在 紫隊這條路 Day6 藍隊的三大利器之一:資安情資了解了資安情資(Threat Intelligence)的詳細介紹,資安情資是蒐集、分析和應用於實際環境中的資訊,主要用於進行防禦。這些情報可以是外部來源的,例如其他組織或廠商所提供的威脅情報,也可以是內部收集的,例如來自日誌或內部系統的資料。
也提到 紫隊這條路 Day10 紅隊如何用藍隊的利器學習:資安情資篇之了解駭客手法 & 利用 ATT&CK 設計紅隊演練訓練流程 中的 ATT&CK 。
紫隊演練的價值在於可以利用 CTI,來重點針對那些最有可能影響企業的方法、手法和TTPs 進行攻擊模擬。
從攻擊者的角度來了解目標企業,這樣才能有效將 CTI 放在合適的背景下,並為紫隊演練開發攻擊鏈或攻擊場景。且 CTI 可用於選擇要模擬的攻擊,因為紫隊的演練,需要考慮攻擊者的能力、意圖和機會。
在框架當中,框架提出者受到 Katie Nickels 和 Cody Thomas 在 2018 年 SANS 威脅狩獵和事件響應研討會上的演講啟發,整理了利用網路威脅情報進行紫隊練習的過程,主要過程包括:理解目標組織、識別要模仿的攻擊者、收集網路威脅情報和提取流程級的 TTPs。網路威脅情報可以通過公開情報、供應商或內部建立來取得。最後,從取得的情報中提取 TTPs 並將其映射到像 ATT&CK 這樣的框架是非常重要的。
網路威脅情報 (Cyber Threat Intelligence, CTI) 基於證據的知識、背景、指標和對企業的威脅行為。
紅隊:嘗試千上萬種方法達到目的
紫隊:專注於最可能影響企業的 TTPs
當我們提到「了解目標企業」,就好比一家公司想要了解它可能會面臨的各種外部威脅,這樣它就可以做好預防和應對。
簡單來說,就是想先知道壞人可能從哪裡攻擊,這樣可以提前做好防禦。
誰應該做這件事?
無論你是一家幫助其他公司評估威脅的顧問公司,還是公司內部的專家團隊,首先要做的就是深入了解這家公司。這有點像想要保護一座城堡,首先要知道城堡的每一道門、每一座塔和每一面牆。
如何做?
資安部門/資安專家會進行一系列的行為
結果是什麼?
結果會告訴我們公司的「哪些人、哪些流程和哪些技術」最容易受到攻擊,這樣我們就知道應該怎麼保護它們。
如果我們沒有對照的威脅模型呢?
如果一家公司還沒有明確知道可能的威脅是什麼,它可以選擇使用一些現成的方法來模擬可能的攻擊。
但這種方法可能不準,因為每家公司都是獨特的,所以最好的方法還是根據實際的威脅來制定計劃。
一家知名玩具公司「飛飛玩具」。生產的玩具銷售全球,而且網站讓顧客在線上購買與留言。
提到「了解目標企業」,就像「飛飛玩具」想要知道,有哪些壞人可能想要破壞他們的生產或是騙取他們的客人。
他們希望提前知道這些問題,這樣才能提前做好防禦。
誰應該做這件事?
就好像「飛飛玩具」可能會請外部專家,或者他們內部的資安團隊,來檢查他們的工廠門窗是否鎖得緊、網站是否有漏洞等。
如何做?
這些專家可能會假裝是壞人,試著進入工廠或網站,看看能不能輕易地鑽入。他們也會與工廠管理員或網站開發者進行訪談,了解可能的弱點。
結果是什麼?
例如,專家可能發現工廠的後門經常不上鎖,或者網站的客戶留言系統容易被操控。了解這些之後,「飛飛玩具」就可以針對這些問題進行修復和加強。
如果「飛飛玩具」沒有對照的威脅模型呢?
他們可以選擇使用一些常見的保護方式,例如定期更換門鎖或更新網站安全程式。但如果他們知道特定的威脅,比如有人曾試圖偽造玩具留言,那麼他們就可以更有針對性地防禦。
提到「識別攻擊者」,是一家公司想要知道可能對它造成威脅的人是誰。這有助於公司更好地保護自己,就像一個人要知道哪些動物可能對他造成威脅,這樣他就會小心避免或做好防護。
為什麼要認識攻擊者?
