惡意攻擊者假冒公司發信詐騙的好時機。
  • 能力（Capability）：就是攻擊者有什麼技能和資源。有些人可能知道一家公司的電腦系統有漏洞，但他們可能不知道如何利用這個漏洞。

3. 第一次識別可能的攻擊者從何開始？
   如果一家公司第一次嘗試識別可能的攻擊者，建議從能力較低的攻擊者開始。例如，先防範那些只會發送簡單詐騙信件的惡意攻擊者，然後再考慮更專業的惡意攻擊者。

舉個例子

「飛飛玩具」是一家銷售全球的知名玩具公司，但這樣的知名度也意味著他們可能會成為不法分子的目標。為了保護自己，他們需要了解可能的攻擊者是誰、想要什麼，以及有什麼能力。

1. 意圖（Intent）：飛飛玩具可能會問自己，這些攻擊者到底想要什麼？有些攻擊者可能想偷取他們的設計玩具的秘密參數，有些可能想要在網路上騙取顧客的錢，還有些可能想要破壞他們的品牌聲譽，比如偽造負面留言。

2. 機會（Opportunity）：哪些時候飛飛玩具最容易受到攻擊？例如，每年的新品發布季，攻擊者可能會試圖攻擊網站造成中斷，讓顧客無法購買。或者在假日節慶期間，他們可能會利用假的優惠信件來詐騙顧客。

3. 能力（Capability）：飛飛玩具需要知道這些攻擊者有多大的能力。例如，有些攻擊者只是單獨行動的小偷，他們可能只能偷取一些小東西；但有些可能是大型犯罪組織，他們有更多的資源和技術，可以進行大規模的攻擊或詐騙。

瞭解攻擊者可以幫助「飛飛玩具」更好地防禦。他們不只要防範已知的威脅，也要持續保持警覺，以應對未知的新威脅。這就好像一家店鋪，除了要確保門窗緊鎖，還要定期檢查是否有新的隱患或風險。

三、收集網路威脅情報

公司像一座城堡，城堡外有許多壞人想要攻入。

收集威脅情報就像是派人出去偵查，了解那些壞人的計劃、用什麼武器、和他們的習慣，這樣城堡就可以更好地防禦。

如何收集情報？

1. 開放資源：就像是從報紙或電視新聞中得知哪些壞人在附近。
2. 供應廠商：專門的公司提供情報，就像有人專門報告壞人的動態。
3. 內部收集：城堡內的人自己出去偵查。

而有些特定的組織，像是「資訊分享與分析中心 ISACs」，會分享給大家有關壞人的情報。

那些情報最重要？

1. 策略、技巧和流程（TTPs）：這是壞人完成任務的方法，從如何接近城堡到如何偷東西。比如說，他們會用梯子翻過城牆，或使用隧道鑽進城堡。
2. 工具：這是壞人用來攻擊的武器或工具。可以是他們特製的、公開可得的工具，或是利用城堡原有的資源攻擊。
3. 主機遺留物：當壞人闖入城堡後，他們可能會留下腳印、工具或其他證據。

「收集威脅情報」就是要先知道可能的危險，這樣「飛飛玩具」才能更好地保護自己，避免被壞人利用或傷害。

舉個例子

飛飛玩具知道，只有了解敵人才能有效地防守。因此，他們開始積極地收集所有關於可能的攻擊者的資訊。

1. 從哪裡得知情報？

   • 開放資源：飛飛玩具透過新聞、社交媒體和其他公開渠道收集資料。他們留意其他同行是否遭受過攻擊，這些攻擊者用了什麼方法？
   • 供應商：他們也考慮與專門的資安公司合作，這些公司會提供最新的威脅情報。
   • 內部調查：他們的內部團隊會檢查所有的系統，查看是否有任何不尋常的活動或跡象。

2. 得到了哪些重要的資訊？

   • 策略、技巧和流程：飛飛玩具從各種資源了解到，有些攻擊者喜歡透過偽造電子信件欺騙員工、有些則會尋找網站的漏洞。
   • 工具：他們發現一些攻擊者喜歡使用特定的惡意軟體或工具，而這些軟體和工具通常有一些特定的特徵。
   • 主機遺留物：透過檢查系統，他們發現某些不尋常的檔案或設定改變，這可能是攻擊者留下的痕跡。

