2022年2月28日，MITRE Engage 團隊正式發布了 Engage V1 版本。我們都非常了解MITRE ATT&CK框架，但針對ATT&CK框架中的攻擊技術，防守方如何進行主動防御呢？Engage 矩陣的推出給了我們很好的答案。本文將介紹MITRE Engage的基本信息及如何將Engage進行落地實踐。

　　1. MITRE Engage介紹

　　1.1 詳解MITRE Engage矩陣結構

　　Engage矩陣在縱向上被分為兩類活動：戰略活動和作戰活動。

　　戰略活動：戰略活動（下圖黃色部分）是矩陣的基礎，確保防御者按照戰略規劃和分析推動作戰行動。此外，戰略活動可以確保防御者收集了利益相關者（管理層、監管機構等）的要求并確定了可接受的風險。在整個行動過程中，防御者將確保所有作戰都在這些定義的規則范圍內進行。

　　作戰活動：作戰活動（下圖中間部分）是傳統的網絡阻斷和欺騙活動，用于推動實現作戰目標。

　　Engage矩陣在橫向上被進一步細分為目標、方法和活動。矩陣的頂部是Engage目標，即用戶希望通過作戰能夠完成的高層次的結果。“準備”和“理解”部分的重點是作戰的投入和產出。雖然矩陣是線性的，但它應該被看作是循環的。隨著作戰的深入，用戶要不斷地調整作戰活動，以推動作戰目標的進展。作戰目標包括“暴露”、“影響”和“引出”。這些目標的重點是針對攻擊者采取的行動。下一行是作戰方法，確保用戶朝著選定的目標取得進展。其余部分是作戰活動，這些是在對抗作戰中使用的具體技術。

　　1.2 MITRE Engage與MITRE ATT&CK映射關系

　　當攻擊者進行某項特定行為時，他們很容易暴露出一些意想不到的弱點。MITRE Engage研究了每項 ATT&CK 技術，來發現攻擊者的弱點并確定如何利用該弱點開展作戰活動。將各項Engage 作戰活動與 ATT&CK技術映射起來，可以確保 Engage 中的每項活動都是針對觀察到的攻擊者行為所開展的。

　　例如，當攻擊者進行遠程系統發現的 ATT&CK 技術 （T1018） 時，他們很容易收集、觀察到欺騙性系統工件或信息。因此，作為防守方，我們可以使用誘餌讓他們暴露行蹤，使用更多或更高級的能力對付攻擊者，并影響他們的駐留時間。

　　對于給定的 ATT&CK 技術，MITRE Engage提供以下映射：

　　ATT&CK ID & Name——ATT&CK技術ID和名稱

　　攻擊者缺陷——攻擊者在進行特定行為時暴露的缺陷

　　作戰活動——防御者可以采取的行動來利用攻擊者暴露的漏洞

　　這些映射是一對多的關系（即單個 ATT&CK ID 可能對應一個或多個不同的漏洞和作戰活動）。

　　1.3 Engage與傳統網絡阻斷、網絡欺騙之間關系

　　防守者通常會使用縱深防御技術，來阻止攻擊者訪問網絡或關鍵資產。畢竟，任何時候攻擊者能夠訪問一個新的系統或從網絡中滲出一些數據，他們就贏了。但是魔高一尺道高一丈，例如，當防御者引入欺騙性技術時，就能夠在一定程度上迷惑攻擊者，相關資產的不確定性能夠極大增加攻擊成本。

　　那Engage與傳統網絡阻斷、網絡欺騙之間有什么關系呢？如圖4所示：

　　網絡阻斷：是指阻止或以其他方式損害攻擊者開展行動的能力。

　　這種破壞可能限制他們的作戰和收集行為，或者降低攻擊者能力的有效性。

　　網絡欺騙：是指故意暴露欺騙性的資產或架構，以誘導攻擊者，同時隱瞞真實資產，以防止攻擊者采取進一步的行動。

　　對抗作戰：是指在戰略規劃和分析的背景下，綜合使用網絡阻斷和網絡欺騙就形成了對抗作戰的基礎。

　　根據MITRE官方內容介紹，對抗作戰的目標包括：檢測網絡上的攻擊者；獲取情報以了解攻擊者及其TTP；通過提高成本影響攻擊者，同時降低其網絡行動的價值。當對抗作戰與縱深防御技術搭配使用時，防御者能夠主動地與網絡攻擊者“互動”，以實現防御者的戰略目標。

　　整個對抗作戰是一個不斷迭代的、目標驅動的過程，而不僅僅是技術堆棧的部署，絕不是部署一個誘餌就能取得成功的。相反，用戶必須認真思考防御目標是什么，以及如何利用拒絕、欺騙和對抗作戰來推動這些目標的進展。

