云计算在带来便利的同时,也带来了新的安全技术风险、*策风险和安全合规风险。
那么,如何设计云计算安全架构、如何保障云计算平台的安全合规、如何有效提升安全防护能力是需要研究的重要课题。
本文就先来介绍一下ATTCK云安全攻击模型。
01ATTCK定义ATTCK(AdversarialTactics,Techniques,andCommonKnowledge)是由MITRE公司在年推出的,包含对抗策略、技术和常识,是网络对抗者(通常指黑客)行为的精选知识库和模型,反映了攻击者攻击生命周期的各个阶段,以及已知的攻击目标平台。ATTCK根据真实的观察数据来描述和分类对抗行为,将攻击者的攻击行为转换为结构化列表,并以矩阵、结构化威胁信息表达式(StructuredThreatInformationeXpression,STIX)和指标信息的可信自动化交换(TrustedAutomatedeXchangeofIndicatorInformation,TAXII)的形式来表示。
由于此列表全面地呈现了攻击者在攻击网络时所采用的行为,因此它对各种具有进攻性和防御性的度量、表示和其他机制都非常有用。
从视觉角度来看,ATT&CK矩阵按照易于理解的格式将所有已知的战术和技术进行排列。
攻击战术展示在矩阵顶部,每列下面列出了单独的技术。
一个攻击序列至少包含一个技术,并且从左侧(初始访问)向右侧(影响)移动,这样就构建了一个完整的攻击序列。一种战术可能使用多种技术,如攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼邮件和钓鱼链接。
ATT&CK战术按照逻辑分布在多个矩阵中,并以“初始访问”战术开始,如发送包含恶意附件的鱼叉式网络钓鱼邮件就是该战术下的一项技术。
ATT&CK中的每一种技术都有唯一的ID号码,如技术T。矩阵中的下一个战术是“执行”,在该战术下有“用户执行T”技术,该技术描述了在用户执行特定操作期间执行的恶意代码。在矩阵后面的阶段中,你将会遇到“提升特权”“横向移动”和“渗透”之类的战术。
攻击者不会使用矩阵顶部所有的12项战术,相反,他们会使用最少数量的战术来实现目标,因为这可以提高效率并且降低被发现的概率。
例如,攻击者使用电子邮件中传递的鱼叉式网络钓鱼链接对CEO行*助理的凭证进行“初始访问”,在获得管理员的凭证后,攻击者将在“发现”阶段寻找远程系统。接下来可能是在Dropbox文件夹中寻找敏感数据,因为管理员对此也有访问权限,因此无须提升权限。最后攻击者通过将文件从Dropbox下载到计算机来完成收集。
02ATTCK使用场景在各种日常环境中,ATT&CK都很有价值。当开展防御活动时,可以将ATT&CK分类法作为预判攻击者行为的参考依据。ATT&CK不仅能为网络防御者提供通用技术库,还能为渗透测试和红队提供基础,即通用语言。组织可以以多种方式来使用ATT&CK,下面是一些常见的场景。1.对抗模拟
ATT&CK可用于创建对抗性模拟场景,对常见对抗技术的防御方案进行测试和验证。
2.红队/渗透测试活动
攻防双方的渗透测试活动的规划、执行和报告可以使用ATT&CK,为防御者和报告接收者提供一种通用语言。
3.制定行为分析方案
ATT&CK可用于构建和测试行为分析方案,以检测环境中的对抗行为。
4.防御差距评估
ATT&CK可以用于以行为为核心的常见对抗模型中,以评估组织内现有防御方案中的工具、监视和缓解措施。
在研究ATT&CK时,大多数安全团队都倾向于为Enterprise矩阵中的每种技术尝试开发某种检测或预防控制措施。虽然这并不是一个坏主意,但是ATT&CK矩阵中的技术通常可以通过多种方式执行。因此,阻止或检测执行这些技术的一种方法并不一定意味着涵盖了执行该技术的所有可能方法。
由于某种工具阻止了用另一种形式来采用这种技术,而组织机构已经适当地采用了这种技术,这可能会产生一种虚假的安全感。这时,攻击者仍然可以采用其他方式来采用该技术,但防御者却没有任何检测或预防措施。
5.SOC成熟度评估
ATT&CK可作为一种度量,确定SOC在检测、分析和响应入侵方面的有效性。
SOC团队可以参考ATT&CK已检测或未涵盖的技术和战术,这有助于了解防御的优势和劣势并验证缓解和检测控制措施,以便发现配置错误和其他操作问题。
6.网络威胁情报收集
ATT&CK对网络威胁情报很有用,因为ATT&CK是在用一种标准方式描述对抗行为,是根据攻击者利用的ATT&CK技术和战术来跟踪攻击主体。
