原标题：瀚思编译 | ATT&CK紫队经验谈

ATT&CK随笔系列之三 ：比武招亲 一文介绍了入侵者模拟技术，提到其是MITRE ATT&CK评测的核心观念和实施基础。近几年包括FireEye在内的多家网络安全厂商相继发布了基于入侵者模拟的“紫队服务”以帮助用户验证、提升安全防护能力，而全球最大信息安全培训机构SANS也推出了“紫队战术-入侵者模拟”课程培训。那么紫队服务如何开展呢，去年末ATT&CKcon 2.0会议上，MITRE邀请了Priceline CISO和为其提供紫队服务的Praetorian公司代表共同分享了相关经验、教训和最佳实践。

--译者

Daniel Wyleczuk-Stern（Praetorian实践经理，此前为美国空军军官，获得了一些证书，爱猫人士）

Matt Southworth（Priceline首席信息安全官，此前为金融服务机构安全工程师，咖啡党）

【Daniel，紫队服务】欢迎 Daniel Wyleczuk-Stern和Matt Southworth

【Matt，Priceline CISO】大家好 我是Matt，在线旅游网站 Priceline安全团队成员，Priceline不大但我们有非常强大精干的安全团队，基本上我们都是多面手，不过我们更倾向于蓝队而非红队。

我们认同攻击测试的价值，只是与第三方红队或渗透测试合作中有一些问题。去年，我们与 Praetorian一起做紫队模拟测试，结果非常成功，双方团队也更加成熟。值得一提的是，我们使用了ATT&CK框架来指导紫队模拟测试。

Priceline是控股公司的一部分，我们还有 Kayak、booking.com、OpenTable。在这些子公司内部我们也使用了同样紫队模拟测试并取得了不错的成绩。紫队指的是第三方攻击者 （瀚思编译注：这里的紫队是指提供模拟攻击服务，重在迭代增强客户防护能力，参照ATT&CK随笔系列之三：比武招亲 一文提到的“入侵者模拟”） ，他们与我们团队的防守方工程师一起合作约一周时间讨论哪些能做到，哪些不能做到。今天的分享主要内容正是介绍我们做的好的部分、我们需要提升的部分以及我们下一步的计划。

【Daniel，紫队服务】我叫Daniel 在Praetorian工作，过去一年半都在帮助建立我们的紫队服务，现在两年了 有点心得。最初让我们进入紫队领域的问题之一是安全开支直冲上天尤其是在检测领域。

不过在有关如何衡量并持续提升检测方面，在ATT&CK出现前并没有什么特别好的办法。我们还观察到一件事，某种程度上红对和蓝队是冲突的，这两类团队各自驱动成功的指标通常不一样，常常是相反的。所以两队之间无法共享信息，无法一起解决真正的问题：提升安全防护能力。

我们常常看到的现象是，各种防守方失误导致红队的攻击无法被检测，或者我们只是做传统渗透测试，然后陷入尴尬的讨论，防守方常常说请注意我们有强大的防护检测能力，如果怎样怎样就能发现攻击了。这其实是在偷换概念，通过回答一个简单的问题“我们是否检测到攻击了”去回避一个更加重要而有挑战的问题：“整体防护能力到底如何”。

【Matt，Priceline CISO】我也常说到要保证在你的报告里提到我们强大的检测啊，这样我们老板看报告时才知道我们不完全是傻子，但我觉得红队也存在一些问题。最让我沮丧的事情之一就是每次测试的结果大同小异一直在重复。比如tomcat或JBoss服务器默认访问凭证的问题，我就觉得老在我网络上阴魂不散，这种结果的部分原因我为是时间问题，红队执行测试，花一周时间写报告，然后把报告发给我们，我们再读完报告，这个时候时间都过去一个月了。而此时，我们的日志回滚，记忆淡化甚至不确定看没看到过这个，有没有对此发过告警，有没有限制读取的权限，反馈周期真的太长了。我的团队根本没法针对我们想做的测试采取任何可执行的行动。

