基于MITREATT&CK创建安全闭环过程的方法

1.基于MITRE ATT&CK创建安全闭环过程的方法，其特征在于包括以下步骤：
1）、获得数据，得到MITREATT&CK框架：
当创建一个有效的搜索、告警和响应的改进周期时，首先是输入，传统的要可以用数据通知周期，以便更有效地决定警报和防御；输入的内容包括大数据挖掘获取数据、根据指标IOC、威胁情报、大数据挖掘；
2）、得到对手攻击计划；
在MITREATT&CK框架中确定对手所有组及攻击战术；
在MITREATT&CK框架中确定的对手所有组，通过针对特定行业和组织制定的计划进行不断地攻击演练测试，不断扩大技术覆盖范围，不断缩小与攻击者的差距；
3）、根据对手攻击计划模拟攻击，得到模拟攻击确定的结果；
根据对手所有组及攻击战术模拟攻击；
在内部或外部攻击模拟，遵循模拟攻击计划；或者用自动对手仿真工具，构建攻击模拟；在没有必要的人力的情况下可以自动完成测试的部分；
4）、根据模拟攻击确定的结果，构建改进计划；
狩猎和报告：
记录模拟攻击时使用的所有资源，任何成功的检测都应该记录下来，以便在攻击模拟结束时进行评估；在狩猎框架中，AEPS和攻击模拟的最佳使用是双重的，模拟的攻击手法要结合实际中的攻陷过程的路线，两者兼并成最好的攻击链战术；
首先也是最重要的，通知狩猎操作，这样就可以在日常的基础上在现实世界中寻找技术；
第二，AEP提供了一个路线图，以高度保真度自动识别攻击；只有当能够检测到正确的TTP时，这一切才是可能的；
如果无法检测到TTP，这是一个研究新工具或数据收集方法的机会；TTP是攻陷的过程，对恶意活动的检测，通过收集到日志，攻击者的攻击技术知识，如果无法检测到改进告警过程和采取补救错误，根据技术特征重新调整采集数据的方法；
告警管理；
根据模拟攻击确定的结果和TTP，对原有的没有覆盖到的检测，和攻击过程，或者有误报的检测和攻击过程的检测，制定一个告警检测的改进计划，改进计划包括检测手段和预防方法；为了跟踪与攻击执行相关告警管理，在报告表中添加补救跟踪表；这可以包括要修改的系统、修改状态及其所有者的信息；
然后可以重新执行第一阶段；
创建安全闭环过程包括：
一、是输入，威胁情报，IOC指标，数据挖掘的创建；
二、模拟对手攻击计划，在MITRE ATT&CK框架中确定的所有组，通过针对某个特定行业和组织制定的计划；
三、遵循模拟攻击计划；或者用自动对手仿真工具构建攻击模拟；
记录模拟攻击时使用的所有资源，任何成功的检测都应该记录下来，并输出报告，需要包括对已执行的攻击计划、攻击结果和应该采取的补救措施；
四、告警管理，根据模拟攻击确定的结果和TTPs，构建一个过程和技术改进计划。
2.根据权利要求1所述的基于MITRE ATT&CK创建安全闭环过程的方法，其特征在于：
自动对手仿真工具为CALDERA。
3. 根据权利要求2所述的基于MITRE ATT&CK创建安全闭环过程的方法，其特征在于：
在步骤4中，获取模拟攻击确定的结果的TTP，如果得到正确的TTP，人为构建改进计划；
如果得不到正确的TTP，对恶意活动的检测，通过收集到日志，攻击者的攻击技术知识。

基于MITRE ATT&CK创建安全闭环过程的方法\n技术领域\n[0001] 本发明涉及一种创建安全闭环的方法，具体涉及一种基于MITRE ATT&CK创建安全闭环过程的方法。\n背景技术\n[0002] 对行业的对手，防御态势和安全操作实施有效的迭代防御，通过填补防御方面的空白，使环境可视化并减轻安全团队的工作量。获得有价值的示例输入，对手仿真计划，攻击模拟，搜索和报告表以及警报维护优先级，这些都是构建防御系统的坚实基础。了解对手可能使用的技术，战术和程序，仿真计划指南和对手组之间的联系，以实现集成的，生产性的安全策略。