詳解云安全攻防模型，這些攻擊戰(zhàn)略和戰(zhàn)術越早知道越好！

云計算在帶來便利的同時，也帶來了新的安全技術風險、政策風險和安全合規(guī)風險。

那么，如何設計云計算安全架構(gòu)、如何保障云計算平臺的安全合規(guī)、如何有效提升安全防護能力是需要研究的重要課題。

本文就先來介紹一下ATT&CK云安全攻擊模型。

ATT&CK定義

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是由MITRE公司在2013年推出的，包含對抗策略、技術和常識，是網(wǎng)絡對抗者（通常指黑客）行為的精選知識庫和模型，反映了攻擊者攻擊生命周期的各個階段，以及已知的攻擊目標平臺。

ATT&CK根據(jù)真實的觀察數(shù)據(jù)來描述和分類對抗行為，將攻擊者的攻擊行為轉(zhuǎn)換為結(jié)構(gòu)化列表，并以矩陣、結(jié)構(gòu)化威脅信息表達式（Structured Threat Informatione Xpression，STIX）和指標信息的可信自動化交換（Trusted Automatede Xchangeof Indicator Information，TAXII）的形式來表示。

由于此列表全面地呈現(xiàn)了攻擊者在攻擊網(wǎng)絡時所采用的行為，因此它對各種具有進攻性和防御性的度量、表示和其他機制都非常有用。

從視覺角度來看，ATT＆CK矩陣按照易于理解的格式將所有已知的戰(zhàn)術和技術進行排列。

攻擊戰(zhàn)術展示在矩陣頂部，每列下面列出了單獨的技術。

一個攻擊序列至少包含一個技術，并且從左側(cè)（初始訪問）向右側(cè)（影響）移動，這樣就構(gòu)建了一個完整的攻擊序列。一種戰(zhàn)術可能使用多種技術，如攻擊者可能同時嘗試魚叉式網(wǎng)絡釣魚攻擊中的釣魚郵件和釣魚鏈接。

ATT＆CK戰(zhàn)術按照邏輯分布在多個矩陣中，并以“初始訪問”戰(zhàn)術開始，如發(fā)送包含惡意附件的魚叉式網(wǎng)絡釣魚郵件就是該戰(zhàn)術下的一項技術。

ATT＆CK中的每一種技術都有唯一的ID號碼，如技術T1193。矩陣中的下一個戰(zhàn)術是“執(zhí)行”，在該戰(zhàn)術下有“用戶執(zhí)行T1204”技術，該技術描述了在用戶執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣后面的階段中，你將會遇到“提升特權”“橫向移動”和“滲透”之類的戰(zhàn)術。

攻擊者不會使用矩陣頂部所有的12項戰(zhàn)術，相反，他們會使用最少數(shù)量的戰(zhàn)術來實現(xiàn)目標，因為這可以提高效率并且降低被發(fā)現(xiàn)的概率。

例如，攻擊者使用電子郵件中傳遞的魚叉式網(wǎng)絡釣魚鏈接對CEO行政助理的憑證進行“初始訪問”，在獲得管理員的憑證后，攻擊者將在“發(fā)現(xiàn)”階段尋找遠程系統(tǒng)。接下來可能是在Dropbox文件夾中尋找敏感數(shù)據(jù)，因為管理員對此也有訪問權限，因此無須提升權限。最后攻擊者通過將文件從Dropbox下載到計算機來完成收集。

ATT&CK使用場景

在各種日常環(huán)境中，ATT＆CK都很有價值。當開展防御活動時，可以將ATT＆CK分類法作為預判攻擊者行為的參考依據(jù)。

ATT＆CK不僅能為網(wǎng)絡防御者提供通用技術庫，還能為滲透測試和紅隊提供基礎，即通用語言。

組織可以以多種方式來使用ATT＆CK，下面是一些常見的場景。

1. 對抗模擬

ATT＆CK可用于創(chuàng)建對抗性模擬場景，對常見對抗技術的防御方案進行測試和驗證。

2. 紅隊/滲透測試活動

攻防雙方的滲透測試活動的規(guī)劃、執(zhí)行和報告可以使用ATT＆CK，為防御者和報告接收者提供一種通用語言。

3. 制定行為分析方案

ATT＆CK可用于構(gòu)建和測試行為分析方案，以檢測環(huán)境中的對抗行為。

4. 防御差距評估

ATT＆CK可以用于以行為為核心的常見對抗模型中，以評估組織內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。