3. 然後呢？
   有了這些情報後，「飛飛玩具」的資安團隊開始制定防禦策略。他們加強了員工的資安培訓，教他們如何識別偽造的電子信件。他們也升級了網站的安全系統，以防止攻擊者利用已知的漏洞。

透過持續的「收集威脅情報」，不僅能夠防禦目前的威脅，還能夠預測和應對未來的挑戰。這就像城堡的守衛，不僅要警惕現在的敵人，還要時刻準備應對新的威脅。

四、提取 Procedure 層級的 TTPs

什麼是TTPs？
首先，TTPs是「策略、技巧和流程」的縮寫。這三個詞語描述了攻擊者如何行動。

1. 策略：這是攻擊者的大致計劃或目的，就像「飛飛玩具」公司想要擴大市場份額是他們的策略一樣。例如，攻擊者可能想要取得某些資訊。
2. 技巧：這是攻擊者為達成策略而採取的具體方法。就像「飛飛玩具」為了擴大市場，可能會推出新玩具或舉辦促銷活動。
3. 流程：這是攻擊者實際採取的步驟。例如，他們確切如何進入一個系統，或是怎麼發送一封偽造的信件。

為何要提取Procedure層級的TTPs？
當「飛飛玩具」公司收到有關網路威脅的報告時，這些報告可能不會提供具體的攻擊步驟。但如果他們知道了攻擊者確切如何行動，他們就可以模擬這些攻擊，測試並提高自己的防護措施。

比如說，如果報告只告訴「飛飛玩具」，攻擊者嘗試偷取資訊，那麼這家公司可能不清楚該如何防護。但如果他們知道攻擊者是透過發送偽造信件來騙取員工的密碼，那麼他們就可以加強員工的安全培訓，提醒他們不要輕易點擊信件中的連結。

理解 TTPs 的不同層級，尤其是 Procedure 層級，可以幫助「飛飛玩具」公司更具體、更有針對性地提高自己的網路安全防護。這就像知道小偷是透過哪扇窗戶進入的，這樣就可以加強該窗戶的防護措施。

舉個例子

當他們發現一些攻擊者喜歡透過偽造電子信件欺騙員工，那麼：

1. 策略 (Tactics)：代表攻擊者的策略目的。例如，他們可能想要取得內部資訊，這可以稱為“初次存取”。
2. 技巧 (Techniques)：是攻擊者為達到策略目的所使用的方法。在這裡，偽造電子信件以欺騙員工便是一種技巧。
3. 流程 (Procedures)：是具體的步驟或操作。例如，攻擊者可能首先從社群平台上搜集員工的基本資訊，然後根據這些資訊偽造一封看起來像是來自公司高層的電子信件，引誘員工點擊某個鏈接或提供某些資訊。

資安團隊試圖了解攻擊者的行為，實際上是在提取 TTPs，因為只有了解攻擊者的策略、技巧和流程，他們才能夠有效地進行防禦。

實際的資安工作中，當分析師從不同的資源中收集到相關情報後，他們會試圖將這些情報對應到某個框架（例如MITRE ATT&CK），這樣可以更系統地理解和分享這些情報。

當知道了攻擊者可能會用偽造的電子信件來試圖欺騙員工，就可以培訓員工識別這些欺騙技巧，並加強相關的技術防護措施，例如購買信件過濾系統，以阻止這些偽造的信件進入員工的信箱。

五、建立攻擊者分析說明

如何進行？

1. 建立攻擊者概述表：利用表格，概括攻擊者的行動方式。它的內容包括：
   • 策略：攻擊的的行動目的。
   • 技巧：為了達到目的，攻擊者可能使用的具體方法。
   • 流程：每一個技巧具體的執行步驟。
   • 情報參考：從哪裡得知這些資訊的。

例如，攻擊者可能的策略是進入我們的電腦系統，技巧是透過偽造電子信件來欺騙員工，流程可能是寄送一封看起來像公司內部的信件，裡面含有惡意連結。

2. 使用工具進行選擇：MITRE開發了一款叫做ATT&CK Navigator的工具，它可以幫助我們選擇攻擊者可能使用的技巧。這款工具像是一個大型的參考書，裡面記錄了各種可能的攻擊技巧。我們可以根據過去的情報來選擇相應的技巧，並根據實際情況進行調整。

3. 製定行動計劃：有了這些情報後，我們就可以製定如何防禦的計劃。例如，如果我們知道攻擊者喜歡透過偽造電子信件來攻擊，我們就可以加強員工的培訓，讓他們識別這種信件。

