2022年2月28日，MITRE Engage 團隊正式發(fā)布了 Engage V1 版本,。我們都非常了解MITRE ATT&CK框架,，但針對ATT&CK框架中的攻擊技術(shù)，防守方如何進行主動防御呢,？Engage 矩陣的推出給了我們很好的答案,。本文將介紹MITRE Engage的基本信息及如何將Engage進行落地實踐。

　　1. MITRE Engage介紹

　　1.1 詳解MITRE Engage矩陣結(jié)構(gòu)

　　Engage矩陣在縱向上被分為兩類活動：戰(zhàn)略活動和作戰(zhàn)活動,。

　　戰(zhàn)略活動：戰(zhàn)略活動（下圖黃色部分）是矩陣的基礎(chǔ),，確保防御者按照戰(zhàn)略規(guī)劃和分析推動作戰(zhàn)行動。此外,，戰(zhàn)略活動可以確保防御者收集了利益相關(guān)者（管理層,、監(jiān)管機構(gòu)等）的要求并確定了可接受的風(fēng)險。在整個行動過程中,，防御者將確保所有作戰(zhàn)都在這些定義的規(guī)則范圍內(nèi)進行,。

　　作戰(zhàn)活動：作戰(zhàn)活動（下圖中間部分）是傳統(tǒng)的網(wǎng)絡(luò)阻斷和欺騙活動，用于推動實現(xiàn)作戰(zhàn)目標(biāo),。

　　Engage矩陣在橫向上被進一步細(xì)分為目標(biāo),、方法和活動,。矩陣的頂部是Engage目標(biāo)，即用戶希望通過作戰(zhàn)能夠完成的高層次的結(jié)果,?！皽?zhǔn)備”和“理解”部分的重點是作戰(zhàn)的投入和產(chǎn)出。雖然矩陣是線性的,，但它應(yīng)該被看作是循環(huán)的,。隨著作戰(zhàn)的深入，用戶要不斷地調(diào)整作戰(zhàn)活動,，以推動作戰(zhàn)目標(biāo)的進展,。作戰(zhàn)目標(biāo)包括“暴露”、“影響”和“引出”,。這些目標(biāo)的重點是針對攻擊者采取的行動,。下一行是作戰(zhàn)方法，確保用戶朝著選定的目標(biāo)取得進展,。其余部分是作戰(zhàn)活動,，這些是在對抗作戰(zhàn)中使用的具體技術(shù)。

　　1.2 MITRE Engage與MITRE ATT&CK映射關(guān)系

　　當(dāng)攻擊者進行某項特定行為時,，他們很容易暴露出一些意想不到的弱點,。MITRE Engage研究了每項 ATT&CK 技術(shù)，來發(fā)現(xiàn)攻擊者的弱點并確定如何利用該弱點開展作戰(zhàn)活動,。將各項Engage 作戰(zhàn)活動與 ATT&CK技術(shù)映射起來,，可以確保 Engage 中的每項活動都是針對觀察到的攻擊者行為所開展的。

　　例如,，當(dāng)攻擊者進行遠(yuǎn)程系統(tǒng)發(fā)現(xiàn)的 ATT&CK 技術(shù) （T1018） 時,，他們很容易收集、觀察到欺騙性系統(tǒng)工件或信息,。因此，作為防守方,，我們可以使用誘餌讓他們暴露行蹤,，使用更多或更高級的能力對付攻擊者，并影響他們的駐留時間,。

　　對于給定的 ATT&CK 技術(shù),，MITRE Engage提供以下映射：

　　ATT&CK ID & Name——ATT&CK技術(shù)ID和名稱

　　攻擊者缺陷——攻擊者在進行特定行為時暴露的缺陷

　　作戰(zhàn)活動——防御者可以采取的行動來利用攻擊者暴露的漏洞

　　這些映射是一對多的關(guān)系（即單個 ATT&CK ID 可能對應(yīng)一個或多個不同的漏洞和作戰(zhàn)活動）。

　　1.3 Engage與傳統(tǒng)網(wǎng)絡(luò)阻斷,、網(wǎng)絡(luò)欺騙之間關(guān)系

　　防守者通常會使用縱深防御技術(shù),，來阻止攻擊者訪問網(wǎng)絡(luò)或關(guān)鍵資產(chǎn)。畢竟,，任何時候攻擊者能夠訪問一個新的系統(tǒng)或從網(wǎng)絡(luò)中滲出一些數(shù)據(jù),，他們就贏了,。但是魔高一尺道高一丈，例如,，當(dāng)防御者引入欺騙性技術(shù)時,，就能夠在一定程度上迷惑攻擊者，相關(guān)資產(chǎn)的不確定性能夠極大增加攻擊成本,。