　　2. MITRE Engage矩陣入門實踐

　　通過上文，我們已經了解網絡阻斷、網絡欺騙和對抗作戰的概念，接下來我們介紹如何將對抗作戰流程和技術整合到防御策略中。我們會從研究Engage矩陣開始，這是開展對抗作戰策略的基礎。在討論和計劃網絡阻斷、網絡欺騙和對抗作戰活動時，Engage矩陣提供了一個共享參考，彌合了防御者、安全廠商和決策者之間的差距。其核心是，Engage矩陣讓防御者確定了對抗作戰目標，然后根據這些目標來確定他們的作戰活動。

　　2.1 如何將Engage矩陣整合到企業網絡戰略中來

　　雖然我們已經探索了如何實施Engage矩陣，但我們尚未研究如何在企業更大的網絡戰略背景下應用該矩陣及對抗作戰。

　　針對防御者的目標而言，Engage 可以用來補充傳統的網絡防御策略。暴露、影響和引出等作戰目標本質上不是欺騙性的。可以想象得到，很多企業已經在按照這些目標來組織企業的安全實踐了。

　　雖然我們經常將對抗作戰視為一種獨特的安全實踐，但最有效和最成熟的實施方式是將安全無縫集成到組織文化中。正如培訓員工養成良好的網絡運維習慣一樣，企業必須培訓員工將欺騙視為最佳實踐。有時，人們把欺騙病態化了，認為欺騙本質上是消極的、偷偷摸摸的和不誠實的。但是，Engage 認為，防御者要將網絡阻斷和欺騙活動常態化，將其視為常規、必要和智能的安全實踐。

　　2.2 Engage實踐的四要素

　　一次成功的對抗作戰活動可以分解為四個部分：故事敘述、作戰環境、監控和分析。故事敘述是指用戶計劃向攻擊者描述的欺騙故事。作戰環境是一套精心定制的、高度感知化的系統，需要根據每次作戰情況來設計，作為故事敘述的背景。這些系統可以是完全隔離的，也可以是集成到生產網絡中的。監控是指用于觀察攻擊者在環境中移動的收集系統。監控對于在整個作戰中保持行動安全至關重要。最后，分析是指用戶采取一些行動，將行動的產出轉化為可操作的情報。連接所有這四個要素的紐帶就是作戰目標，包括：暴露網絡上的攻擊者、通過降低攻擊者的行動能力來影響攻擊者、和/或獲取情報以了解攻擊者的TTP。下圖為開展對抗作戰行動時應該圍繞這幾大要素考慮的問題。

　　2.3 Engage實踐落地流程：收集、分析、確認、實施

　　對抗作戰行動應該是一個根據新情況、新機會不斷迭代、不斷改進和變化的作戰活動。Engage矩陣旨在推動討論和規劃活動，而不是一刀切地涵蓋對抗作戰活動的所有情況。MITRE Engage周期圖說明了Engage矩陣是如何在一次作戰過程中實施的。

　　這個周期沒有確定的開始或結束，但在這個模型中，我們首先要從采集器或Agent收集原始數據。這種收集與收集工具無關，只是指收集方法，收集工具可以是Sysmon、Auditd等，也可以是廠商提供的EDR等工具。然后，下一步是在現有CTI數據的背景下分析原始數據。在這里，我們可以使用MITRE ATT&CK等工具，對這些新數據進行背景分析。通過分析攻擊者的行動，并將這些數據與過去的行為進行比較，防御者可以了解攻擊者當前的活動、甚至可以預測其未來的活動。掌握了這些知識，防御者可以使用 Engage矩陣來確定作戰機會，以達到防御目標。

　　2.4對抗作戰實施：10步流程法

　　結合對抗作戰的四大作戰要素，我們可以概括出對抗作戰行動的流程。但企業通常無法有效規劃如何在其網絡中、以及在網絡的哪些位置進行網絡阻斷、網絡欺騙和對抗作戰活動。如前所述，對抗作戰是一個不斷迭代的、目標驅動的過程，而不僅僅是技術堆棧的部署。為此，MITRE Engage制定了 10 步流程法來幫助企業，將對抗作戰活動納入到網絡防御流程中。

　　10 步流程法對于資源有限或安全計劃不太成熟的組織尤其重要。如果企業能夠明確定義作戰目標，就可以緊密圍繞這些目標有效縮小作戰范圍。所以，即使是小型組織也可以在資源有限的情況下將對抗作戰整合到他們的防御策略中！

　　“Engage 10步流程法”分為三類：準備、作戰和理解。在準備階段，用戶確定作戰目標。然后，用戶要構建一個支持這一目標的故事敘述，為作戰環境的設計和所有的作戰活動提供參考。在這一階段，用戶還可邀請任何利益相關者來確定可接受的風險水平。通過預先設定風險水平，用戶就可以構建清晰的作戰規則（RoE）。監控和分析能力應足以確保作戰活動保持在這些范圍內。在作戰階段，用戶要實施和部署他所設計的活動。最后，在理解階段，用戶可以把作戰產出轉化為可操作的情報，以評估是否達到了作戰目標。而且，這種評估有助于用戶進行經驗總結，以便完善未來的作戰活動。

