基于ATTamp;CK的入侵检测与防御体系建设实践.docxVIP

基于ATTCK的入侵检测

与防御体系建设实践

0前言

当今时代，随着数字化转型的推进和云计算技术的普遍应用，进入了开源和云原生时代。在这个时代背景下，开源组件和云原生技术得到广泛应用，并且已成为软件应用系统快速开发、发布部署和持续运营的必要条件。据中国信息通信技术研究院统计，软件应用中开源代码占软件代码的比例从2015年的36%增长到2019年的70%，近2年又增长到80%~90%，而

——————————

收稿日期：2022-07-25

容器、Docker和Kubernetes等技术的应用改变了传统软件交付的方式，Docker和Kubernetes则进一步成为了新型的基础设施。新技术的普遍应用和相应防御措施建设的滞后，使企业面临着更多的新型攻击，攻击者不断地利用开源组件漏洞、镜像漏洞、微服务漏洞、容器漏洞发起更多的攻击。

因此，在这个时代背景下，网络空间防守方既要面对传统的安全攻击行为，又要面对新兴的软件供应链攻击、APT攻击、开源组件攻击以及基于云原生技术发起的攻击。在这种攻守不对称的情况下，如何做到对入侵行为的有效检测与防御，构建更加有效的安全

体系，是保护组织机构安全进而保护国家安全的迫切需求。

1当前检测与防御体系面临的问题

1.1基于攻击者视角的研判分析体系不足

目前针对网络攻击的检测与防御体系仍然以被动响应为主，在被动响应的基础上，逐渐开展纵深安全防御体系的建设，增强主动防御的能力。同时，很多机构也开始了建设自有的SOC运营中心、安全大脑、安全统一指挥平台等，这些平台在平时以及护网的网络安全检测与防御中发挥了重要的作用，但是由于其在推广使用的过程中存在系统过多集成困难、报警过多不易分析、攻击行为缺乏上下文语境等问题，并未发挥出最大的作用。根据痛苦金字塔模型（见图1）分析，目前这些系统平台仍以分析哈希值、IP、域名、网络和主机进程等信息为主，基于攻击者视角分析其TTPs（Tactics、Techniques、Procedures）的能力仍然偏低。但是，TTPs却是分析攻击者行为的重要信息，其描述了攻击者从侦查、信息收集、攻击到获取数据这一过程中每一步是如何进行的，因此，TTPs也是痛苦金字塔中对防守方最有价值的信息。ATTCK（Ad?versarialTactics、TechniquesandCommonKnowledge）

是有效分析攻击行为的威胁模型，基于ATTCK框架体系，通过结合多种情报对攻击者进行画像，有效识别攻击者，增强基于攻击者视角的研判分析水平，能够有效提高企业的攻击检测与防御能力。

1.2软件应用自我防护能力需要提高

目前数字化软件应用系统都在大量的使用开源组件，开源组件的使用大大提高了软件应用系统的开发效率，但是也带来了更多的安全风险。从2021年的log4j2漏洞，到2022年的spring框架漏洞，都说明开源组件存在着很多未知的安全漏洞，2021年版本的OWASPTOP10（见表1）中针对风险组件发起的攻击行为也从第9位上升至第6位。新型漏洞风险的不断出现，导致攻击方的攻击手段日益多样，软件应用的安全防护所依赖的检测防御却仍然以传统的基于规则的防御体系为主，这些防御措施很难有效地拦截新型攻击行为，在应对0DAY漏洞攻击方面也存在天然的缺陷。如何更有效地实时阻断针对软件应用的攻击行为，贴身保护软件应用，提升应用的自我免疫能力，增强应用应对0DAY攻击的能力，准确发现开源组件中的风险并进行修复，已经成为各个企业组织亟待解决的问题。

1.3云原生安全防御手段建设滞后

TTPS

工具

网络/主机部件

域名

IP地址哈希值

很难！

有挑战性

棘手的

简单的

很容易

最容易！

图1Bianco提出的痛苦金字塔

78 2022/09/DTPT

表1OWASPTOP10（2021）

序号

漏洞类型

A01

失效的访问控制

A02

加密失败

A03

注入漏洞

A04

不安全的设计

A05

安全配置错误

A06

易受攻击和过时的组件

A07

认证和授权失败

A08

软件和数据完整性故障

A09

不足的日志记录和监控

A10

服务器请求伪造

云原生技术中广泛采用了持续交付、DevOps、微服务和容器化，并且以容器、微服务、DevOps等技术为基础建立了一套云技术产品体系，在这套体系中容器和Kubernetes成为了新型的基础设施。这些技术发展