【Daniel，紫队服务】这张幻灯片列出了为什么我们最终选择ATT&CK的原因。

ATT&CK提供可重复过程，我们执行紫队测试时就能在某种程度上以之为基础，我们觉得这是件好事。在攻击上通过不断迭代，确立可重复过程和清晰的定义。而且 ATT&CK贴合行业，我们能够清晰地沟通标准，不仅仅是和Priceline 还有我们其他很多客户。这能帮我们解释为什么我们要测试，解释我们的测试结论，让我们可以呈现安全防护能力的不断改善，当然，也可能是变糟。ATT&CK还提供针对战术，技术，相关数据源，甚至细化到具体的技术的指导和建议。

【Matt，Priceline CISO】没错，作为控股公司的一部分我们跟Kayak安全团队跟OpenTable安全团队相比还是很有竞争力的，我们想看看自己的覆盖跟他们的差异和比较。带着对比结果找供应商问，我们从你这儿买了产品，觉得你应该覆盖这些TTP，都有东西能触发了，为什么你帮不上忙？我们通过控制面板和燃尽列表做很多工作，这么做上三次，我们就知道自己想要做什么？想要达到什么效果？我们可以很容易地将之可视化呈现出来，向团队和管理层展示小规模进展。

【Daniel，紫队服务】紫队有四个关键目标，首先是通过对攻击者技术的针对性模拟（入侵者模拟，Adversary Emulation）提升检测能力。这里我想强调的关键词是提升，我们模拟演练的目标是留下一个比之前更好的环境，因为是红队蓝队共同协作，就有大好机会不仅仅做评估，还对安全产生积极影响。可以说你之前的情况是这样的，然后我们教了你些东西，我们构建了更好的警报我们减少了误报，让环境此前更健壮了，而且我们还收集了各项指标。这样公司就能了解自己的检测能力，知道自己记录的数据源都有哪些，哪些解决方案表现良好，哪些没什么用。

【Matt，Priceline CISO】没错，第一轮主要涉及遥测，这个在过去的两天里已经讨论很多了。 但我们真的覆盖对了吗？而随着我们逐步修正，我们发展出了对团队的战术和战略建议一些是我们自己找到的一些是我们问Daniel要的，这真的有助于我们设立16或18个月的路线图。

【Daniel，紫队服务】限制也有不少，我们做了约一周，我们团队的两个人，还有Priceline或其他客户的同仁 我们触及了不能或不愿测试的一些领域。这还是第一次，只有一周，有些TTP可能需太长时间设置，或者那个时间内未必适合做，例如，T1030 这个技术ID对应的技术名称是“数据传输字节大小限制 Data transfer size limit”。 攻击者需在某时间段内将大块数据拆分为多个小块数据进行发送，我们在一周的测试时间内未必会碰到触发对应的探针，所以我们不如用交流来代替测试。

【Matt，Priceline CISO】是的，我们从威胁家族的层面考虑，威胁家族就是攻击者和技术的合体。我们看重电子商务在线旅游中的这些，而 T1205（Port Knocking）不是我们的重点。所以 当我们在执行前想清楚时我们就知道自己想要测试什么，知道哪些该放一边。

【Daniel，紫队服务】然后是能力，这个涵盖了很多不同领域，有些可能是不允许我们测试的。比如域渗透T1207 （DCShadow）供应商跑来问你要进入你网络的域名，这事儿就不太正常除非他自己弄到。

我们还发现跑去说，嘿我想要个域账户，这样说不太好，所以需要开放而良好的沟通，说给我们的访问权有限，我们可能没办法测试这些，你可以自己如何如何做，这样有助于为接下来的交互定下更具协作性的沟通基调。再如，我们不会尝试闯入工厂插入恶意芯片，所以我们未必测试某些初始访问技术，这种工作量更大。