\n[0003] 当看不到攻击者的行为和没有攻击告警的时候，这些都可以通过模拟攻击框架制定防御和告警的环境，这样在防御中的任何漏洞都可以被快速分析和填补。这使在环境中增加了可见性，并且可以通过在攻击者到达攻击者之前填补防御漏洞来帮助减少安全团队的负载。\n[0004] 现有的威胁情报的模型，通过开源的IOC(威胁指标)和YARA规则在检测恶意网络连接和恶意文件，但是缺乏一种通用的能够从日志事件中特定事件的检测方法。人们收集日志数据进行分析都需要构建自己对日志数据的搜索方法和规则。没有一个标准化格式，因此人们也无法与他人分享自己的工作。分析效率低，人为判断准确性也存在一定的误差。\n[0005] 因此，需要对现有技术进行改进。\n发明内容\n[0006] 本发明要解决的技术问题是提供一种高效的基于MITRE ATT&CK创建安全闭环过程的方法。\n[0007] 为解决上述技术问题，本发明提供一种基于MITRE ATT&CK创建安全闭环过程的方法，包括以下步骤：\n[0008] 1)、获得数据，得到MITREATT&CK框架：\n[0009] 2)、得到对手攻击计划；\n[0010] 3)、根据对手攻击计划模拟攻击，得到模拟攻击确定的结果；\n[0011] 4)、根据模拟攻击确定的结果，构建改进计划。\n[0012] 作为对本发明基于MITRE ATT&CK创建安全闭环过程的方法的改进：\n[0013] 在步骤1中，通过大数据挖掘获取数据。\n[0014] 作为对本发明基于MITRE ATT&CK创建安全闭环过程的方法的进一步改进：\n[0015] 在步骤2中，在MITREATT&CK框架中确定对手所有组及攻击战术。\n[0016] 作为对本发明基于MITRE ATT&CK创建安全闭环过程的方法的进一步改进：\n[0017] 在步骤3中，根据对手所有组及攻击战术模拟攻击。\n[0018] 作为对本发明基于MITRE ATT&CK创建安全闭环过程的方法的进一步改进：\n[0019] 在步骤3中，根据对手所有组在内部或外部攻击模拟，遵循模拟攻击计划，或者用自动对手仿真工具构建攻击模拟。\n[0020] 作为对本发明基于MITRE ATT&CK创建安全闭环过程的方法的进一步改进：\n[0021] 自动对手仿真工具为CALDERA。\n[0022] 作为对本发明基于MITRE ATT&CK创建安全闭环过程的方法的进一步改进：\n[0023] 在步骤4中，获取模拟攻击确定的结果的TTP，如果得到正确的TTP，人为构建改进计划；如果得不到正确的TTP，对恶意活动的检测，通过收集到日志，攻击者的攻击技术知识。\n[0024] 本发明基于MITRE ATT&CK创建安全闭环过程的方法的技术优势为：\n[0025] MITRE ATT&CK为研究和分析攻击提供结构的一个框架。该矩阵对手生命周期各个阶段的威胁建模方法和模型套件，包括Windows、MacOS和Linux等几个主要操作系统的变化。它可以为描述攻击提供上下文，并帮助识别。在可用的数据源、MITREATT&CK矩阵和分析师的工作流之间创建一个真实的模拟环境的具有上下的文的攻击链条，以了解防御能力差距。\n[0026] 在MITRE ATT&CK之前有多个安全框架，但它们都缺少一个关键组成部分：对模拟攻击的战术的完整解释。这使得MITRE ATT&CK成为团队的一个对未知攻击的战略性补充的工具，使用AEPS，MITREATT&CK允许创建与TTPs融合的真实世界攻击模拟。可以在红队模拟中对基础设施执行，以确定识别哪些攻击、哪些警报被发送，以及实现了什么目标。这为系统提供了有价值的可见性，以便为安全操作构建一个闭环改进周期。\n附图说明\n[0027] 下面结合附图对本发明的具体实施方式作进一步详细说明。\n[0028] 图1为本发明基于MITRE ATT&CK创建安全闭环过程的方法的结构示意图。