舉個例子

飛飛玩具最近發現了一些不尋常的信件，這些信件看似都是由公司的管理階層發出。但仔細一看，裡面的內容都在誘使員工提供自己密碼。

1. 建立攻擊者概述表：

2. 使用工具進行選擇：

   • 利用MITRE的ATT&CK Navigator，飛飛公司找到了偽造電子信件的具體技巧編號和描述，幫助他們更加了解這種攻擊的細節。

3. 製定行動計劃：

   • 飛飛公司決定組織一場員工培訓，教導大家如何辨識偽造的電子信件。
   • 購買電子信件過濾工具，這樣可以阻止大部分的偽造信件進入員工的信箱。
   • 建立一個內部通報系統，讓員工可以報告任何可疑的電子信件。

六、Table Top TTPs

基於 TTPs 進行沙盤推演，根據前幾個步驟找到 TTPs，開始模擬：

分類TTPs

• 不能被阻擋的TTPs：這些手法在練習中可能沒有太大價值，但如果它是一個值得關注的問題，還是可以模擬。
• 可能會被記錄的TTPs：這些是訓練專家尋找和檢測的理想選擇。
• 可能會觸發警告的TTPs：這些是訓練安全操作中心分析師應對和測試防禦流程的最佳選擇。

建立矩陣：製作一個表格，列出期望的結果和哪些團隊會看到這些活動。

舉個例子

經過分析後，將偽造電子信件的攻擊手法分為以下三類TTPs：

1. 不能被阻擋的TTPs：例如攻擊者在社群平台上搜集員工資訊，這是一個公開的平台，所以很難阻止他們收集這些資料。
2. 可能會被記錄的TTPs：當攻擊者使用某些特定的工具或軟體來製作偽造的電子信件時，這些活動可能會被公司的監控系統記錄下來。
3. 可能會觸發警告的TTPs：例如，當偽造的電子信件試圖欺騙員工提供密碼時，這可能會觸發一個安全警告。

七、開始進行紫隊演練

1. 計劃階段：紅隊需要知道攻擊的策略、技巧和流程(TTPs)。有些公司會決定是否在練習開始前，就告訴參與者這些攻擊細節。
2. 開始練習：所有準備都完成後，練習開始。通常有人來領導練習，並強調這次活動的價值。
3. 練習流程：
   • 介紹攻擊者：以往的目標、行為、使用的工具等。
   • 討論每一種攻擊方法，預測可能的結果。
     • SOC: 任何 log 日誌、針對 TTPs 的警告
     • Hunt Team: 任何針對 TTPs 的 Hunt Cases
     • DFIR: 用於識別是否利用 TTP 的記錄方法
   • 紅隊開始模擬攻擊，藍隊則尋找證據，證明他們可以偵測到這些攻擊
     • 紅隊
       • 提供攻擊 IP
       • 提供攻擊標的
       • 提供攻擊的準確時間
       • 展示攻擊的情況
     • 藍隊
       • 監控時間滿足預期
       • 利用警告、日誌、威脅、其他證據識別 TTPs
       • 展示防禦的情況
       • 紀錄對應指標
   • 根據找到的證據，進行調整，並再次模擬攻擊，觀察結果
     • 偵測進行調整後再給紅隊測試
       • 建立和優化系統和工具，用於發現和回應潛在的資安威脅
       • 根據不同的能存取的資訊不同，因此偵測工程可以被設計和啟動
         • 技術團隊可能對系統的某些部分有更多的了解，而管理團隊則可能對業務風險有更深入的認識
       • 提高可見度：使潛在的威脅或攻擊更容易被偵測到
         • 調整檢測規則
         • 增加記錄日誌
         • 改進報警機制
       • 測試的目的：看看新的偵測工程是否能夠有效地偵測到這些攻擊行為
         。
4. 追蹤：要有專人記錄整個練習的過程，包括各種資訊、行動項目和反饋。此外，也可以使用特定的工具來追踪和報告結果。
   • 可以嘗試 https://vectr.io/ 免費

這就像一場足球比賽。紅隊是進攻方，藍隊是防守方。比賽前，教練會研究對方的策略，並做好準備。當比賽開始，進攻方試圖進球，防守方則試圖阻止。過程中，教練會觀察球員的表現，並在比賽後給予指導和建議。這就是紫隊練習的過程。

參考資料

https://github.com/scythe-io/purple-team-exercise-framework