【Matt，Priceline CISO】关于能力，我觉得最重要的一点是要知道，我们什么时候应该把一些事情留到后面再做。没有遥测数据，那这周就不加入这个。放到一边，以后再说。

如果你发现他们检测不到某些东西，别死揪着不放；如果缺了哪个数据源继续测试这个领域真没什么意义。

【Daniel，紫队服务】从我们外部人的角度，有三个特定领域帮助我们通向成功的。合作是关键，我们第一次紫队测试时大家都坐到一个房间里测试了一周。我讨厌这样，重要的是从失败中学习，我们交流哪些做对了哪些做错了。以便能够在未来迭代中改进，我们问人家，你不喜欢其中哪个方面，我们该怎么改进？

做出优先级判定，要了解你执行的难点，知道哪些问题难以解决。获取客户反馈，映射到TTP，哪些TTP要先测？在哪儿测？然后决定哪些地方是重点，若是宽度优先，需要想覆盖什么战术或数据源；如果是深度优先，需要想深入证书转储之类的事或其他更深的子技术。我们想真正触及一些更细节更深奥的程序，为此我们引入了一定程度的自动化，这里我多说两句，其他很多人做了超棒的工作。

为什么我们选择Metasploit，我们想要针对行为告警而非工具告警。Metasploit提供大量扩展和API调用功能，我们能够深入挖掘技术本身。Metasploit还提供一些其他实现，比如凭证转储，我们可以执行PowerShell命令，从网上获取PS脚本 然后调用该脚本。我们其实关注的是被下载的PowerShell脚本，而不是凭证转储本身，因为外面有大量项目已经创建了这些技术，我们集成就好。Metasploit集成了很多其他工具，比如PowerShell .NET。你可以在里面做很多酷炫的事情，有清晰的标准，支持多种操作系统，所以，我站在Metasploit一边。

接下来 为什么不用Metasploit？把载荷放进白名单可能会很难，很多EDR产品（终端检测与响应）真心不喜欢你在系统上运行Metasploit，甚至即使已经在白名单里了。我们遇到过这种情况，在加载特定扩展时即便二进制文件本身进了白名单，该扩展在内存中反射加载DLL的方式也会遭到拒绝。所以我们不得不跟合作伙伴一起手动操作一些部分。

部署不容易，有些其他企业解决方案会让部署很容易，但Metasploit不在此列，一些东西很难定制到特别符合你的需求，如果你不是很熟悉的话就得花费点时间了。

【Matt，Priceline CISO】作为防御者我接受过Metasploit培训，很多年前在“DerbyCon One”上，此后我可能一年就摸个两次，隔那么久真的挺难捡起来的。尽管他们写了一些很棒的自动化留在环境中，我团队里没人是运行这个的专家。我们得考虑是否想要在这上面花费时间或者引入第三方来替我们运行。

【Daniel，紫队服务】这儿有我们编写的几个Windows模块，我得公开感谢为此做出贡献的其他团队。Atomic Red Team，Spectre Ops，MITRE，Endgame 等等，我们努力在每个模块中都予以致谢，虽然看起来跟视力检查表似的。但上面显示你可以定制模块和命令，想确保各战术都遵从一个清晰的标准，这样你执行驻留模块时模块动作是一致的。作为操作员你不用再去想这玩意儿干啥的，于是我们就把标准弄得很一致。

比如调用一个驻留模块，你不需要了解每次它背后的代码逻辑，它每次表现都是一样的，它会调用calc（计算器），往特定文件中写入一些数据和时间戳，我来演示一下。

我还想感谢Chris Long的检测实验室，我们在那儿做了很多开发和测试。可以用很多工具特容易地适配Windows域，可以非常快速地测试我们的警告和动画，所以如果你也有的话，不妨看看这个项目。