\n具体实施方式\n[0029] 下面结合具体实施例对本发明进行进一步描述，但本发明的保护范围并不仅限于此。\n[0030] 实施例1、基于MITRE ATT&CK创建安全闭环过程的方法，如图1所示，包括以下步骤：\n[0031] 1)、第一阶段：\n[0032] 当创建一个有效的搜索、告警和响应的改进周期时，首先是输入，传统的要可以用数据通知周期，以便更有效地决定警报和防御。输入的内容包括大数据挖掘获取数据、根据指标 IOC、威胁情报、大数据挖掘等。\n[0033] 从威胁情报中的攻击特征获取通过针对某个特定行业或者某个特定的组织的画像， ATT&CK是一种战术。\n[0034] 威胁情报：\n[0035] 外部威胁情报是有用的两个关键原因：新的攻击TTP和攻击验证和识别。威胁情报可以用来创建一次性的攻击模拟，根据最近的攻击，如由APT39执行的战役，甚至更确定的攻击。像NotPetya或WannaCry这样的攻击。或者，它可以用来验证MITREATT&CK组列表中的信息，或者在特定的恶意组执行先前已知的或新的活动时精确定位。\n[0036] IOC：\n[0037] 根据指标IOC从大数据挖掘获取的数据中得到恶意组织。指标(IOC)可识别各种群体的入侵时，具有一定的参考价值，可以将诸如域名和文件散列之类的失陷指标iocs添加到 AEPs中，对手组关联的攻击标志比如命令控制的域名和文件的哈希值特征，以及联系上下文攻击战术，用来识别恶意组织，并从静态签名的角度增强安全性。例如，可与特定对手组工具关联的唯一散列添加标志，以便将上下文添加到静态警报中。\n[0038] 数据挖掘：\n[0039] 在识别新的攻击模式时，数据挖掘是猎人和防御者非常有用的工具。由于基础设施的限制，使用Splunk、Elasticsearch、Hadoop等工具可以使这种类型的深度数据挖掘非常有成效，并能在狩猎和威胁识别工作中产生很大的作用。\n[0040] 2)、第二阶段：模拟对手攻击计划；\n[0041] 在MITREATT&CK框架中确定的对手所有组，如表1，通过针对某个特定行业和组织制定的计划进行不断地攻击演练测试，不断扩大技术覆盖范围，不断缩小与攻击者的差距。\n[0042] 特定行业有很多种，表1是举例这几个行业。制定计划是根据APT组织习惯用的攻击战术和手段在ATT&CK的知识库中获得，每一个组织在ATT&CK中都有自己特定的攻击战术。\n[0043] 表1：MITREATT&CK框架\n[0044]\n[0045]\n[0046] 计划说明：\n[0047] 01.文件：TTP已经为对手组正确地记录了.\n[0048] 02.代码：TTP已经被编码成一个实际的开发，供红队使用。\n[0049] 03.已编码：TTP成功执行.\n[0050] 04.成功/不成功：TTP执行完成或没有完成其目标。\n[0051] 05.删除/不删除：TTP执行成功，要么被检测到，要么没有检测到。\n[0052] 随着计划的进展，在此布局中添加更多的上下文和信息。根据需要添加一个时间线、层次结构、TTP类型、注释和更多细节。\n[0053] 3)、第三阶段：模拟攻击；\n[0054] 在内部或外部攻击模拟，遵循模拟攻击计划。或者用自动对手仿真工具，如MITRE的 CALDERA，在构建攻击模拟。在没有必要的人力的情况下可以自动完成测试的部分。\n[0055] 4)、第四阶段：狩猎和报告；\n[0056] 记录红队模拟攻击时使用的所有资源(步骤3的模拟攻击)，任何成功的检测(检测到了攻击特征)都应该记录下来，以便在攻击模拟结束时进行评估。在狩猎框架中，AEPS和攻击模拟的最佳使用是双重的，模拟的攻击手法要结合实际中的攻陷过程的路线，两者兼并成最好的攻击链战术。