来源:https://www.mitre.org/sites/default/files/publications/pr-15-2592-overview-of-mitre-cyber-situational-awareness-solutions.pdf
2015年5月18日北约通信和信息局(NATO Communications and Information Agency (NCIA) Request for Information (RFI),NCIA)信息请求(RFI) (CO-14068-MNCD2)[1]寻求一种多国网络防御态势感知(cyber defense situational awareness ,CDSA)能力。虽然MITRE不是一个商业工具供应商,但是我们的研究已经开发了一系列技术解决方案,这些技术解决方案将使任何CDSA工具包受益。本文档描述了MITRE技术解决方案,可以利用它来启用或支持整个北约CDSA解决方案。在某些情况下,技术解决方案是标准化工作,支持CDSA关键方面的信息共享。在其他情况下,解决方案是原型工具,可以转换到政府实体或商业供应商。特定的NCIA RFI CDSA use案例被用于根据总体CDSA需求确定MITRE能力的方向。需要注意的是,MITRE的大部分工作都集中在主要RFI场景“Oranjeland APT”中描述的解决方案上。这些工具是根据定义良好的需求和需求进行评估和获取的。它们使用聚合工具集成到更高级别的CDSA视图,比如安全信息和事件管理(SIEM)以及日志管理产品或自定义开发的数据处理管道。
NCIA RFI根据CDSA解决方案满足三个场景中35个用例的能力来定义CDSA解决方案。这些场景提供了对RFI寻求的操作和业务需求的深入了解。对CDSA需求采取更高级别(战略和战术)的观点也很重要。从技术解决方案带来的变革效益的角度考虑技术解决方案,有助于坚定地关注“大局”。操作用例和场景然后处理高层次战略/战术方向实例化的特定关注点。在我们对CDSA的MITRE技术解决方案(面向战略和战术利益)的讨论中,我们指出了每个解决方案如何处理操作用例。
一套全面的CDSA功能包括四个核心领域:
1.威胁分析(Threat Analysis ——理解和跟踪威胁场景和参与者,以及他们使用的战术、技术和程序(TTPs)。
2.依赖和影响分析(Dependency & Impact Analysis——理解任务和资产之间的相互依赖关系,以识别弹性弱点和推断任务影响。
3.替代方案的分析(Analysis of Alternatives,AoA)——确定潜在的行动路线(Courses of Action,CoAs)和其他威胁缓解措施,探索有效的重构方法,并评估架构现代化的影响。
4.新兴解决方案(Emerging Solutions——继续推进实践状态,提供新的解决方案,填补关键空白。
在MITRE,我们相信利用现有的COTS工具进行网络防御态势感知。许多优秀的产品都具有处理大多数企业工作负载的灵活性和可伸缩性。挑战在于根据特定的部署环境调整每个产品以获得最大的实用价值。虽然有许多成功的案例和事例来为我们自己(保护MITRE)和我们的赞助商利用COTS产品,但是MITRE在这一网络安全领域的大部分研究和开发集中在剩下的三种CDSA能力上:威胁分析、依赖关系和影响分析,以及替代方案的分析。总的来说,有十个MITRE的努力可以为北约/NCIA CDSA提供直接的好处。七个工作直接支持三个CDSA功能中的一个,另外三个是实验性CDSA工作,它们采用不同的方法来解决CDSA问题。表1和图2提供了这十个MITRE工作的概述。本文件的其余部分侧重于描述每项努力及其对北约CDSA的好处。描述包括工作的概述以及任何相关的屏幕截图或图表。
一、令人激动的例子