这就为防御者提供了一个路线图,以便他们可以对照操作控制措施,针于某些攻击主体查看自己的弱点和优势。针对特定的攻击主体创建ATT&CK导航工具内容,是一种观察环境中攻击主体或团体的优势和劣势的好方法。
ATT&CK还可以为STIX和TAXII2.0提供内容,从而很容易地将支持这些技术的现有工具纳入其中。
03AWSATTCK云模型随着云计算平台的快速发展,对云基础设施的攻击也显著增加。年AWS针对云攻击推出了AWSATTCK云模型,下面针对云攻击模型的攻击战略和战术,以及防护和缓解措施做详细的介绍。1.初始访问
攻击者试图进入你的网络。
初始访问是使用各种入口向量在网络中获得其初始立足点的技术。
其用于立足的技术包括针对性的鱼叉式欺骗和利用面向公众的Web服务器上的安全漏洞获得的立足点,例如有效账户和使用外部远程服务等。
攻击者通过利用面向互联网的计算机系统或程序中的弱点,产生破坏行为,这些弱点可能是错误、故障或设计漏洞等。
这些应用程序通常是指网站,但也包括数据库(如SQL)、标准服务(如SMB或SSH),以及具有Internet(因特网)可访问开放套接字的任何其他应用程序,如Web服务器和相关服务。
如果应用程序托管在基于云的基础架构上,则对其使用可能会导致基础实例受到损害,如使对手获得访问云API或利用弱身份和访问管理策略的路径。
对于网站和数据库,OWASP(OpenWebApplicationSecurityProject,开放式Web应用程序安全性项目)公示的前十大安全漏洞和CWE(CommonWeaknessEnumeration,常见弱点枚举)排名前25位,突出了最常见的基于Web的漏洞。
2.执行
执行策略是使攻击者控制的代码在本地或远程系统上执行的技术。
此策略通常与初始访问结合使用,作为获得访问权限后执行代码的手段,以及横向移动以扩展对网络远程系统的访问权限。
有权访问AWS控制台的攻击者可以利用API网关和Lambda创建能够对账户进行更改的后门,那么一组精心设计的命令就会触发Lambda函数返回角色的临时凭证,然后将这些凭证添加到本地AWSCLI(AWSCommand-LineInterfoce,AWS命令行界面)配置文件中来创建恶意用户。
3.持久性
对手试图保持立足点。
持久性是指攻击者利用重新启动、更改凭证等手段对系统访问的技术组成。攻击驻留技术包括任何访问、操作或配置更改,以便使它们能够在系统内持久隐藏,例如替换、劫持合法代码或添加启动代码。
AmazonWebServiceAmazonMachineImages(AWSAMI),GoogleCloudPlatform(GCP)映像和Azure映像,以及容器在运行时(如Docker)都可以被植入后门以包含恶意代码。如果指示基础架构配置的工具始终使用最新映像,则可以提供持久性访问。
攻击者已经开发了一种工具,可以在云容器映像中植入后门。如果攻击者有权访问受感染的AWS实例,并且有权列出可用的容器映像,则他们可能会植入后门,如WebShell。攻击者还可能将后门植入在云部署无意使用的Docker映像中,这在某些加密挖矿僵尸网络实例中已有报道。
4.提升权限
攻击者可以使用凭证访问技术窃取特定用户或服务账户的凭证,或者在侦察过程的早期通过社会工程来获取凭证以获得初始访问权限。
攻击者使用的账户可以分为三类:默认账户、本地账户和域账户。
默认账户是操作系统内置的账户,如Windows系统上的Guest和Administrator账户,或其他类型的系统、软件、设备上的默认工厂或提供者设置账户。
本地账户是由组织配置的账户,供用户远程支持、服务或在单个系统或服务上进行管理。
域账户是由ActiveDirectory域服务和管理的账户,其中为跨该域的系统和服务配置访问权限。域账户可以涵盖用户、管理员和服务。
受损的凭证可能会用于绕过放置在网络系统上各种资源的访问控制,甚至可能会用于对远程系统和外部可用服务(如VPN,OutlookWebAccess和远程桌面)的持久访问。
受损的凭证也可能会增加攻击者对特定系统或访问网络受限区域的特权。攻击者可能不选择将恶意软件或工具与这些凭证提供的合法访问结合使用,以便更难检测到它们的存在。
另外,攻击者也可能会利用公开披露的私钥或被盗的私钥,通过远程服务合法连接到远程环境。
在整个网络系统中,账户访问权、凭证和权限的重叠是需要