在研究 ATT＆CK時，大多數(shù)安全團隊都傾向于為Enterprise矩陣中的每種技術嘗試開發(fā)某種檢測或預防控制措施。雖然這并不是一個壞主意，但是ATT＆CK矩陣中的技術通?？梢酝ㄟ^多種方式執(zhí)行。因此，阻止或檢測執(zhí)行這些技術的一種方法并不一定意味著涵蓋了執(zhí)行該技術的所有可能方法。

由于某種工具阻止了用另一種形式來采用這種技術，而組織機構(gòu)已經(jīng)適當?shù)夭捎昧诉@種技術，這可能會產(chǎn)生一種虛假的安全感。這時，攻擊者仍然可以采用其他方式來采用該技術，但防御者卻沒有任何檢測或預防措施。

5. SOC成熟度評估

ATT＆CK可作為一種度量，確定SOC在檢測、分析和響應入侵方面的有效性。

SOC團隊可以參考ATT＆CK已檢測或未涵蓋的技術和戰(zhàn)術，這有助于了解防御的優(yōu)勢和劣勢并驗證緩解和檢測控制措施，以便發(fā)現(xiàn)配置錯誤和其他操作問題。

6. 網(wǎng)絡威脅情報收集

ATT＆CK對網(wǎng)絡威脅情報很有用，因為ATT＆CK是在用一種標準方式描述對抗行為，是根據(jù)攻擊者利用的ATT＆CK技術和戰(zhàn)術來跟蹤攻擊主體。

這就為防御者提供了一個路線圖，以便他們可以對照操作控制措施，針于某些攻擊主體查看自己的弱點和優(yōu)勢。針對特定的攻擊主體創(chuàng)建ATT＆CK導航工具內(nèi)容，是一種觀察環(huán)境中攻擊主體或團體的優(yōu)勢和劣勢的好方法。

ATT＆CK還可以為STIX和TAXII 2.0提供內(nèi)容，從而很容易地將支持這些技術的現(xiàn)有工具納入其中。

AWS ATT&CK云模型

隨著云計算平臺的快速發(fā)展，對云基礎設施的攻擊也顯著增加。

2019年AWS針對云攻擊推出了AWS ATT&CK云模型，下面針對云攻擊模型的攻擊戰(zhàn)略和戰(zhàn)術，以及防護和緩解措施做詳細的介紹。

1. 初始訪問

攻擊者試圖進入你的網(wǎng)絡。

初始訪問是使用各種入口向量在網(wǎng)絡中獲得其初始立足點的技術。

其用于立足的技術包括針對性的魚叉式欺騙和利用面向公眾的Web服務器上的安全漏洞獲得的立足點，例如有效賬戶和使用外部遠程服務等。

攻擊者通過利用面向互聯(lián)網(wǎng)的計算機系統(tǒng)或程序中的弱點，產(chǎn)生破壞行為，這些弱點可能是錯誤、故障或設計漏洞等。

這些應用程序通常是指網(wǎng)站，但也包括數(shù)據(jù)庫（如SQL）、標準服務（如SMB或SSH），以及具有Internet（因特網(wǎng)）可訪問開放套接字的任何其他應用程序，如Web服務器和相關服務。

如果應用程序托管在基于云的基礎架構(gòu)上，則對其使用可能會導致基礎實例受到損害，如使對手獲得訪問云API或利用弱身份和訪問管理策略的路徑。

對于網(wǎng)站和數(shù)據(jù)庫，OWASP（Open Web Application Security Project，開放式Web應用程序安全性項目）公示的前十大安全漏洞和CWE（Common Weakness Enumeration，常見弱點枚舉）排名前25位，突出了最常見的基于Web的漏洞。

2. 執(zhí)行

執(zhí)行策略是使攻擊者控制的代碼在本地或遠程系統(tǒng)上執(zhí)行的技術。

此策略通常與初始訪問結(jié)合使用，作為獲得訪問權限后執(zhí)行代碼的手段，以及橫向移動以擴展對網(wǎng)絡遠程系統(tǒng)的訪問權限。

有權訪問AWS控制臺的攻擊者可以利用API網(wǎng)關和Lambda創(chuàng)建能夠?qū)~戶進行更改的后門，那么一組精心設計的命令就會觸發(fā)Lambda函數(shù)返回角色的臨時憑證，然后將這些憑證添加到本地AWS CLI（AWS Command-Line Interfoce，AWS命令行界面）配置文件中來創(chuàng)建惡意用戶。