以下示例基于北约CDSA RFI[1]中定义的主要场景:国家Appelestan得到北约领导的RATM联盟的支持,同时他们在独裁者下台后重建一个稳定的政府。敌对国家Oranjeland有兴趣了解RATM联盟使用的技术和情报能力。Oranjeland的目的是利用隐蔽的技术来渗透网络和窃取信息,以避免被发现。
为了提供使用的环境,我们提供了一个激动人心的示例,将主要CDSA RFI用例中使用的MITRE功能联系在一起(具体功能和附加功能已用斜体突出显示):
RATM网络操作中心(NOC)的网络管理员使用新收到的关于新对手行动TTP的CRITs指标。这些致命一击威胁指标是使用STIX和TAXII威胁共享标准从几个北约成员国的国家石油公司收到的。通过交叉引用那些指示——ATT&CK自定义应用层协议命令和控制技术的指示器,他注意到反病毒程序没有检测到的异常网络活动出现在北区域司令部(RC-N)的服务器上,这表明高级持久威胁(APT)的存在。
他联系了北约网络安全行动(CSOps),后者创建了一张事故票据。CSOps使用CyGraph进行一系列的初始调查,并将其识别为一个集成的命令和控制系统(ICC)服务器。CJA 指出,这是许多区域特派团所需要的关键资产。他们将所有相关信息和选项整理成一份报告,然后与综合危机和运营管理中心(CCOMC) Cybercell (CCC)取得联系。他们使用TARA来执行AOA和FACT来将建议置于整个任务环境中,建议断开ICC服务器以中断APT的行动路线。CCC使用CYCS来确定计划中的任务将受到此缓解的影响。然后,CCC使用AMICA评估断开服务器的更广泛影响,例如,计划停机与任务需求,可用的网络防御资源,APT的潜在任务影响(如数据泄漏)。
图3演示了此示例的信息流和相关的MITRE解决方案。
STIXTM (Structured Threat Information eXpression, STIX)是一种针对网络威胁信息的标准化语言。STIX[2]提供“富有表现力、灵活、可扩展、可自动化和可读的网络威胁信息的结构化表示”。STIX支持跨组织、社区和产品/服务边界共享全面、丰富、“高保真”的网络威胁信息。
STIX扩展了简单的指标共享,使更有表现力的指标集以及其他全频谱网络威胁信息的管理和交换成为可能。
虽然有一个标准化的威胁语言是有益的,但真正的价值是通过威胁共享实现的。TAXIITM(可信的自动指标信息交换)定义了一种用于共享STIX威胁指标的自动信息交换服务。TAXII[3]允许“跨组织和产品/服务边界共享可操作的网络威胁信息”。TAXII定义用于交换网络威胁信息的服务、协议和消息,以检测、预防和缓解网络威胁……TAXII增强了组织对新出现的威胁的态势感知能力,使组织能够轻松地与他们选择的合作伙伴共享他们选择的信息,同时使用单一的公共工具集。”
准确和最新的威胁情报信息对于识别威胁以及分析系统架构的潜在弱点至关重要。CDSA解决方案应该将收集的实时态势感知、系统和任务模型以及威胁分析联系起来。STIX实际上是交换威胁指标的标准化表示,支持CDSA补充工具的使用(CDSA RFI用例UC09)。TAXII支持STIX指标的简单、跨域共享和聚合,允许CDSA通过从所有可访问的TAXII端点提取威胁数据来支持RFI用例UC35。STIX已经在几个商业产品中实现,并被美国国防部(DoD)的许多客户使用,以及MITRE的许多态势感知和网络防御努力。根据美国总统奥巴马2015年2月的一项行政命令,TAXII将被用来连接美国政府网络运营中心,以促进网络安全信息共享[4]。STIX和TAXII采纳者的部分列表可以在http://stixproject.github.io/supporters/#products-and-services找到。
