柳遵梁專欄：外部入侵生命周期管理

殺傷鏈流程圖

ATT&CK是MITRE公司在2015年提出的戰術知識庫，或者是TTP（戰術、技術和過程），可以很好地彌補殺傷鏈的高層抽象、IOC以及特征之間的高度落差，對於攻擊行為進行分類和特征化，讓攻擊防禦不再基於瑣碎的觀測點。IOC強調的是一個威脅點，TPP則強調一類威脅行為，並且實現了威脅行為的階段劃分。網絡威脅歸因始終是安全最重要的事宜之一，ATT&CK第一次讓用戶可以看懂網絡安全威脅。ATT&CK戰術庫進行了一定程度的分類和抽象，使其在一定程度上具備了防禦未知威脅（IOC）的能力。

ATT&CK 框架圖

網絡威脅框架（NTCTF）最新版本由NSA/CSS（美國國家安全局/美國中央安全局）在2018年11月發布，可以認為是由ODNI（美國國家情報主任辦公室）的CTF升級而來。NTCTF是一個基於ATT&CK重新構造的網絡威脅入侵過程模型，通過階段、目標、行為、關鍵短語4個層次來構建。NTCTF把入侵過程分為6個階段：行動管理、准備活動、接觸目標和進攻突防、持久化駐留潛伏、效果、持續支撐作業。每個階段都由目標、行為和關鍵短語來提供支撐。其中行為的核心支撐點就是ATT&CK戰術知識庫。

NTCTF框架圖

無論是殺傷鏈、ATT&CK還是NTCTF都非常龐大，本文無法展開。如需進一步了解，可以參見相應白皮書和報告。

入侵生命周期v1.0

美創科技為了更好地進行入侵檢測和防禦，參照各種安全威脅框架和自身的實踐與思考，提出了基於入侵生命周期的攻擊管理模型，作為美創新一代安全架構的三大支柱之一。

入侵生命周期v1.0把入侵過程劃分為7個階段：探索發現、入侵和感染、探索感知、傳播、持久化、攻擊和利用、恢複。入侵生命周期v1.0 同樣以ATT&CK作為基本戰術知識庫，匹配到不同的入侵階段。需要注意的是，並非所有的入侵都會經曆這7個階段，也沒有絕對的線性次序。

探索發現

在這個階段中，攻擊者會先鎖定攻擊對象，然後利用某些技術手段，盡可能多地獲取目標暴露出來的信息，如通過端口掃描、指紋探測等方式，發現敏感端口及版本信息，進而尋找攻擊點，為下一步入侵做准備。

入侵和感染

在這個階段，入侵者會根據“探索發現”階段所發現的重要信息，來對目標暴露出的攻擊面進行攻擊嘗試，在“探索發現”階段收集到的信息越多，攻擊對象所暴露的攻擊面也就越多，攻擊更易成功。

探索感知

入侵者在成功進入系統內部後，由於是首次進入所以會出現對內部環境不熟悉的情況，這時入侵者的動作一般會是對當前所處環境進行探索，摸清內部大致的網絡結構，常常伴隨著被入侵本機的敏感信息收集以及對內網大量的端口進行掃描，後續根據入侵者的目的進行下一步操作。

傳播

在此階段，入侵者根據上一階段在內網探索感知收集到的信息，選擇特定的攻擊手法。如若發現內部是域環境，入侵者可能會嘗試先攻破域控服務器，再傳播其他機器。若是工作組環境，可能會利用收集到的端口和服務信息，選擇特定漏洞進行批量掃描攻擊，來盡可能多地繼續獲得其他計算機的控制權。

持久化

入侵者在對資產進行惡意操作後，為了能夠減少再次連接的攻擊成本，方便下次進入，會進行“留後門”的操作，常見的後門如：建立計劃任務，定時連接遠程服務器；設置開機啟動程序，在每次開機時觸發執行特定惡意程序；新建系統管理員賬號等。這樣便於入侵者下次快速登錄並控制該系統。

攻擊和利用

者在此階段便會開始對目標資產進行惡意操作，按照入侵者意願，對能利用的數據進行竊取、利用；對操作系統、敏感文件進行破壞、刪除。所有的防禦手段都應該極力阻止入侵者進行到這一階段。

恢複

入侵者在執行所有的攻擊操作時，往往會在系統上留下大量的行為日志，因此在這一階段，入侵者會對記錄自身痕跡的所有日志進行處理，或刪除或混淆，從而消滅證據，逃避追蹤。

與殺傷鏈和網絡安全威脅框架（NTCTF）等威脅框架相比，美創科技入侵生命周期在主體上差異不大，但有兩個明顯特點：

對於探索性行為給予了更高的重視，提倡關注探索性行為的特征，將入侵盡可能地防禦在初始階段；

把資產作為堡壘嵌入到每一個階段之中，對每個入侵階段的關注點更多的是其涉及到的信息資產，而不僅僅是攻擊的利用手法。

零信任架構和入侵生命周期的緊密融合

入侵生命周期v 1.0與傳統的入侵模型最典型的差異化特征就是和零信任架構緊密融合，以資產為堡壘嵌入到每一個階段之中，以資產為錨定點展開攻擊行為體的檢測。

傳統上，無論是殺傷鏈、ATT&CK，還是NTCTF，都是以行為作為主要檢測點進行。由於行為的中性特征和無法預見性，在檢測中更多的是采用一種跟隨策略。在嵌入資產堡壘這個錨點之後，就建立起了一個個觀測點，可以近距離觀察入侵行為。特別是資產錨點是大部分入侵的主要目標，是入侵者在行進過程中無法繞行的堡壘。由於我們為每一個資產堡壘都建立起了明確的邊界和行為，從而使入侵者在這個堡壘點可以直接被觀測和響應。在美創零信任架構中，資產是被定義出來的，也就是軟件定義資產，從而使我們可以在入侵道路上設置各種不同類型的堡壘和觀測點。這些堡壘和觀測點可以是網絡、端口、命令、文檔、服務、應用程序、業務操作等。

在入侵檢測中，誘餌是被定義的重要的虛擬資產之一。與真正的實際資產相比，誘餌最大的優勢在於其易檢測性。誘餌由於和業務無關，我們可以在誘餌上配置最為完備的檢測措施，有足夠的時間來完成溯源、二次身份確認等各種高消耗工作。誘餌的另一個好處在於其風險行為的高度確定性，絕大部分作用於誘餌的行為幾乎都是有害的、與入侵相關的。

通過零信任架構和入侵生命周期的緊密融合，當入侵者在非定義資產上探索時，我們可以在堡壘對其進行觀測；當入侵者探索定義的資產堡壘時，我們可以在堡壘對入侵者進行驗證、標記，並進行防禦。