郭新海，徐雷，張曼君，劉安，藍(lán)鑫沖，丁攀（中國(guó)聯(lián)通研究院，北京 100048）

0 前言

當(dāng)今時(shí)代，隨著數(shù)字化轉(zhuǎn)型的推進(jìn)和云計(jì)算技術(shù)的普遍應(yīng)用，進(jìn)入了開源和云原生時(shí)代。在這個(gè)時(shí)代背景下，開源組件和云原生技術(shù)得到廣泛應(yīng)用，并且已成為軟件應(yīng)用系統(tǒng)快速開發(fā)、發(fā)布部署和持續(xù)運(yùn)營(yíng)的必要條件。據(jù)中國(guó)信息通信技術(shù)研究院統(tǒng)計(jì)，軟件應(yīng)用中開源代碼占軟件代碼的比例從2015 年的36%增長(zhǎng)到2019 年的70%，近2 年又增長(zhǎng)到80%～90%，而容器、Docker 和Kubernetes 等技術(shù)的應(yīng)用改變了傳統(tǒng)軟件交付的方式，Docker 和Kubernetes 則進(jìn)一步成為了新型的基礎(chǔ)設(shè)施。新技術(shù)的普遍應(yīng)用和相應(yīng)防御措施建設(shè)的滯后，使企業(yè)面臨著更多的新型攻擊，攻擊者不斷地利用開源組件漏洞、鏡像漏洞、微服務(wù)漏洞、容器漏洞發(fā)起更多的攻擊。

因此，在這個(gè)時(shí)代背景下，網(wǎng)絡(luò)空間防守方既要面對(duì)傳統(tǒng)的安全攻擊行為，又要面對(duì)新興的軟件供應(yīng)鏈攻擊、APT攻擊、開源組件攻擊以及基于云原生技術(shù)發(fā)起的攻擊。在這種攻守不對(duì)稱的情況下，如何做到對(duì)入侵行為的有效檢測(cè)與防御，構(gòu)建更加有效的安全體系，是保護(hù)組織機(jī)構(gòu)安全進(jìn)而保護(hù)國(guó)家安全的迫切需求。

1 當(dāng)前檢測(cè)與防御體系面臨的問題

1.1 基于攻擊者視角的研判分析體系不足

目前針對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)與防御體系仍然以被動(dòng)響應(yīng)為主，在被動(dòng)響應(yīng)的基礎(chǔ)上，逐漸開展縱深安全防御體系的建設(shè)，增強(qiáng)主動(dòng)防御的能力。同時(shí)，很多機(jī)構(gòu)也開始了建設(shè)自有的SOC 運(yùn)營(yíng)中心、安全大腦、安全統(tǒng)一指揮平臺(tái)等，這些平臺(tái)在平時(shí)以及護(hù)網(wǎng)的網(wǎng)絡(luò)安全檢測(cè)與防御中發(fā)揮了重要的作用，但是由于其在推廣使用的過程中存在系統(tǒng)過多集成困難、報(bào)警過多不易分析、攻擊行為缺乏上下文語境等問題，并未發(fā)揮出最大的作用。根據(jù)痛苦金字塔模型（見圖1）分析，目前這些系統(tǒng)平臺(tái)仍以分析哈希值、IP、域名、網(wǎng)絡(luò)和主機(jī)進(jìn)程等信息為主，基于攻擊者視角分析其TTPs（Tactics、Techniques、Procedures）的能力仍然偏低。但是，TTPs 卻是分析攻擊者行為的重要信息，其描述了攻擊者從偵查、信息收集、攻擊到獲取數(shù)據(jù)這一過程中每一步是如何進(jìn)行的，因此，TTPs 也是痛苦金字塔中對(duì)防守方最有價(jià)值的信息。ATT＆CK（Adversarial Tactics、Techniques and Common Knowledge）是有效分析攻擊行為的威脅模型，基于ATT＆CK 框架體系，通過結(jié)合多種情報(bào)對(duì)攻擊者進(jìn)行畫像，有效識(shí)別攻擊者，增強(qiáng)基于攻擊者視角的研判分析水平，能夠有效提高企業(yè)的攻擊檢測(cè)與防御能力。