MITRE和STIX/TAXII在最近的网络训练演习中扮演了关键角色,该演习被称为cyber Yankee (http://www.thenationsfirst.org/cyber-training-unit es-new-england.html)。这次活动汇集了来自新英格兰地区(6个州)的美国陆军国民警卫队网络防御小组,并得到许多联邦政府机构的支持,包括国土安全部、联邦紧急事务管理署、联邦调查局和美国特勤局。在这些演习中,MITRE帮助规划场景并训练团队利用STIX/TAXII获取威胁信息。这种结构化的语言为情报分析员组织和协调他们对不断演变的威胁的理解提供了一个共同的框架。MITRE队的一名成员因他在这些演习中,特别是在STIX/TAXII训练中所起的作用而获得一枚纪念币。
“我多年来一直在国家和地区层面参与网络演习,”曾任“网络扬基”主任和美国国防部国家演习规划小组成员的新罕布什尔陆军国民警卫队伍迪·格罗顿中校说。“我从来没有见过情报在锻炼中得到更好的整合。这是所有其他国家效仿和发展的榜样。”
截至2015年7月,MITRE已将STIX和TAXII工作的监管权移交给网络威胁情报(CTI)技术委员会[5]下的结构化信息标准推进组织(OASIS)。OASIS是一个国际公认的标准化组织,它将允许更广泛地访问STIX和TAXII。
二、对抗战术、技术和常识(ATT &CK™)
对抗战术、技术和常识(Adversarial Tactics, Techniques, and Common Knowledge,ATT&CK™)[6]是一个MITRE开发的框架,用于建模和分类高级持久威胁(APT)的利用后动作。ATT&CK模型可用于更好地描述访问后的敌对行为。它既扩展了网络防御者的知识,又通过详细描述初始后访问(后利用和植入)战术、技术和过程(TTP)高级持久威胁(APT)来帮助确定网络防御的优先级。
最新版本的ATT&CK将开发后的APT TTPs分为9类。ATT&CK确定了95种不同的APT技术,它们与9个类别中的一个或多个相关。图4提供了这些映射的概述。最新的ATT&CK版本可以在https://attack.mitre.org找到。
ATT&CK提供了一个与北约CDSA RFI用例UC25一致的元标准,使操作员能够对威胁指标进行分类和跟踪,并根据潜在的行动路线(CoAs)对其进行映射。最明显的方法是通过适当的ATT&CK技术和类别识别来补充STIX指标信息。通过将关联的ATT&CK信息存储在CDSA中,网络防御者可以对实时信息进行更广泛的分析。例如,他们可以搜索ATT&CK横向移动技术的所有实例<https: attack.mitre.org="" wiki="" lateral_movement=""> ,而不是尝试查询所有的at.exe和psexec。这不仅对监控和检测APT后利用活动的序列很有用,而且对支持AoA和识别防御来对抗整个APT行为类别也很有用。
ATT&CK在过去的几年里不断改进,以支持MITRE的内部研究和美国国防部的各种赞助项目。虽然还没有完成,但它已经被证明是一个非常宝贵的威胁分类框架,用于识别传感器和检测漏洞,以及开发AoA弹性方法和对策。
三、威胁协作研究(CRITs)
威胁协作研究(Collaborative Research Into Threats,CRITs)是一个可扩展的协作防御恶意软件和威胁数据的平台。CRITs结合了多种自由开源软件(FOSS)解决方案,为从事威胁防御的分析师和安全专家创建了一个统一的工具。自2010年以来,它一直处于开发阶段,目标只有一个:为安全社区提供一个灵活、开放的平台,用于分析和协作威胁数据。通过使CRITs免费和开源,(CRITs)可以为世界各地的组织提供快速适应不断变化的威胁环境的能力。”
CRITs框架是一个开源项目,网址是:http://crits.github.io/
一旦CRITs被安装和配置,它可以被手动填充或者与其他共享威胁的伙伴连接。首选的输入和协作格式是通过使用CRITs TAXII服务来共享STIX格式的威胁指示器。这些指标可以根据相关的ATT&CK技术进一步分类。图5显示了一个未填充的CRITs仪表板,它允许操作员快速识别最近流行的恶意软件、后门、指示器和APT活动。