　　步驟1：評估對攻擊者和組織的了解情況

　　孫子說，知己知彼，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必殆。

　　這句話在網絡作戰中也是正確的。創建威脅模型來了解組織的風險、漏洞和優勢，這是規劃有效的對抗作戰行動的基礎。在威脅模型中，防御者必須識別組織的關鍵網絡資產。同樣，防御者應該使用網絡威脅情報來了解威脅形勢。

　　步驟2：確定作戰目標

　　在了解自己的優勢、劣勢和威脅的基礎上，防御者應該確定他們的作戰目標。這些目標應反映已確定的優先事項。對于成熟的組織，對抗作戰是組織戰略的核心支柱，這些目標也應該反映這個更大的戰略。這些目標應該是具體的、可衡量的行動，讓防御者能夠推動實現更大、更具戰略性的目標。在確定作戰目標時，防御者還應確定目標攻擊者，即某次作戰行動優先針對的攻擊者。可以出于多種原因選擇目標攻擊者。目標攻擊者可能是過去以你的組織或與類似的組織為目標的威脅。目標攻擊者也可以是威脅情報中存在差距的地方。無論出于何種原因，有了目標攻擊者，都可以讓防御者集中注意力并優先考慮作戰活動。

　　步驟3：確定你希望攻擊者作何反應

　　現在，防御者必須確定他們希望攻擊者在作戰期間作何反應，以便朝著作戰目標取得進展。重要的是要記住攻擊者的想法和他們的反應之間是有區別的。如果防御者只考慮他們認為攻擊者會怎么想，就很容易誤判攻擊者的反應。這種不匹配可能導致攻擊者做讓防御者意外的反應。

　　步驟4：確定你希望攻擊者感知到什么

　　現在防御者已經確定了攻擊者應該會作何反應，接下來，防御者就該考慮攻擊者應該在環境中感知到哪些東西來支持實現作戰目標了。這時，防御者必須計劃好將哪些事實和虛假信息暴露給攻擊者，應該將哪些信息向他們隱藏起來。

　　步驟5：確定與攻擊者互動的渠道

　　在確定了攻擊者應該作何反應以及他們應該感知到哪些事情之后，防御者必須探索可用的手段來向攻擊者展示這種效果。作戰環境和作戰故事敘述都可以充當攻擊者被欺騙的渠道。

　　步驟 6：確定成功和把控標準

　　在規劃對抗作戰行動時，防御者必須了解怎樣算是成功和失敗。每次操作都存在風險因素。通過設置可接受與不可接受風險的明確界限，防御者可以創建明確的把控標準，或觸發作戰活動結束與暫停的節點。這樣，防御者可以避免在作戰過程中出現任何混亂、事故或其他可預防的風險。此外，在觸發把控標準的情況下，防御者應確定明確的響應行為，知道超出某些標準時應該如何進行響應。最后，應該清楚地了解作戰目標是否成功完成。如果成功的定義不明確，很容易因為作戰持續時間過長或忽視初始目標而浪費資源。

　　步驟7：執行作戰行動

　　此時，作戰行動從計劃轉向執行。防御者實施計劃的作戰活動并開始積極與攻擊者作戰。接下來的步驟是分析，這些步驟不應僅在達到預定把控標準后才考慮，而是應該不斷地分析作戰情況，不斷迭代、優化實施細節。在整個行動過程中，防御者應該不斷地循環規劃、執行和分析，促使作戰活動達到既定目標。

　　步驟8：將原始數據轉化為可操作的情報

　　隨著行動的進行，作戰的原始輸出結果應提煉為可操作的情報，這可以確保作戰活動的結果對于防御者是有用的。提煉情報的一種關鍵方法是使用數據分析。通過數據分析，防御者可以將作戰期間收集的原始數據映射生成攻擊者的攻擊行為。行為分析等自動化分析對于產生有意義的情報至關重要。在這一步驟中產生的情報可以酌情在組織內部和外部共享，并用于改善威脅模型和未來的防御活動。

　　步驟9：反饋情報

　　從作戰中獲得的可操作情報必須反饋到現有威脅模型中，以便為未來的決策提供信息。每次更新威脅模型時，都必須重新審視利用原有情報做出的作戰決策。

　　步驟10：分析成功和失敗，為未來的活動提供信息

　　每當達到把控標準時，就必須分析作戰中成功和失敗的地方。通過回顧，團隊可以分析作戰中的事件，確保朝著實現作戰目標發展。這包括回顧規劃、實施、對抗活動和產生的影響。除了回顧作戰情況之外，還要評估團隊和其他利益相關者的溝通和合作情況。雖然這類審查應在作戰行動結束時進行，但在長期作戰時，應定期進行，這對于確保實現作戰目標至關重要。