圖1 Bianco提出的痛苦金字塔

1.2 軟件應(yīng)用自我防護(hù)能力需要提高

目前數(shù)字化軟件應(yīng)用系統(tǒng)都在大量的使用開源組件，開源組件的使用大大提高了軟件應(yīng)用系統(tǒng)的開發(fā)效率，但是也帶來了更多的安全風(fēng)險(xiǎn)。從2021年的log4j2 漏洞，到2022 年的spring 框架漏洞，都說明開源組件存在著很多未知的安全漏洞，2021 年版本的OWASP TOP 10（見表1）中針對(duì)風(fēng)險(xiǎn)組件發(fā)起的攻擊行為也從第9 位上升至第6 位。新型漏洞風(fēng)險(xiǎn)的不斷出現(xiàn)，導(dǎo)致攻擊方的攻擊手段日益多樣，軟件應(yīng)用的安全防護(hù)所依賴的檢測(cè)防御卻仍然以傳統(tǒng)的基于規(guī)則的防御體系為主，這些防御措施很難有效地?cái)r截新型攻擊行為，在應(yīng)對(duì)0DAY 漏洞攻擊方面也存在天然的缺陷。如何更有效地實(shí)時(shí)阻斷針對(duì)軟件應(yīng)用的攻擊行為，貼身保護(hù)軟件應(yīng)用，提升應(yīng)用的自我免疫能力，增強(qiáng)應(yīng)用應(yīng)對(duì)0DAY 攻擊的能力，準(zhǔn)確發(fā)現(xiàn)開源組件中的風(fēng)險(xiǎn)并進(jìn)行修復(fù)，已經(jīng)成為各個(gè)企業(yè)組織亟待解決的問題。

表1 OWASP TOP 10（2021）

1.3 云原生安全防御手段建設(shè)滯后

云原生技術(shù)中廣泛采用了持續(xù)交付、DevOps、微服務(wù)和容器化，并且以容器、微服務(wù)、DevOps 等技術(shù)為基礎(chǔ)建立了一套云技術(shù)產(chǎn)品體系，在這套體系中容器和Kubernetes 成為了新型的基礎(chǔ)設(shè)施。這些技術(shù)發(fā)展的同時(shí)，也帶來了安全方面的諸多挑戰(zhàn)，如在搭建應(yīng)用的過程中，鏡像的使用可能會(huì)導(dǎo)致將存在風(fēng)險(xiǎn)的鏡像引入到內(nèi)網(wǎng)環(huán)境中；容器和Kubernetes 的不安全配置，可能會(huì)導(dǎo)致攻擊者通過容器攻擊宿主機(jī)、通過容器攻擊集群等風(fēng)險(xiǎn)的發(fā)生；微服務(wù)的增多、暴露的端口數(shù)量難以梳理，增大了風(fēng)險(xiǎn)暴露面；微服務(wù)框架的使用，也可能會(huì)將開源組件的風(fēng)險(xiǎn)漏洞引入應(yīng)用系統(tǒng)中。

在云原生的體系中，傳統(tǒng)的安全防護(hù)手段無法深入識(shí)別容器和鏡像的安全問題，因此需要加快相應(yīng)安全檢測(cè)與防御體系的建設(shè)進(jìn)度。結(jié)合容器的ATT＆CK框架，打造基于攻擊行為的容器安全防御與檢測(cè)能力，實(shí)現(xiàn)新型基礎(chǔ)設(shè)施、容器、鏡像的安全可視和綜合風(fēng)險(xiǎn)感知。

2 ATT＆CK框架介紹

2013 年，MITRE 公司為了擺脫網(wǎng)絡(luò)安全治理中防守方所面臨的困境，基于現(xiàn)實(shí)中發(fā)生的真實(shí)攻擊事件，創(chuàng)建了一個(gè)豐富的對(duì)抗戰(zhàn)術(shù)和技術(shù)知識(shí)庫，即ATT＆CK。目前，ATT＆CK 最新版本為11.1，該版本的ATT＆CK框架包含了企業(yè)矩陣、移動(dòng)端矩陣、工業(yè)控制系統(tǒng)矩陣，每類矩陣中都包含攻擊者發(fā)起攻擊所采用的戰(zhàn)術(shù)、技術(shù)和子技術(shù)，并且戰(zhàn)術(shù)、技術(shù)和子技術(shù)的種類一直處在迭代增加的過程中。