CRITs支持北约CDSA RFI用例UC25(监视特定威胁)和UC29(根据资产查看历史事件),通过提供一个单一接口,CDSA可以通过该接口获取威胁情报仓库。这些数据包括威胁行动者、行动指示器、APT工具、恶意软件和其他APT TTP情报,CDSA可以利用这些信息来补充传统的漏洞分析和对备选方案(AoA)优先级的影响分析。CRITs支持STIX和TAXII开箱即用,并且可以很容易地扩展为使用ATT&CK技术和类别属性标记威胁信息。
CRITs是由MITRE的内部信息安全团队开发的,用于解决威胁情报跟踪的需求。自那以来,它已被多家美国赞助商用于其网络运营团队。核心CRITs平台作为自由/开源软件提供给更大的网络情报界,并被多个研究人员和组织评估和使用。
四、皇冠珠宝分析(CJA)
MITRE的王冠宝石分析(Crown Jewels Analysis ,CJA)[8]是一个过程和相应的工具集,用于“识别那些对完成一个组织的使命至关重要的网络资产”。
CJA创建一个依赖关系图(图6)来帮助理解什么是最重要的——从系统开发开始,一直到系统部署。依赖关系图从确定任务和分配相对优先级开始。从那里,依赖关系通过运营任务和系统功能流向网络资产。这些依赖关系定性地表示为失败或降级的子节点对父节点的影响,并提供了最小化主观性的规定。通过一个完整的模型,CJA可以根据每个父/子逻辑语句的实现来预测网络资产失效/降级的影响,跟踪潜在的影响,并将其上升到高级使命任务和目标。
CJA支持北约CDSA RFI用例UC01、UC03、UC06和UC19,用于网络资产的识别、导航和聚合。CDSA需要某种依赖地图来关联任务、数据流和网络资产。CJA提供了这样一个模型以及基于高阶关联(如任务或操作优先级)的“卷起”网络资产临界性的方法。CJA模型也可以倒置(图7),允许CDSA识别事件的潜在任务影响,并对分析进行优先排序。其他信息,比如TARA提供的信息,可以用来补充这些信息,包括威胁优先级和缓解可用性。
CyCS和TARA都利用了CJA方法。CJA被美国国防部用于采购计划,以满足保护作战能力时关键任务功能的要求。它还被应用于战场武器系统,以及桌面(假设)系统,演示了灵活的方法如何应用于不同的系统生命周期阶段。CJA也被用于基础设施和SCADA系统分析,就像它的前身RiskMAP[9]一样。总的来说,CJA已经应用于10个不同的系统,包括一个外国(非美国)军事客户。
五、网络指挥系统
网络指挥系统(Cyber Command System,CyCS)[10]是MITRE的概念验证网络态势感知工具。“CyCS”通过使任务操作映射到支持这些任务的网络操作,以实现改进网络空间任务保障的目标。该工具通过态势感知和影响分析提供任务影响评估。CyCS通过漏洞、威胁和后果管理来解决高度分布式企业系统的任务保障挑战。
CyCS在其设计中遵循著名的观察-定向-决策-行动(OODA)循环。它的监视子系统观察网络环境,包括信息源、集合管理、信息产品存储/检索、图形显示和报告等模块。分析子系统通过模块引导作战人员进行警报、自动化和特别分析,以及态势“案例”管理。决策支持子系统帮助作战人员做出明智的决策,包括用于指导、授权、计划和订单管理的模块。任务子系统通过资源准备和分配、任务队列管理和路由以及执行监视模块帮助操作员采取行动。