3. 持久性

對手試圖保持立足點。

持久性是指攻擊者利用重新啟動、更改憑證等手段對系統(tǒng)訪問的技術組成。攻擊駐留技術包括任何訪問、操作或配置更改，以便使它們能夠在系統(tǒng)內(nèi)持久隱藏，例如替換、劫持合法代碼或添加啟動代碼。

Amazon Web Service Amazon Machine Images（AWS AMI），Google Cloud Platform（GCP）映像和Azure映像，以及容器在運行時（如Docker）都可以被植入后門以包含惡意代碼。如果指示基礎架構(gòu)配置的工具始終使用最新映像，則可以提供持久性訪問。

攻擊者已經(jīng)開發(fā)了一種工具，可以在云容器映像中植入后門。如果攻擊者有權訪問受感染的AWS實例，并且有權列出可用的容器映像，則他們可能會植入后門，如Web Shell。攻擊者還可能將后門植入在云部署無意使用的Docker映像中，這在某些加密挖礦僵尸網(wǎng)絡實例中已有報道。

4. 提升權限

攻擊者可以使用憑證訪問技術竊取特定用戶或服務賬戶的憑證，或者在偵察過程的早期通過社會工程來獲取憑證以獲得初始訪問權限。

攻擊者使用的賬戶可以分為三類：默認賬戶、本地賬戶和域賬戶。

默認賬戶是操作系統(tǒng)內(nèi)置的賬戶，如Windows系統(tǒng)上的Guest和Administrator賬戶，或其他類型的系統(tǒng)、軟件、設備上的默認工廠或提供者設置賬戶。

本地賬戶是由組織配置的賬戶，供用戶遠程支持、服務或在單個系統(tǒng)或服務上進行管理。

域賬戶是由Active Directory域服務和管理的賬戶，其中為跨該域的系統(tǒng)和服務配置訪問權限。域賬戶可以涵蓋用戶、管理員和服務。

受損的憑證可能會用于繞過放置在網(wǎng)絡系統(tǒng)上各種資源的訪問控制，甚至可能會用于對遠程系統(tǒng)和外部可用服務（如VPN，Outlook Web Access和遠程桌面）的持久訪問。

受損的憑證也可能會增加攻擊者對特定系統(tǒng)或訪問網(wǎng)絡受限區(qū)域的特權。攻擊者可能不選擇將惡意軟件或工具與這些憑證提供的合法訪問結(jié)合使用，以便更難檢測到它們的存在。

另外，攻擊者也可能會利用公開披露的私鑰或被盜的私鑰，通過遠程服務合法連接到遠程環(huán)境。

在整個網(wǎng)絡系統(tǒng)中，賬戶訪問權、憑證和權限的重疊是需要關注的，因為攻擊者可能會跨賬戶和系統(tǒng)進行輪轉(zhuǎn)以達到較高的訪問級別（即域或企業(yè)管理員），從而繞過訪問控制。

5. 防御繞過

攻擊者試圖避免被發(fā)現(xiàn)。

防御繞過包括攻擊者用來避免在整個攻擊過程中被發(fā)現(xiàn)的技術。

逃避防御所使用的技術包括卸載或禁用安全軟件或?qū)?shù)據(jù)和腳本進行混淆或加密。攻擊者還會利用和濫用受信任的進程來隱藏和偽裝其惡意軟件。

攻擊者在執(zhí)行惡意活動后可能會撤回對云實例所做的更改，以逃避檢測并刪除其存在的證據(jù)。在高度虛擬化的環(huán)境（如基于云的基礎架構(gòu)）中，攻擊者可以通過云管理儀表板使用VM或數(shù)據(jù)存儲快照的還原輕松達到此目的。

該技術的另一個變體是利用附加到計算實例的臨時存儲。大多數(shù)云服務商都提供各種類型的存儲，包括持久性存儲、本地存儲和臨時存儲，后者通常在VM停止或重新啟動時被重置。

6. 憑證訪問

攻擊者試圖竊取賬戶名和密碼。

憑證訪問包括用于竊取憑證（如賬戶名和密碼）的技術，包括密鑰記錄和憑證轉(zhuǎn)儲。若攻擊者利用了合法的憑證訪問系統(tǒng)，則更難被發(fā)現(xiàn)，此時攻擊者可以創(chuàng)建更多賬戶以幫助其增加最終實現(xiàn)目標的概率。