　　那Engage與傳統(tǒng)網(wǎng)絡(luò)阻斷,、網(wǎng)絡(luò)欺騙之間有什么關(guān)系呢？如圖4所示：

　　網(wǎng)絡(luò)阻斷：是指阻止或以其他方式損害攻擊者開展行動的能力,。

　　這種破壞可能限制他們的作戰(zhàn)和收集行為,，或者降低攻擊者能力的有效性。

　　網(wǎng)絡(luò)欺騙：是指故意暴露欺騙性的資產(chǎn)或架構(gòu),，以誘導(dǎo)攻擊者,，同時隱瞞真實資產(chǎn)，以防止攻擊者采取進一步的行動,。

　　對抗作戰(zhàn)：是指在戰(zhàn)略規(guī)劃和分析的背景下,，綜合使用網(wǎng)絡(luò)阻斷和網(wǎng)絡(luò)欺騙就形成了對抗作戰(zhàn)的基礎(chǔ)。

　　根據(jù)MITRE官方內(nèi)容介紹,，對抗作戰(zhàn)的目標(biāo)包括：檢測網(wǎng)絡(luò)上的攻擊者,；獲取情報以了解攻擊者及其TTP；通過提高成本影響攻擊者,，同時降低其網(wǎng)絡(luò)行動的價值,。當(dāng)對抗作戰(zhàn)與縱深防御技術(shù)搭配使用時，防御者能夠主動地與網(wǎng)絡(luò)攻擊者“互動”,，以實現(xiàn)防御者的戰(zhàn)略目標(biāo),。

　　整個對抗作戰(zhàn)是一個不斷迭代的、目標(biāo)驅(qū)動的過程,，而不僅僅是技術(shù)堆棧的部署,，絕不是部署一個誘餌就能取得成功的。相反,，用戶必須認(rèn)真思考防御目標(biāo)是什么,，以及如何利用拒絕、欺騙和對抗作戰(zhàn)來推動這些目標(biāo)的進展,。

　　2. MITRE Engage矩陣入門實踐

　　通過上文,，我們已經(jīng)了解網(wǎng)絡(luò)阻斷、網(wǎng)絡(luò)欺騙和對抗作戰(zhàn)的概念,，接下來我們介紹如何將對抗作戰(zhàn)流程和技術(shù)整合到防御策略中,。我們會從研究Engage矩陣開始，這是開展對抗作戰(zhàn)策略的基礎(chǔ),。在討論和計劃網(wǎng)絡(luò)阻斷,、網(wǎng)絡(luò)欺騙和對抗作戰(zhàn)活動時,，Engage矩陣提供了一個共享參考，彌合了防御者,、安全廠商和決策者之間的差距,。其核心是，Engage矩陣讓防御者確定了對抗作戰(zhàn)目標(biāo),，然后根據(jù)這些目標(biāo)來確定他們的作戰(zhàn)活動,。

　　2.1 如何將Engage矩陣整合到企業(yè)網(wǎng)絡(luò)戰(zhàn)略中來

　　雖然我們已經(jīng)探索了如何實施Engage矩陣，但我們尚未研究如何在企業(yè)更大的網(wǎng)絡(luò)戰(zhàn)略背景下應(yīng)用該矩陣及對抗作戰(zhàn),。

　　針對防御者的目標(biāo)而言,，Engage 可以用來補充傳統(tǒng)的網(wǎng)絡(luò)防御策略。暴露,、影響和引出等作戰(zhàn)目標(biāo)本質(zhì)上不是欺騙性的,。可以想象得到,，很多企業(yè)已經(jīng)在按照這些目標(biāo)來組織企業(yè)的安全實踐了,。