想像你的家中有很多寶貴的東西。你會想知道可能會偷這些東西的小偷是誰,他們通常會在什麼時候來,以及他們會使用什麼方法。
如何識別攻擊者?
「飛飛玩具」是一家銷售全球的知名玩具公司,但這樣的知名度也意味著他們可能會成為不法分子的目標。為了保護自己,他們需要了解可能的攻擊者是誰、想要什麼,以及有什麼能力。
意圖(Intent):飛飛玩具可能會問自己,這些攻擊者到底想要什麼?有些攻擊者可能想偷取他們的設計玩具的秘密參數,有些可能想要在網路上騙取顧客的錢,還有些可能想要破壞他們的品牌聲譽,比如偽造負面留言。
機會(Opportunity):哪些時候飛飛玩具最容易受到攻擊?例如,每年的新品發布季,攻擊者可能會試圖攻擊網站造成中斷,讓顧客無法購買。或者在假日節慶期間,他們可能會利用假的優惠信件來詐騙顧客。
能力(Capability):飛飛玩具需要知道這些攻擊者有多大的能力。例如,有些攻擊者只是單獨行動的小偷,他們可能只能偷取一些小東西;但有些可能是大型犯罪組織,他們有更多的資源和技術,可以進行大規模的攻擊或詐騙。
瞭解攻擊者可以幫助「飛飛玩具」更好地防禦。他們不只要防範已知的威脅,也要持續保持警覺,以應對未知的新威脅。這就好像一家店鋪,除了要確保門窗緊鎖,還要定期檢查是否有新的隱患或風險。
公司像一座城堡,城堡外有許多壞人想要攻入。
收集威脅情報就像是派人出去偵查,了解那些壞人的計劃、用什麼武器、和他們的習慣,這樣城堡就可以更好地防禦。
如何收集情報?
而有些特定的組織,像是「資訊分享與分析中心 ISACs」,會分享給大家有關壞人的情報。
那些情報最重要?
「收集威脅情報」就是要先知道可能的危險,這樣「飛飛玩具」才能更好地保護自己,避免被壞人利用或傷害。
飛飛玩具知道,只有了解敵人才能有效地防守。因此,他們開始積極地收集所有關於可能的攻擊者的資訊。
從哪裡得知情報?
得到了哪些重要的資訊?
然後呢?
有了這些情報後,「飛飛玩具」的資安團隊開始制定防禦策略。他們加強了員工的資安培訓,教他們如何識別偽造的電子信件。他們也升級了網站的安全系統,以防止攻擊者利用已知的漏洞。
透過持續的「收集威脅情報」,不僅能夠防禦目前的威脅,還能夠預測和應對未來的挑戰。這就像城堡的守衛,不僅要警惕現在的敵人,還要時刻準備應對新的威脅。
什麼是TTPs?
首先,TTPs是「策略、技巧和流程」的縮寫。這三個詞語描述了攻擊者如何行動。
為何要提取Procedure層級的TTPs?
當「飛飛玩具」公司收到有關網路威脅的報告時,這些報告可能不會提供具體的攻擊步驟。但如果他們知道了攻擊者確切如何行動,他們就可以模擬這些攻擊,測試並提高自己的防護措施。
比如說,如果報告只告訴「飛飛玩具」,攻擊者嘗試偷取資訊,那麼這家公司可能不清楚該如何防護。但如果他們知道攻擊者是透過發送偽造信件來騙取員工的密碼,那麼他們就可以加強員工的安全培訓,提醒他們不要輕易點擊信件中的連結。
理解 TTPs 的不同層級,尤其是 Procedure 層級,可以幫助「飛飛玩具」公司更具體、更有針對性地提高自己的網路安全防護。這就像知道小偷是透過哪扇窗戶進入的,這樣就可以加強該窗戶的防護措施。
當他們發現一些攻擊者喜歡透過偽造電子信件欺騙員工,那麼:
資安團隊試圖了解攻擊者的行為,實際上是在提取 TTPs,因為只有了解攻擊者的策略、技巧和流程,他們才能夠有效地進行防禦。
實際的資安工作中,當分析師從不同的資源中收集到相關情報後,他們會試圖將這些情報對應到某個框架(例如MITRE ATT&CK),這樣可以更系統地理解和分享這些情報。
當知道了攻擊者可能會用偽造的電子信件來試圖欺騙員工,就可以培訓員工識別這些欺騙技巧,並加強相關的技術防護措施,例如購買信件過濾系統,以阻止這些偽造的信件進入員工的信箱。
如何進行?