攻擊者可能會嘗試訪問云實例元數(shù)據(jù)API，以收集憑證和其他敏感數(shù)據(jù)。

大多數(shù)云服務商都支持云實例元數(shù)據(jù)API，這是提供給正在運行的虛擬實例的服務，以允許應用程序訪問有關正在運行的虛擬實例的信息。

可用信息通常包括名稱、安全組和其他元數(shù)據(jù)的信息，甚至包括敏感數(shù)據(jù)（如憑證和可能包含其他機密的UserData腳本）。提供實例元數(shù)據(jù)API是為了方便管理應用程序，任何可以訪問該實例的人都可以訪問它。

如果攻擊者在運行中的虛擬實例上存在，則他們就可以直接查詢實例元數(shù)據(jù)API，以標識授予對其他資源訪問權限的憑證。

此外，攻擊者可能會利用面向公眾的Web代理中的服務器端請求偽造（Server-Side Request Forgery，SSRF）漏洞，該漏洞可以使攻擊者通過對實例元數(shù)據(jù)API的請求訪問敏感信息。

7. 發(fā)現(xiàn)

攻擊者試圖找出你的環(huán)境。

發(fā)現(xiàn)包括攻擊者可能用來獲取有關系統(tǒng)和內(nèi)部網(wǎng)絡知識的技術。

這些技術可幫助攻擊者在決定采取行動之前觀察環(huán)境并確定方向。它們還允許攻擊者探索他們可以控制的東西及進入點附近的東西，以便發(fā)現(xiàn)如何使他們當前的目標受益。

攻擊者可以通過查詢網(wǎng)絡上的信息，來嘗試獲取與他們當前正在訪問的受感染系統(tǒng)之間或從遠程系統(tǒng)獲得的網(wǎng)絡連接的列表。

獲得基于云環(huán)境的一部分系統(tǒng)訪問權的攻擊者，可能會規(guī)劃出虛擬私有云或虛擬網(wǎng)絡，以便確定連接了哪些系統(tǒng)和服務。

針對不同的操作系統(tǒng)，所執(zhí)行的操作可能是相同類型的攻擊發(fā)現(xiàn)技術，但是所得信息都包括與攻擊者目標相關的聯(lián)網(wǎng)云環(huán)境的詳細信息。不同云服務商可能有不同的虛擬網(wǎng)絡運營方式。

8. 橫向移動

橫向移動由使攻擊者能夠訪問和控制網(wǎng)絡上的遠程系統(tǒng)的技術組成，并且可以但不一定包括在遠程系統(tǒng)上執(zhí)行工具。

橫向移動技術可以使攻擊者從系統(tǒng)中收集信息，而無須其他工具，如遠程訪問工具。

如果存在交叉賬戶角色，攻擊者就可以使用向其授予AssumeRole權限的憑證來獲取另一個AWS賬戶的憑證。在默認情況下，當使用AWS Organization時，父賬戶的使用者可以在子賬戶中創(chuàng)建這些交叉賬戶角色

攻擊者可以識別可用作橫向移動橋接器的IAM角色，并在初始目標賬戶中搜索所有IAM用戶、組、角色策略及客戶管理的策略，并識別可能的橋接IAM角色。

在AssumeRole事件的初始目標賬戶中，攻擊者使用兩天的默認回溯窗口配置和1%的采樣率收集有關任何跨賬戶角色假設的信息。有了潛在的橋接IAM角色列表，MadDog就可以嘗試獲取可用于橫向移動的臨時憑證賬戶了。

通過波動模式，攻擊者可以使用MadDog通過從每個被破壞賬戶中獲得的憑證來破壞盡可能多的AWS賬戶。通過持久性模式，MadDog將在每個違規(guī)賬戶下創(chuàng)建一個IAM用戶，以進行直接和長期訪問，而無須遍歷橫向移動最初使用的AWS角色鏈。

9. 縱向移動

縱向移動包括使攻擊者能夠訪問和控制系統(tǒng)并同時在兩個不同的平面（即網(wǎng)絡平面和云平面）上旋轉(zhuǎn)的技術。

攻擊者可以使用AWS SSM（Simple Server Manager）來獲得具有適當權限的AWS憑證在計算機中的反向Shell。借助云的控制，攻擊者可以向自己授予讀取網(wǎng)絡中所有硬盤的權限，以及在磁盤中搜尋憑證或用戶的權限。