　　雖然我們經(jīng)常將對抗作戰(zhàn)視為一種獨特的安全實踐，但最有效和最成熟的實施方式是將安全無縫集成到組織文化中,。正如培訓(xùn)員工養(yǎng)成良好的網(wǎng)絡(luò)運維習(xí)慣一樣,，企業(yè)必須培訓(xùn)員工將欺騙視為最佳實踐。有時,，人們把欺騙病態(tài)化了,，認(rèn)為欺騙本質(zhì)上是消極的、偷偷摸摸的和不誠實的,。但是,，Engage 認(rèn)為，防御者要將網(wǎng)絡(luò)阻斷和欺騙活動常態(tài)化,，將其視為常規(guī),、必要和智能的安全實踐。

　　2.2 Engage實踐的四要素

　　一次成功的對抗作戰(zhàn)活動可以分解為四個部分：故事敘述,、作戰(zhàn)環(huán)境,、監(jiān)控和分析。故事敘述是指用戶計劃向攻擊者描述的欺騙故事,。作戰(zhàn)環(huán)境是一套精心定制的、高度感知化的系統(tǒng),，需要根據(jù)每次作戰(zhàn)情況來設(shè)計,，作為故事敘述的背景。這些系統(tǒng)可以是完全隔離的,，也可以是集成到生產(chǎn)網(wǎng)絡(luò)中的,。監(jiān)控是指用于觀察攻擊者在環(huán)境中移動的收集系統(tǒng),。監(jiān)控對于在整個作戰(zhàn)中保持行動安全至關(guān)重要。最后,，分析是指用戶采取一些行動,，將行動的產(chǎn)出轉(zhuǎn)化為可操作的情報。連接所有這四個要素的紐帶就是作戰(zhàn)目標(biāo),，包括：暴露網(wǎng)絡(luò)上的攻擊者,、通過降低攻擊者的行動能力來影響攻擊者、和/或獲取情報以了解攻擊者的TTP,。下圖為開展對抗作戰(zhàn)行動時應(yīng)該圍繞這幾大要素考慮的問題,。

　　2.3 Engage實踐落地流程：收集、分析,、確認(rèn),、實施

　　對抗作戰(zhàn)行動應(yīng)該是一個根據(jù)新情況、新機會不斷迭代,、不斷改進和變化的作戰(zhàn)活動,。Engage矩陣旨在推動討論和規(guī)劃活動，而不是一刀切地涵蓋對抗作戰(zhàn)活動的所有情況,。MITRE Engage周期圖說明了Engage矩陣是如何在一次作戰(zhàn)過程中實施的,。

　　這個周期沒有確定的開始或結(jié)束，但在這個模型中,，我們首先要從采集器或Agent收集原始數(shù)據(jù),。這種收集與收集工具無關(guān)，只是指收集方法,，收集工具可以是Sysmon,、Auditd等，也可以是廠商提供的EDR等工具,。然后,，下一步是在現(xiàn)有CTI數(shù)據(jù)的背景下分析原始數(shù)據(jù)。在這里,，我們可以使用MITRE ATT&CK等工具,，對這些新數(shù)據(jù)進行背景分析。通過分析攻擊者的行動,，并將這些數(shù)據(jù)與過去的行為進行比較,，防御者可以了解攻擊者當(dāng)前的活動、甚至可以預(yù)測其未來的活動,。掌握了這些知識,，防御者可以使用 Engage矩陣來確定作戰(zhàn)機會，以達(dá)到防御目標(biāo)。

　　2.4對抗作戰(zhàn)實施：10步流程法

　　結(jié)合對抗作戰(zhàn)的四大作戰(zhàn)要素,，我們可以概括出對抗作戰(zhàn)行動的流程,。但企業(yè)通常無法有效規(guī)劃如何在其網(wǎng)絡(luò)中、以及在網(wǎng)絡(luò)的哪些位置進行網(wǎng)絡(luò)阻斷,、網(wǎng)絡(luò)欺騙和對抗作戰(zhàn)活動,。如前所述，對抗作戰(zhàn)是一個不斷迭代的,、目標(biāo)驅(qū)動的過程,，而不僅僅是技術(shù)堆棧的部署。為此,，MITRE Engage制定了 10 步流程法來幫助企業(yè),，將對抗作戰(zhàn)活動納入到網(wǎng)絡(luò)防御流程中。

　　10 步流程法對于資源有限或安全計劃不太成熟的組織尤其重要,。如果企業(yè)能夠明確定義作戰(zhàn)目標(biāo),，就可以緊密圍繞這些目標(biāo)有效縮小作戰(zhàn)范圍。所以,，即使是小型組織也可以在資源有限的情況下將對抗作戰(zhàn)整合到他們的防御策略中,！

