落地|ATT&CK驱动下的安全运营数据分析，如何“落地”？( 二 ) 安全运营|落地|威胁|att|驱动

本质上，大规模安全运营数据分析的困难来自于攻守的不平衡性。常态化安全运营的目标是在合理的投入产出比下，持续的监控并降低企业和组织的系统化安全风险。能够在态势大屏上展现出来的威胁趋势，很难适用于高隐匿性、低频的高级威胁的狩猎任务。在攻守失衡的条件约束下，ATT&CK似乎给出一剂良药的配方，那么按照配方收集好每一味药材，熬一熬就能预防病害吗？网络安全威胁的破坏性，要求防御方不能求诸玄学。以下，将从数据接入、线索发现、事件重建三个角度，总结在探索ATT&CK科学化应用中的关键性挑战。
01数据接入：系统瓶颈与数据风险

文章插图
图3 溯源数据分析系统的一般技术框架[3]
【 落地|ATT&CK驱动下的安全运营数据分析，如何“落地”？】如前所述，一方面高级威胁低频且具有隐匿性，另一方面企业和组织需要持续进行风险管控。因此，从ATT&CK矩阵覆盖率的角度考虑，所需采集的数据种类多、数据规模异常庞大。上图展示了一个典型终端威胁检测处理系统的架构，涉及从数据采集、管理、检测等多个环节。如果没有有效的预处理环节，单台用户主机的日常流量、终端行为日志量至少每天可达数百兆字节，更不用说提供服务资源等功能性节点。不止是数据吞吐量大，为了满足合规需求，支持事件溯源、关联等威胁分析任务，所采集的数据往往需要长达数百天的持久化留存。这些数据的采集、传输、存储等给算力、网络、数据库等各个系统环节带来巨大的压力。其衍生后果就是，许多采集能力被禁用，大量数据在预设的价值判断策略下被提前丢弃，这可能导致威胁线索和证据链的时效。数据爆炸所产生的这些现实问题成为XDR等技术方案落地的关键阻碍。
此外，尽管有策略配置的限制，终端、网络数据的细粒度采集，难免会将涉及用户隐私，或者企业核心服务相关敏感行为等数据上传到云端等中心化数据中心中。这种安全数据采集引入的伴生数据风险，将对其安全能力的落地引入新的担忧。
02线索发现：召回模型与高误报率
ATT&CK矩阵中的大部分攻击技术抽象都是召回策略驱动的。如下图所示，是MITRE所跟踪观测的93个APT组织利用次数最多的十种技术（该技术划分命名基于改版之前的MITRE矩阵，尚未包含子技术的概念）。其中能够直接对应到攻击行为的技术描述，只有Spearphishing Attachment，Credential Dumping和Obfuscated Files这三类，其他七类技术划分单独来看，都是正常网络行为与操作。ATT&CK的关键目标在于覆盖和召回，而从安全运营的视角来看，在事件规模膨胀的现状下，误报率是一个非常关键的有效性衡量指标。一项针对赛门铁克终端告警的分析表明，由34台机器触发的58096条告警中，与检测目标APT29行为相关真实告警只有1104条，告警的精度只有1.9%。大规模误报告警带来的误报疲劳，会持续降低整个安全运营团队的运转效率。当然，除了攻击技术分类之外，ATT&CK针对每一种技术，都提供了有指导意义的预防和检测策略。不过，这些防御策略的落实仍需在实际的数据分析中试错。

文章插图
图4 MITRE APT关联的常见技术统计[4]
03事件重建：一词多义与依赖爆炸
ATT&CK通过阶段划分，给具体技术的归类赋予了一定的语义关联，给安全团队讲故事提供了线索串联的范本。然而，从数据挖掘和关联的角度，有两个重要的问题需要考虑。第一个问题是一词多义，是指一个技术可能横跨多个战术实现，并以不同的粒度出现在一定的威胁上下文中。例如T1053定时任务（ScheduledTask/Job），包含在执行（Execution）、持久化（Persistence）和提权（PrivilegeEscalation）三个战术目标中。ATT&CK将T1053技术划定为一种统一的技术，并未针对具体战术进行细粒度的描述。这本质上是由ATT&CK的技术抽象层次决定的，然而这给数据分析任务带来新的挑战——需要解决充分理解技术触发的上下文，并赋予该技术明确的战术语义。

文章插图
图5 APT 29攻击事件溯源数据图[4]
第二个问题是依赖爆炸。这包含两个层次，第一个层次是ATT&CK的战术模型不是因果模型，也不具有统计意义。我们可以从MITRE提供的APT实例中看到具体的技战术执行数据流。然而，在实际检测、溯源分析中，技战术的跳转是矩阵中的多战术之间、单战术之内的多种技术方案的排列组合问题，在任何特定场景和实际环境中的高级威胁行为序列是独特的，规律性难以捕获。第二个层次是在细粒度的溯源数据层面（Provenance），现阶段的数据采集在一定的资源限制下，难以精细刻画信息传递流。像文件操作、网络输入、进程创建等，存在一对多、多对多的路径依赖问题。由于该层次数据的细粒度特性，依赖爆炸直接加剧了数据存储、检测、溯源等各个环节的技术难度。