2.1 企業(yè)的ATT＆CK攻防矩陣

企業(yè)的ATT＆CK 矩陣涵蓋了攻擊者進(jìn)行攻擊的常用技術(shù)，適用于Windows、MacOS、Linux 等平臺(tái)，并且隨著云計(jì)算技術(shù)的廣泛應(yīng)用引入了云環(huán)境的內(nèi)容，包含office 365、Azure AD、Google Workspace、SaaS、IaaS等平臺(tái)，另外還對(duì)網(wǎng)絡(luò)環(huán)境和容器環(huán)境進(jìn)行了覆蓋。企業(yè)矩陣中介紹了攻擊者在攻擊過程中使用的14 項(xiàng)戰(zhàn)術(shù)，分別是偵察、資源部署、初始訪問、執(zhí)行、持久化、提權(quán)、防御繞過、憑證訪問、發(fā)現(xiàn)、橫向移動(dòng)、收集、命令與控制、數(shù)據(jù)竊取和影響，這14 項(xiàng)戰(zhàn)術(shù)又包含了220多項(xiàng)技術(shù)以及500多項(xiàng)子技術(shù)。

2.2 容器的ATT＆CK攻防矩陣

容器的ATT＆CK 攻防矩陣，涵蓋了容器層的攻擊技術(shù)，還介紹了一系列與容器相關(guān)的惡意軟件，包括攻擊者在對(duì)容器環(huán)境進(jìn)行攻擊時(shí)所采用的8項(xiàng)戰(zhàn)術(shù)和29項(xiàng)技術(shù)，8項(xiàng)戰(zhàn)術(shù)分別為初始訪問、執(zhí)行、持久化、權(quán)限提升、防御繞過、憑證訪問、發(fā)現(xiàn)和影響。具體的ATT＆CK容器攻防矩陣如圖2所示。

圖2 ATT＆CK容器攻防矩陣

3 基于ATT＆CK框架構(gòu)建檢測(cè)與防御體系

3.1 對(duì)應(yīng)ATT＆CK矩陣形成安全能力圖譜

根據(jù)ATT＆CK 矩陣，打造企業(yè)自身的安全能力圖譜，能夠更好地提升企業(yè)的安全防護(hù)能力，充分發(fā)揮已建設(shè)系統(tǒng)的防御效果，發(fā)現(xiàn)欠缺的安全防護(hù)能力，指導(dǎo)未來的系統(tǒng)建設(shè)方向。

企業(yè)在建設(shè)自己的安全能力時(shí)應(yīng)該保障運(yùn)營(yíng)安全，按需打造安全能力，重視安全管理。企業(yè)可根據(jù)實(shí)際需要建設(shè)自有的綜合態(tài)勢(shì)感知平臺(tái)、資產(chǎn)和漏洞集中管理平臺(tái)、安全運(yùn)營(yíng)中臺(tái)、軟件系統(tǒng)測(cè)繪平臺(tái)、威脅狩獵平臺(tái)等，通過建設(shè)這些平臺(tái)能夠保證內(nèi)網(wǎng)全部網(wǎng)絡(luò)資產(chǎn)的可視化，及時(shí)發(fā)現(xiàn)攻擊行為，形成內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)浜蛙浖蕾嚨年P(guān)系圖譜，記錄攻擊行為的攻擊信息，完成攻擊者的身份信息獲取和畫像，為開展攻擊者的溯源反制提供參考；根據(jù)實(shí)際需要打造自己的安全能力，安全能力覆蓋網(wǎng)絡(luò)及邊界安全、主機(jī)安全、云安全、軟件應(yīng)用安全、安全審計(jì)和數(shù)據(jù)安全等，能夠做到全方位的安全防護(hù)；另外，安全管理作為保證企業(yè)安全的重要方面，需要制定符合企業(yè)自身的安全管理制度，安全管理可包括開發(fā)管理、運(yùn)營(yíng)管理、系統(tǒng)上線管理以及員工的安全意識(shí)培訓(xùn)等。圖3給出了安全能力建設(shè)圖譜示例，可為企業(yè)或組織的安全能力建設(shè)提供參考。