　　“Engage 10步流程法”分為三類：準(zhǔn)備、作戰(zhàn)和理解,。在準(zhǔn)備階段,，用戶確定作戰(zhàn)目標(biāo)。然后,，用戶要構(gòu)建一個支持這一目標(biāo)的故事敘述,，為作戰(zhàn)環(huán)境的設(shè)計和所有的作戰(zhàn)活動提供參考。在這一階段,，用戶還可邀請任何利益相關(guān)者來確定可接受的風(fēng)險水平,。通過預(yù)先設(shè)定風(fēng)險水平，用戶就可以構(gòu)建清晰的作戰(zhàn)規(guī)則（RoE）,。監(jiān)控和分析能力應(yīng)足以確保作戰(zhàn)活動保持在這些范圍內(nèi),。在作戰(zhàn)階段，用戶要實施和部署他所設(shè)計的活動,。最后,，在理解階段，用戶可以把作戰(zhàn)產(chǎn)出轉(zhuǎn)化為可操作的情報,，以評估是否達(dá)到了作戰(zhàn)目標(biāo),。而且，這種評估有助于用戶進行經(jīng)驗總結(jié),，以便完善未來的作戰(zhàn)活動,。

　　步驟1：評估對攻擊者和組織的了解情況

　　孫子說,，知己知彼，百戰(zhàn)不殆,；不知彼而知己，一勝一負(fù),；不知彼,，不知己，每戰(zhàn)必殆,。

　　這句話在網(wǎng)絡(luò)作戰(zhàn)中也是正確的,。創(chuàng)建威脅模型來了解組織的風(fēng)險、漏洞和優(yōu)勢,，這是規(guī)劃有效的對抗作戰(zhàn)行動的基礎(chǔ),。在威脅模型中，防御者必須識別組織的關(guān)鍵網(wǎng)絡(luò)資產(chǎn),。同樣,，防御者應(yīng)該使用網(wǎng)絡(luò)威脅情報來了解威脅形勢。

　　步驟2：確定作戰(zhàn)目標(biāo)

　　在了解自己的優(yōu)勢,、劣勢和威脅的基礎(chǔ)上,，防御者應(yīng)該確定他們的作戰(zhàn)目標(biāo)。這些目標(biāo)應(yīng)反映已確定的優(yōu)先事項,。對于成熟的組織,，對抗作戰(zhàn)是組織戰(zhàn)略的核心支柱，這些目標(biāo)也應(yīng)該反映這個更大的戰(zhàn)略,。這些目標(biāo)應(yīng)該是具體的,、可衡量的行動，讓防御者能夠推動實現(xiàn)更大,、更具戰(zhàn)略性的目標(biāo),。在確定作戰(zhàn)目標(biāo)時，防御者還應(yīng)確定目標(biāo)攻擊者,，即某次作戰(zhàn)行動優(yōu)先針對的攻擊者,。可以出于多種原因選擇目標(biāo)攻擊者,。目標(biāo)攻擊者可能是過去以你的組織或與類似的組織為目標(biāo)的威脅,。目標(biāo)攻擊者也可以是威脅情報中存在差距的地方。無論出于何種原因,，有了目標(biāo)攻擊者,，都可以讓防御者集中注意力并優(yōu)先考慮作戰(zhàn)活動。

　　步驟3：確定你希望攻擊者作何反應(yīng)

　　現(xiàn)在,，防御者必須確定他們希望攻擊者在作戰(zhàn)期間作何反應(yīng),，以便朝著作戰(zhàn)目標(biāo)取得進展,。重要的是要記住攻擊者的想法和他們的反應(yīng)之間是有區(qū)別的。如果防御者只考慮他們認(rèn)為攻擊者會怎么想,，就很容易誤判攻擊者的反應(yīng),。這種不匹配可能導(dǎo)致攻擊者做讓防御者意外的反應(yīng)。

　　步驟4：確定你希望攻擊者感知到什么

　　現(xiàn)在防御者已經(jīng)確定了攻擊者應(yīng)該會作何反應(yīng),，接下來,，防御者就該考慮攻擊者應(yīng)該在環(huán)境中感知到哪些東西來支持實現(xiàn)作戰(zhàn)目標(biāo)了。這時,，防御者必須計劃好將哪些事實和虛假信息暴露給攻擊者,，應(yīng)該將哪些信息向他們隱藏起來。