10. 收集

攻擊者正在嘗試收集目標感興趣的數(shù)據(jù)。

收集包括攻擊者用來收集信息的技術。

通常，收集數(shù)據(jù)后的下一個目標是竊取（泄露）數(shù)據(jù)。常見的目標來源包括各種驅(qū)動器類型、瀏覽器、音頻、視頻和電子郵件。常見的收集方法包括捕獲屏幕截圖和鍵盤輸入。

攻擊者可能會從安全保護不當?shù)脑拼鎯χ性L問數(shù)據(jù)對象。

許多云服務商都提供在線數(shù)據(jù)存儲解決方案，如Amazon S3，Azure存儲和Google Cloud Storage。

與其他存儲解決方案（如SQL或Elasticsearch）的不同之處在于，它們沒有總體應用程序，它們的數(shù)據(jù)可以使用云服務商的API直接檢索。云服務商通常會提供安全指南，以幫助最終用戶配置系統(tǒng)。

最終用戶的配置出現(xiàn)錯誤是一個普遍的問題，發(fā)生過很多類似事件，如云存儲的安全保護不當（通常是無意中允許未經(jīng)身份驗證的用戶進行公共訪問，或者所有用戶都過度訪問），從而允許公開訪問信用卡、個人身份信息、病歷和其他敏感信息。

攻擊者還可能在源存儲庫、日志等中獲取泄露的憑證，以獲取對具有訪問權限控制的云存儲對象的訪問權。

11. 滲透與數(shù)據(jù)竊取

攻擊者試圖竊取數(shù)據(jù)。

滲透由攻擊者用來從網(wǎng)絡中竊取數(shù)據(jù)的技術組成。攻擊者收集到數(shù)據(jù)后，通常會對其進行打包，避免在刪除數(shù)據(jù)時被發(fā)現(xiàn)，這包括數(shù)據(jù)壓縮和數(shù)據(jù)加密。用于從目標網(wǎng)絡中竊取數(shù)據(jù)的技術通常包括在其命令和控制信道或備用信道上傳輸數(shù)據(jù)，以及在傳輸中設置大小限制。

攻擊者通過將數(shù)據(jù)（包括云環(huán)境的備份）轉(zhuǎn)移到他們在同一服務上控制的另一個云賬戶中來竊取數(shù)據(jù)，從而避免典型的文件下載或傳輸和基于網(wǎng)絡的滲透檢測。

通過命令和控制通道監(jiān)視向云環(huán)境外部大規(guī)模傳輸?shù)姆烙?，可能不會監(jiān)視向同一個云服務商內(nèi)部的另一個賬戶的數(shù)據(jù)傳輸。

這樣的傳輸可以利用現(xiàn)有云服務商的API和內(nèi)部地址空間混合到正常流量中，或者避免通過外部網(wǎng)絡接口進行數(shù)據(jù)傳輸。在一些事件中，攻擊者創(chuàng)建了云實例的備份并將其轉(zhuǎn)移到單獨的賬戶中。

12. 干擾

攻擊者試圖操縱、中斷或破壞系統(tǒng)和數(shù)據(jù)。

干擾包括攻擊者用來通過操縱業(yè)務和運營流程破壞系統(tǒng)和數(shù)據(jù)的可用性或完整性的技術，包括破壞或篡改數(shù)據(jù)。

在某些情況下，有時候業(yè)務流程看起來還不錯，但可能已進行了更改，以使攻擊者的目標受益。攻擊者可能會使用這些技術實現(xiàn)其最終目標，或為違反保密性提供掩護。

常見的攻擊戰(zhàn)術包括DDoS（Distributed Denial-of-Service，抗拒絕服務攻擊）和資源劫持。

攻擊者可以對來自AWS區(qū)域中EC2實例的多個目標（AWS或非AWS）執(zhí)行DDoS，也可能會利用增補系統(tǒng)的資源，解決影響系統(tǒng)或托管服務可用性的資源密集型問題。

資源劫持的一個常見目的是驗證加密貨幣網(wǎng)絡的交易并獲得虛擬貨幣。攻擊者可能會消耗足夠的系統(tǒng)資源，從而對受影響的計算機造成負面影響或使它們失去響應。服務器和基于云的系統(tǒng)經(jīng)常是他們的目標，因為可用資源的潛力很大，但是有時用戶終端系統(tǒng)也可能會受到危害，并用于資源劫持和加密貨幣挖掘。