圖3 安全能力建設(shè)圖譜示例

3.2 打造軟件應(yīng)用自我防護(hù)能力

軟件應(yīng)用系統(tǒng)在當(dāng)前形勢(shì)下面臨著攻擊日益增多以及難以獲取攻擊者網(wǎng)絡(luò)身份信息并進(jìn)行有效溯源反制的問題。因此，在依托原來軟件應(yīng)用縱深安全檢測(cè)與防御體系進(jìn)行防護(hù)的同時(shí)，需要重點(diǎn)打造軟件應(yīng)用自身的免疫力，增強(qiáng)其動(dòng)態(tài)防御和風(fēng)險(xiǎn)組件的檢測(cè)能力，構(gòu)建白名單防護(hù)、動(dòng)態(tài)補(bǔ)丁分發(fā)和應(yīng)用自身防護(hù)多級(jí)聯(lián)動(dòng)機(jī)制。

開發(fā)運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（Runtime application self-protection，RASP）能力，將防御邏輯注入到Java 底層API 和Web 應(yīng)用程序中，實(shí)現(xiàn)防御手段與應(yīng)用程序融為一體，實(shí)時(shí)分析和檢測(cè)Web 攻擊，使應(yīng)用程序具備自我保護(hù)能力，能夠有效彌補(bǔ)原來防護(hù)體系的不足，補(bǔ)上現(xiàn)網(wǎng)軟件應(yīng)用系統(tǒng)多級(jí)防御體系中的最后一環(huán)，讓穿透后的攻擊無法落地形成危害。RASP技術(shù)能夠有效地發(fā)現(xiàn)并防御多種已知的Web 應(yīng)用攻擊行為和未知的針對(duì)0DAY 漏洞發(fā)起的攻擊，并能夠梳理應(yīng)用系統(tǒng)的開源組件信息，發(fā)現(xiàn)開源組件的風(fēng)險(xiǎn)。因此，依托RASP 打造軟件的自我防護(hù)能力，能夠增強(qiáng)企業(yè)應(yīng)對(duì)0DAY 漏洞攻擊、開源組件攻擊的能力，更好地保護(hù)應(yīng)用系統(tǒng)和內(nèi)網(wǎng)的安全。軟件應(yīng)用自免疫防御能力如圖4所示。

圖4 軟件應(yīng)用自免疫防御能力

3.3 加快推進(jìn)云原生安全防御能力建設(shè)

面對(duì)云原生技術(shù)中廣泛采用微服務(wù)和容器化所帶來的安全問題，需要加快推進(jìn)相應(yīng)的云原生安全防御能力建設(shè)，構(gòu)建云原生安全防御系統(tǒng)，針對(duì)容器、Kubernetes 和云主機(jī)提供安全基線配置核查能力，保證新型基礎(chǔ)設(shè)施的基礎(chǔ)安全水平；針對(duì)容器鏡像中存在的安全風(fēng)險(xiǎn)，提供鏡像安全檢測(cè)能力，快速地定位發(fā)現(xiàn)鏡像中存在的風(fēng)險(xiǎn)；針對(duì)容器運(yùn)行時(shí)可能存在的容器逃逸、容器網(wǎng)絡(luò)攻擊等行為，提供容器進(jìn)程監(jiān)控、行為監(jiān)控與審計(jì)、風(fēng)險(xiǎn)行為檢測(cè)與阻斷等功能，保證容器的安全運(yùn)行；針對(duì)微服務(wù)的使用所帶來的風(fēng)險(xiǎn)暴露面增加，精細(xì)化微隔離策略，根據(jù)業(yè)務(wù)需要控制不同業(yè)務(wù)屬性相互訪問需求等。

4 結(jié)束語

ATT＆CK 自發(fā)布以來就一直在促進(jìn)著紅隊(duì)、藍(lán)隊(duì)和管理層之間的溝通交流，其中防守方能夠使用該框架進(jìn)行攻防演習(xí)和評(píng)估自己的安全能力建設(shè)情況，攻擊方能夠使用該矩陣尋求自身可以使用的技術(shù)。企業(yè)基于ATT＆CK 矩陣建設(shè)入侵檢測(cè)與防御體系能夠更全面、更有針對(duì)性地應(yīng)對(duì)攻擊者，更好地保護(hù)自己企業(yè)內(nèi)網(wǎng)的安全。但是，攻擊和防守方的技術(shù)能力都始終處于不斷發(fā)展之中，ATT＆CK 矩陣也一直處于更新之中，因此企業(yè)的入侵檢測(cè)與防御體系也應(yīng)該根據(jù)攻守方的態(tài)勢(shì)進(jìn)行快速更新，只有這樣才能更好地檢測(cè)并防御攻擊行為，進(jìn)而更好地保證自己企業(yè)的網(wǎng)絡(luò)安全。