虽然CyCS的概念证明并不是一个完整的CDSA解决方案,但它确实满足了大部分高水平的北约CDSA RFI用例,包括UC01、UC03-UC07、UC09-UC12、UC23、UC24、UC26和UC27。CyCS为资产和任务相关性提供了主要的总体视图。假设资产位于地理位置,CyCS可以与地理空间工具(如谷歌Earth)互操作,根据其地理位置查看事件和资产。由于CyCS最初是作为一个模块化的知识管理解决方案开发的,所以它可以作为一个单独的权威数据源(UC10),可以方便地导入新的数据源,与补充工具交互(UC09),或者创建新的可视化(UC26)。可以通过将CyCS与TARA集成来满足额外的用例,从而为AoA (UC08)提供在CyGraph中所见的特定威胁(UC25)上下文中进行分析的CRITs。
MITRE有多个正在进行的活动,通过CyCS展示先进的网络安全能力。这包括与各个级别的作战人员的交战,如国家级司令部、美国作战司令部、个别机构和各种武装部队内部。
六、威胁评估及补救分析(TARA)
威胁评估和补救分析(Threat Assessment and Remediation Analysis,TARA)解决方案定义了一种用于评估网络体系结构以识别网络漏洞和评估对抗有效性的方法。TARA评估方法[12]被描述为“联合贸易研究,其中第一个贸易根据评估的风险确定和排列攻击向量,第二个贸易根据评估的效用和成本确定和选择对策。(TARA)方法的所有方面包括使用目录存储的缓解映射,为给定攻击矢量范围预先选择合理的对策,以及使用基于风险承受能力水平规定对策应用的对策选择策略。”
TARA使用图9中所示的三步评估方法。第一步是知识管理(KM)。KM提供用于评估每个系统体系结构的外部威胁向量和对抗信息的最新目录。下一步是在目标架构上执行网络威胁敏感性分析(CTSA)。CTSA利用CJA以及CRITs和STIX定义来识别系统架构中的漏洞。CTSA生成一个漏洞矩阵,用于最后一步——网络风险补救评估(CRRA)。CRRA将这个矩阵与KM对抗知识相结合来开发剧本。TARA playbook为评估的体系结构提供了优先级的对策和备选CoAs列表,可以根据风险、成本或进度约束进行调整。
TARA满足北约CDSA RFI用例UC08和UC27,通过生成和选择优先的CoA选项,为CDSA提供可选分析(AoA)。这为CDSA操作员提供了改进的决策支持,方法是考虑威胁向量和已知对策或CoAs等细节。生成的TARA备选方案剧本提供了额外的灵活性,允许用户根据外部标准(如可用资源或时间敏感操作或后勤复杂性的时间表约束)调整备选方案。然而,TARA AoA的结果只取决于它提供的知识。由于这个限制,TARA使得使用STIX或CRITs填充攻击向量信息变得很容易,并且可以利用CJA和CyCS来建立系统和任务依赖模型。
MITRE已经用TARA评估了几十个美国国防部的项目。虽然配套的TARA工具和目录没有公开,但[12]中描述的底层方法仍然可以作为北约CDSA的一部分实现。
七、新兴CDSA解决方案
网络威胁联邦分析(事实)
联邦网络威胁分析(FACT)[15]是麻省理工学院资助的一项研究工作,旨在建立一个针对架构评估和事件响应平台的CDSA。传统的CDSA能力,包括为北约CDSA RFI[1]指定的能力,侧重于网络防御者的实时或接近实时的态势感知,而FACT被设计用于支持系统工程、恢复和重新架构流程,这些流程是事件响应或获取所需的。
FACT将其他MITRE工作(包括CRITs、TARA和CyCS)的功能组合到一个事后分析和事件响应平台中(图10)。网络威胁情报来源包括威胁指标,威胁行动者,和行动入侵集出口从CRITs使用STIX。这些信息与CyCS的系统和任务模型相结合来开发一个TARA剧本。本剧本包含了对潜在事件响应的可选行动路线(CoAs)的选择。
虽然FACT针对的是与北约RFI CDSA不同的一组用例,但北约仍然可以利用FACT及其概念来支持CDSA RFI用例UC08和UC27。FACT可以直接集成为事件响应管理器,也可以用来构建实时的AoA能力和对策评估平台。此外,事实证明,支持CDSA所需的数据对于支持事件响应或获取所需的工程、恢复和重新架构流程也很有用。
八、CyGraph:用于网络攻击映射的大数据分析
