《电子技术应用》
您所在的位置:首页 > 通信与网络 > 设计应用 > 基于ATT&CK框架的域威胁检测
基于ATT&CK框架的域威胁检测
信息技术与网络安全 12期
何树果1,袁 瑗2,朱 震1,卢圣龙1,陈嘉磊1,毕鑫泰1
(1.北京升鑫网络科技有限公司 青藤云安全人工智能实验室,北京101111; 2.西南大学 计算机与信息科学学院,重庆400715)
摘要: 保障企业域环境中的敏感信息与数据的安全一直是安全研究人员所面临的挑战之一。针对这一难题,提出将ATT&CK框架所提供的攻击行为知识库与域安全防御结合,对ATT&CK中涉及的域安全相关战术和技术进行全覆盖,在模拟环境中分析实时产生的日志数据,监控并捕获敏感日志事件和连续异常的日志事件。最后,组织安全领域技术人员进行红蓝实战对抗。对抗结果表明,基于ATT&CK框架能够有效检测域攻击姿势。
中图分类号: TP309.1
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何树果,袁瑗,朱震,等. 基于ATT&CK框架的域威胁检测[J].信息技术与网络安全,2021,40(12):15-18,25.
Domain threat detection based on ATT&CK framework
He Shuguo1,Yuan Yuan2,Zhu Zhen1,Lu Shenglong1,Chen Jialei1,Bi Xintai1
(1.Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China; 2.College of Computer & Information Science,Southwest University,Chongqing 400715,China)
Abstract: It has always been one of the challenges faced by security researchers about how to ensure the security of sensitive information and data in the enterprise domain environment. In response to this problem, it is proposed to combine the attack behavior knowledge base provided by the ATT&CK framework with the domain security defense to fully cover the domain security-related tactics and technologies involved in ATT&CK. Real-time log data generated in a simulated environment is analyzed, and sensitive log events and continuous abnormal log events are monitored and captured. Finally, technical personnel in the security field are organized to conduct a red-blue exercise. The results of the exercise show that under the guidance of the ATT&CK framework, the domain attack posture can be well detected.
Key words : ATT&CK framework;domain penetration;domain security;threat intelligence

0 引言

互联网企业规模不断扩张,随之而来的是计算机数量的逐年增加。微软为管理员提供了两种方式管理计算机,即域和工作组。默认情况下,计算机会加入工作组,但是工作组在管理上属于分散型,很难用于集中管理,更加适用于小型网络。其中,为提升大型网络的管理效率以及安全性,微软提供了域技术来管理大型网络中的计算机,辅助管理人员对计算机进行集中管理[1]。在域中,使用域控制器(Domain Controller,DC)进行管理,使用服务器为申请连接的计算机进行验证,DC中存放着域账户、密码以及隶属于域的计算机信息等。如果某台计算机想要连接这个域,域控制器会根据账户和密码来判定这台计算机是否属于这个域,从一定程度上对网络安全管理进行了加强。

使用域技术进行管理是目前很多企业、工厂都会采用的一个常见管理方法。由于DC中涵盖了域的敏感信息,因此域管理下的网络安全是需要建立在DC的安全之上的[2]。一旦域管理员的账号和密码泄露,黑客便可以利用盗取的高权限账户来操纵域环境,进行信息盗取、投放病毒、留后门维持访问等操作,因此域渗透已经成为了黑客入侵企业网络的主要手段之一。一旦域控服务器被黑客攻陷,可能会导致企业的敏感信息泄露、工作进度瘫痪、被黑客勒索等后果,会给企业带来非常严重的损失[3]。保障域安全是域管理的重要环节,传统的防御方式主要是从防御者的角度去提出解决方案,但往往面临着覆盖范围不全面、难以检测新的未知威胁等问题[4]。



本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003890







作者信息:

何树果1,袁  瑗2,朱  震1,卢圣龙1,陈嘉磊1,毕鑫泰1

(1.北京升鑫网络科技有限公司 青藤云安全人工智能实验室,北京101111;

2.西南大学 计算机与信息科学学院,重庆400715)


此内容为AET网站原创,未经授权禁止转载。

相关内容