例如,攻擊者可能的策略是進入我們的電腦系統,技巧是透過偽造電子信件來欺騙員工,流程可能是寄送一封看起來像公司內部的信件,裡面含有惡意連結。
使用工具進行選擇:MITRE開發了一款叫做ATT&CK Navigator的工具,它可以幫助我們選擇攻擊者可能使用的技巧。這款工具像是一個大型的參考書,裡面記錄了各種可能的攻擊技巧。我們可以根據過去的情報來選擇相應的技巧,並根據實際情況進行調整。
製定行動計劃:有了這些情報後,我們就可以製定如何防禦的計劃。例如,如果我們知道攻擊者喜歡透過偽造電子信件來攻擊,我們就可以加強員工的培訓,讓他們識別這種信件。
飛飛玩具最近發現了一些不尋常的信件,這些信件看似都是由公司的管理階層發出。但仔細一看,裡面的內容都在誘使員工提供自己密碼。
策略 | 技巧 | 流程 | 情報參考 |
---|---|---|---|
Initial Access | 透過偽造電子信件欺騙員工 | 從社群平台上搜集飛飛公司員工的基本資訊,然後製作一封看似高層所寄的信件,裡面含有提供密碼的請求 | 來自公司的資安團隊 |
使用工具進行選擇:
製定行動計劃:
基於 TTPs 進行沙盤推演,根據前幾個步驟找到 TTPs,開始模擬:
分類TTPs
建立矩陣:製作一個表格,列出期望的結果和哪些團隊會看到這些活動。
編號 | 策略 | 技巧 | 參考手法 | 預期觀察到的 | 預期能看到的團隊 |
---|---|---|---|---|---|
測試案例 | 攻擊策略 | 使用的技巧 | 真實攻擊的指令 | 模擬攻擊時可能會看到的 | 資安團隊、Hunt Team、或事後調查團隊 |
策略 | 技巧 | 流程 | 情報參考 |
---|---|---|---|
Initial Access | 透過偽造電子信件欺騙員工 | 1. 在LinkedIn或其他社群平台上搜集公司高層和普通員工的資訊。2. 使用這些資料製作一封看似由高層所寄的信件,內容請求接受者提供自己的登入密碼。 | 來自公司的資安團隊 |
經過分析後,將偽造電子信件的攻擊手法分為以下三類TTPs:
編號 | 策略 | 技巧 | 參考手法 | 預期觀察到的 | 預期能看到的團隊 |
---|---|---|---|---|---|
1 | Initial Access | 社群平台搜集訊息 | 使用LinkedIn搜索飛飛玩具員工 | 攻擊者在LinkedIn上查詢員工的活動 | 情資收集團隊、Hunt Team |
2 | Initial Access | 偽造電子信件 | 使用特定工具製作偽造信件 | 系統監控到某些可疑的電子信件生成行為 | 資安團隊、情資收集團隊、Hunt Team |
3 | Initial Access | 請求員工提供密碼 | 透過偽造信件中的誘導連結或內容 | 員工報告可疑的電子信件或點擊率增加 | 資安團隊、事後調查團隊 |
這就像一場足球比賽。紅隊是進攻方,藍隊是防守方。比賽前,教練會研究對方的策略,並做好準備。當比賽開始,進攻方試圖進球,防守方則試圖阻止。過程中,教練會觀察球員的表現,並在比賽後給予指導和建議。這就是紫隊練習的過程。
https://github.com/scythe-io/purple-team-exercise-framework