CyGraph是一项新兴的MITRE工作,专注于实时网络态势感知,将孤立的数据和事件整合到一个持续的整体图景中,以支持决策和态势感知。CyGraph[13]是一个用于“网络战分析、可视化和知识管理……它帮助在关键任务资产的上下文中单独或联合对暴露的漏洞进行优先排序”的工具。面对实际的攻击,CyGraph为关联入侵警报并将其与已知的漏洞路径进行匹配提供了上下文环境,并为响应攻击提供了最佳的行动方案。对于攻击后的取证,[CyGraph]提出了可能需要更深入检查的脆弱路径。”
CyGraph构建了一个攻击图模型,该模型映射了通过网络的潜在攻击路径。这包括可能有助于攻击成功的任何网络属性,如网络拓扑、防火墙规则、主机配置和漏洞。动态演化的攻击图提供了适当响应攻击和保护关键任务资产的上下文。CyGraph然后接收网络事件,如入侵检测警报和其他传感器输出,包括包捕获。它还合并任务相关性,显示任务目标、任务和信息如何依赖于网络资产。
总的来说,CyGraph是最类似于北约CDSA RFI的MITRE能力。由于CyGraph建立在其他工作的基础上,包括CyCS和CJA, CyGraph能够通过实时传感器和攻击路径分析来补充它们的任务依赖能力,为CDSA RFI用例UC13 (Monitor network)和UC15 (Fuse data)提供支持。CyGraph还为UC04、UC11、UC12和UC26提供了一些可视化和视图选项。
九、网络行动任务影响分析(AMICA)
分析网络行动的任务影响(AMICA)为理解网络攻击的任务影响提供了一种新兴的轻量级CDSA能力。AMICA结合了过程建模、离散事件模拟、基于图形的依赖性建模和动态可视化。这是两种研究方向的新汇合:过程建模/仿真和自动攻击图生成。
AMICA捕获用于建模使命任务以及网络攻击者和防御者TTPs的过程流。脆弱性依赖图映射了网络攻击路径,任务依赖图定义了映射到网络资产的从高到低的任务需求层次。通过仿真得到的集成模型,AMICA根据基于任务的度量对各种任务和威胁场景的影响进行了量化。仿真的动态可视化(通过CyGraph)提供了对网络战动态的更深入的理解,以便在模拟冲突的上下文中实现态势感知。
战争需要把来自不同来源的不同层次的信息汇集在一起。在底层,网络拓扑结构、防火墙策略、入侵检测系统、系统配置、漏洞等都起到了一定的作用。AMICA将这些组合成一个更高级别的攻击图模型,该模型显示了漏洞的传递路径。它还将网络资产映射到任务需求(通过CyCS),并捕获从低级需求到适合决策制定的高级需求的依赖关系。因为任务需求是高度动态的,所以AMICA捕获任务流的时间依赖模型。网络攻击和防御同样是动态的,也被捕获在模拟网络活动任务影响的AMICA流程模型中。
在北约CDSA RFI用例的上下文中,AMICA继承了CyGraph的所有能力,并额外满足了UC21的培训和模拟要求。AMICA流程模型可用于模拟威胁场景,允许操作员评估潜在的任务影响和AoA有效性。操作员可以模拟各种CoA对策的效果,调整时间和成功率等变量,以选择更适合给定环境或场景的对策。
虽然一个新兴的能力,AMICA已经通过一个案例研究表明与国防部操作员在现实世界的动力学任务。AMICA被用来建模、模拟和量化网络攻击对目标任务的影响,针对目标开发过程的不同阶段使用不同的攻击场景。
总结
MITRE拥有深厚的系统工程经验和广泛的技术解决方案,这将有利于任何先进的网络态势感知工具包。在战术和战略层面,这些解决方案包括威胁情报,以了解和跟踪威胁情景和威胁行动者TTPs;分析任务组件和网络资产之间的依赖关系和网络威胁的潜在任务影响;分析威胁缓解、响应/重构方法和体系结构现代化的备选方案。在MITRE也有广泛的正在进行的研究,正如我们对CDSA关键问题的新解决方案所展示的那样。对于更多的操作用例,MITRE在利用COTS工具并将它们与我们的战术/战略解决方案结合方面取得了很大的成功。