　　步驟5：確定與攻擊者互動的渠道

　　在確定了攻擊者應(yīng)該作何反應(yīng)以及他們應(yīng)該感知到哪些事情之后,，防御者必須探索可用的手段來向攻擊者展示這種效果,。作戰(zhàn)環(huán)境和作戰(zhàn)故事敘述都可以充當(dāng)攻擊者被欺騙的渠道。

　　步驟 6：確定成功和把控標(biāo)準(zhǔn)

　　在規(guī)劃對抗作戰(zhàn)行動時,，防御者必須了解怎樣算是成功和失敗,。每次操作都存在風(fēng)險因素。通過設(shè)置可接受與不可接受風(fēng)險的明確界限,，防御者可以創(chuàng)建明確的把控標(biāo)準(zhǔn),，或觸發(fā)作戰(zhàn)活動結(jié)束與暫停的節(jié)點。這樣,，防御者可以避免在作戰(zhàn)過程中出現(xiàn)任何混亂,、事故或其他可預(yù)防的風(fēng)險。此外,，在觸發(fā)把控標(biāo)準(zhǔn)的情況下,，防御者應(yīng)確定明確的響應(yīng)行為，知道超出某些標(biāo)準(zhǔn)時應(yīng)該如何進行響應(yīng),。最后,，應(yīng)該清楚地了解作戰(zhàn)目標(biāo)是否成功完成。如果成功的定義不明確,，很容易因為作戰(zhàn)持續(xù)時間過長或忽視初始目標(biāo)而浪費資源,。

　　步驟7：執(zhí)行作戰(zhàn)行動

　　此時，作戰(zhàn)行動從計劃轉(zhuǎn)向執(zhí)行,。防御者實施計劃的作戰(zhàn)活動并開始積極與攻擊者作戰(zhàn),。接下來的步驟是分析，這些步驟不應(yīng)僅在達(dá)到預(yù)定把控標(biāo)準(zhǔn)后才考慮,，而是應(yīng)該不斷地分析作戰(zhàn)情況,，不斷迭代、優(yōu)化實施細(xì)節(jié),。在整個行動過程中,，防御者應(yīng)該不斷地循環(huán)規(guī)劃,、執(zhí)行和分析，促使作戰(zhàn)活動達(dá)到既定目標(biāo),。

　　步驟8：將原始數(shù)據(jù)轉(zhuǎn)化為可操作的情報

　　隨著行動的進行,，作戰(zhàn)的原始輸出結(jié)果應(yīng)提煉為可操作的情報，這可以確保作戰(zhàn)活動的結(jié)果對于防御者是有用的,。提煉情報的一種關(guān)鍵方法是使用數(shù)據(jù)分析,。通過數(shù)據(jù)分析，防御者可以將作戰(zhàn)期間收集的原始數(shù)據(jù)映射生成攻擊者的攻擊行為,。行為分析等自動化分析對于產(chǎn)生有意義的情報至關(guān)重要。在這一步驟中產(chǎn)生的情報可以酌情在組織內(nèi)部和外部共享,，并用于改善威脅模型和未來的防御活動,。

　　步驟9：反饋情報

　　從作戰(zhàn)中獲得的可操作情報必須反饋到現(xiàn)有威脅模型中，以便為未來的決策提供信息,。每次更新威脅模型時,，都必須重新審視利用原有情報做出的作戰(zhàn)決策。

　　步驟10：分析成功和失敗,，為未來的活動提供信息

　　每當(dāng)達(dá)到把控標(biāo)準(zhǔn)時,，就必須分析作戰(zhàn)中成功和失敗的地方。通過回顧,，團隊可以分析作戰(zhàn)中的事件,，確保朝著實現(xiàn)作戰(zhàn)目標(biāo)發(fā)展。這包括回顧規(guī)劃,、實施,、對抗活動和產(chǎn)生的影響。除了回顧作戰(zhàn)情況之外,，還要評估團隊和其他利益相關(guān)者的溝通和合作情況,。雖然這類審查應(yīng)在作戰(zhàn)行動結(jié)束時進行，但在長期作戰(zhàn)時,，應(yīng)定期進行,，這對于確保實現(xiàn)作戰(zhàn)目標(biāo)至關(guān)重要。