《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于ATT&CK框架的域威脅檢測(cè)
基于ATT&CK框架的域威脅檢測(cè)
信息技術(shù)與網(wǎng)絡(luò)安全 12期
何樹(shù)果1,袁 瑗2,朱 震1,盧圣龍1,陳嘉磊1,畢鑫泰1
(1.北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室,北京101111; 2.西南大學(xué) 計(jì)算機(jī)與信息科學(xué)學(xué)院,重慶400715)
摘要: 保障企業(yè)域環(huán)境中的敏感信息與數(shù)據(jù)的安全一直是安全研究人員所面臨的挑戰(zhàn)之一。針對(duì)這一難題,提出將ATT&CK框架所提供的攻擊行為知識(shí)庫(kù)與域安全防御結(jié)合,對(duì)ATT&CK中涉及的域安全相關(guān)戰(zhàn)術(shù)和技術(shù)進(jìn)行全覆蓋,在模擬環(huán)境中分析實(shí)時(shí)產(chǎn)生的日志數(shù)據(jù),監(jiān)控并捕獲敏感日志事件和連續(xù)異常的日志事件。最后,組織安全領(lǐng)域技術(shù)人員進(jìn)行紅藍(lán)實(shí)戰(zhàn)對(duì)抗。對(duì)抗結(jié)果表明,基于ATT&CK框架能夠有效檢測(cè)域攻擊姿勢(shì)。
中圖分類(lèi)號(hào): TP309.1
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何樹(shù)果,袁瑗,朱震,等. 基于ATT&CK框架的域威脅檢測(cè)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(12):15-18,25.
Domain threat detection based on ATT&CK framework
He Shuguo1,Yuan Yuan2,Zhu Zhen1,Lu Shenglong1,Chen Jialei1,Bi Xintai1
(1.Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China; 2.College of Computer & Information Science,Southwest University,Chongqing 400715,China)
Abstract: It has always been one of the challenges faced by security researchers about how to ensure the security of sensitive information and data in the enterprise domain environment. In response to this problem, it is proposed to combine the attack behavior knowledge base provided by the ATT&CK framework with the domain security defense to fully cover the domain security-related tactics and technologies involved in ATT&CK. Real-time log data generated in a simulated environment is analyzed, and sensitive log events and continuous abnormal log events are monitored and captured. Finally, technical personnel in the security field are organized to conduct a red-blue exercise. The results of the exercise show that under the guidance of the ATT&CK framework, the domain attack posture can be well detected.
Key words : ATT&CK framework;domain penetration;domain security;threat intelligence

0 引言

互聯(lián)網(wǎng)企業(yè)規(guī)模不斷擴(kuò)張,隨之而來(lái)的是計(jì)算機(jī)數(shù)量的逐年增加。微軟為管理員提供了兩種方式管理計(jì)算機(jī),即域和工作組。默認(rèn)情況下,計(jì)算機(jī)會(huì)加入工作組,但是工作組在管理上屬于分散型,很難用于集中管理,更加適用于小型網(wǎng)絡(luò)。其中,為提升大型網(wǎng)絡(luò)的管理效率以及安全性,微軟提供了域技術(shù)來(lái)管理大型網(wǎng)絡(luò)中的計(jì)算機(jī),輔助管理人員對(duì)計(jì)算機(jī)進(jìn)行集中管理[1]。在域中,使用域控制器(Domain Controller,DC)進(jìn)行管理,使用服務(wù)器為申請(qǐng)連接的計(jì)算機(jī)進(jìn)行驗(yàn)證,DC中存放著域賬戶(hù)、密碼以及隸屬于域的計(jì)算機(jī)信息等。如果某臺(tái)計(jì)算機(jī)想要連接這個(gè)域,域控制器會(huì)根據(jù)賬戶(hù)和密碼來(lái)判定這臺(tái)計(jì)算機(jī)是否屬于這個(gè)域,從一定程度上對(duì)網(wǎng)絡(luò)安全管理進(jìn)行了加強(qiáng)。

使用域技術(shù)進(jìn)行管理是目前很多企業(yè)、工廠都會(huì)采用的一個(gè)常見(jiàn)管理方法。由于DC中涵蓋了域的敏感信息,因此域管理下的網(wǎng)絡(luò)安全是需要建立在DC的安全之上的[2]。一旦域管理員的賬號(hào)和密碼泄露,黑客便可以利用盜取的高權(quán)限賬戶(hù)來(lái)操縱域環(huán)境,進(jìn)行信息盜取、投放病毒、留后門(mén)維持訪問(wèn)等操作,因此域滲透已經(jīng)成為了黑客入侵企業(yè)網(wǎng)絡(luò)的主要手段之一。一旦域控服務(wù)器被黑客攻陷,可能會(huì)導(dǎo)致企業(yè)的敏感信息泄露、工作進(jìn)度癱瘓、被黑客勒索等后果,會(huì)給企業(yè)帶來(lái)非常嚴(yán)重的損失[3]。保障域安全是域管理的重要環(huán)節(jié),傳統(tǒng)的防御方式主要是從防御者的角度去提出解決方案,但往往面臨著覆蓋范圍不全面、難以檢測(cè)新的未知威脅等問(wèn)題[4]。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000003890







作者信息:

何樹(shù)果1,袁  瑗2,朱  震1,盧圣龍1,陳嘉磊1,畢鑫泰1

(1.北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室,北京101111;

2.西南大學(xué) 計(jì)算機(jī)與信息科學(xué)學(xué)院,重慶400715)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。