首先也是最重要的，通知狩猎操作，这样就可以在日常的基础上在现实世界中寻找技术(人为挖掘攻击技术，并以此特征作为采集的方法，作为本发明步骤1的输入，大数据挖掘)。第二，AEP提供了一个路线图，以高度保真度自动识别攻击。只有当能够检测到正确的TTP时，这一切才是可能的。\n[0057] 如果无法检测到TTP，这是一个研究新工具或数据收集方法的机会。TTP是攻陷的过程，对恶意活动的检测，通过收集到日志，攻击者的攻击技术知识，如果无法检测到改进告警过程和采取补救错误，根据技术特征重新调整采集数据的方法。\n[0058] 报告：\n[0059] 每个模拟(对各个组织类型进行的模拟攻击)都量化评分，基于对检测到的TTP数量使用的TTP数量(攻击技术和过程的方法数量)，包括狩猎结果。所有检测到或未检测到的TTP 都需要按照MITREATT&CK框架进行分类类别和一般的检测方法最适合基于组织内部架构。关于红色团队活动的报告需要包括对已执行的攻击计划、攻击结果和应该采取的补救措施，以缩小任何差距。每一次攻击都应在报告中用所使用的具体技术充分记录下来，在报告中记录、检测和预防这些活动，以及任何应该用来改进检测的方法。\n[0060] 一般的检测方法可以使用：基于规则的APT攻击行为的检测方法。该种基于规则的APT 攻击行为的检测方法包括步骤：创建APT攻击场景规则，构建APT攻击场景知识库；分析模块调用规则解析模块，解析、加载APT攻击场景规则；采集模块对应用层协议全流量采集，获得流量数据；进行数据筛选；分析重要告警；识别行为；构建APT攻击行为失败的处理。对于APT这样的攻击行为，在进行模拟攻击的时候，将可以攻陷进去的这个攻击过程和技术记录下来，改进现在有的检测方式，APT组织还未攻陷之前，改进检测的方法。提升防御的能力在整个攻击过程中总会存在若干个攻击暴露点)\n[0061] 5)、第五阶段：告警管理；\n[0062] 根据红队模拟攻击确定的结果和TTP，对原有的没有覆盖到的检测，和攻击过程，或者有误报的检测和攻击过程的检测，制定一个告警检测的改进计划，改进计划包括检测手段和预防方法。为了跟踪与攻击执行相关告警管理，在报告表中添加补救跟踪表(如表3所示)。这可以包括要修改的系统、修改状态及其所有者的信息。\n[0063] 然后可以重新执行第一阶段。\n[0064] 创建安全闭环过程包括：\n[0065] 一、是输入，威胁情报，IOC指标，数据挖掘的创建；\n[0066] 二、模拟对手攻击计划，在MITRE ATT&CK框架中确定的所有组，通过针对某个特定行业和组织制定的计划。\n[0067] 三、遵循模拟攻击计划。或者用自动对手仿真工具构建攻击模拟。\n[0068] 记录红队模拟攻击时使用的所有资源，任何成功的检测都应该记录下来，并输出红队报告，需要包括对已执行的攻击计划、攻击结果和应该采取的补救措施[0069] 四、告警管理，根据红队模拟攻击确定的结果和TTPs，构建一个过程和技术改进计划。\n[0070] 下面是具体的实施流程：如图1：首先是输入ATT&ck技术手段，威胁情报，IOC指标，数据挖掘，然后制定模拟的攻击计划，遵循攻击的计划进行模拟化的攻击，并输出已经执行的攻击计划，结果，和应该采取的补救措施的报告，最后对攻击确定的结果，进行告警管理的过程构建和计划改进计划。\n[0071] 表2：对抗性模拟计划实例及其现状\n[0072]\n[0073]\n[0074]\n[0075] 表3：\n[0076] 修改的系统 修改的状态 所有者名字 \nLinux1 暂时未打补丁 所有者1 \nCentos1 已经升级组件补丁 所有者2 \n[0077] 最后，还需要注意的是，以上列举的仅是本发明的若干个具体实施例。显然，本发明不限于以上实施例，还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形，均应认为是本发明的保护范围。