这是我们测试进程注入的一个例子，我们配置的工具没能让我们获得想要的遥测数据。

【Matt，Priceline CISO】周一晚上我跟银行一位同仁聊得挺愉快，他的检测团队有12人。我们就没有这种检测团队，我们没有SoC， 我觉得我更希望拥有一支工程师团队，共同负责响应时创建的检测规则。因此 我们十分信奉编写良好警报，标准的响应方式。我们几乎所有遥测数据都流经Splunk，涌入Slack信道。这很棒，因为大家都相当关注。半数事件我们都能在手机上响应，不用坐在办公室里弄，我们的每个警报都会链接到一个查询或预案（Playbook）显示该做什么。我们还在一张大列表中保存所有这些，都在分类攻击，所以，我们的每个检测如果链向电子表格中的某个TTP。即使看到的人可能此前并未见过该警报或不知道我们写它的初衷也能立即掌握一些上下文，知道这到底是什么？为什么会出现？谁写的？我们在紫队过程中还创建了很多警报，有趣的是，我们不知道谁写的。可能是某位红队队员撰写了报告，对我们而言最有价值的是攻击方理解我们这边，看得到我们是否有日志，如Daniel所言，我们得到了比他们发现时更好的环境。

上面这句话我对老板说了几次“我太难了”。因为我们得全做对了，你才听不到我报告安全事件，但攻击者只要做对一次，我们就全完了，这其实有点夸张，我觉得他应该没看吧。

不过，我们发现攻击者也只需行差踏错一步，至少在我们的环境中攻击者是会犯错的。我们的很多遥测数据或检测，都是创建来找出这些错误，如果你第一次做得完美，我们可能什么警报都不触发，但随着攻击者枚举和穿越网络，告警的概率就会越来越大。

【Daniel，紫队服务】如何做好紫队测试，我们可以利用与Matt和他团队的合作，了解他们的环境，知道他们的数据源在哪儿，帮助确定优先级并聚焦收集攻击链上TTP的节点。我们甚至尝试多想想攻击链是什么样子，画出这些攻击技术如何相互关联，这里参会的其他同仁也做出了重要的贡献。他们谈论其他攻击如何方便推进或引发其他TTP，通过将之按场景分组，我们可以或者做系统加固使得利用漏洞攻陷节点的难度增加，或者引入将攻击从图中完全移除的防护措施。

【Matt，Priceline CISO】是的，我们内部负责这个的团队就在做攻击路径映射，确定其如何穿透网络至靶机。

【Daniel，紫队服务】 我们认识到，有些领域ATT&CK覆盖是不够的，我稍微讲一下，云就在这表里。但最新发布还是有很多领域没有覆盖， 比如软件即服务应用 (SaaS)、内部API，有些地方比较别扭，应用与其他应用内部通信，我们的客户就好奇我们怎么检测使用这些API的恶意软件；另外引入子技术之前，不少TTP对我们来说太宽泛了，未必能给出一个评分，比如数据库访问或其他类似领域，当我们遇到这些问题的时候，我们的解决方案是什么呢？

首先是交流、沟通。我向Matt解释并从他和他的团队了解，对他们而言什么最重要。 我们的限制是什么，我们到底做到多深入，然后是我们团队内部的沟通，我们交流并思考到底该怎么测试这些东西。

接下来聊下技术广度，当Matt对如何检测网页应用攻击有疑问时，我们叫来Web应用人员 真正跳出红队和蓝队思维模式引入所有领域和技术集的同仁。

【Matt，Priceline CISO】我说下几个例子

来自我团队的非常具体和可执行的警报：

双因子身份验证 (2FA) 绕过，GCP 组织修改，这些只是对我们而言价值很高的简单检测，这是来自于紫队测试期间的创造性思维，如果我们迷恋攻击TTP覆盖就没法做到。

【Daniel，紫队服务】我们如何切实交付价值，这还真是个看问题的角度。我们当前的报告格式是Excel，可能有些人会震惊一下吧。那我们为什么选择这么做呢，我们发现把这么巨大的矩阵，放到PDF里真是太糟糕了，作为快速仪表板倒是方便查看，而且 对我们而言最重要的是因为我们是第三方这些东西可以跨公司共享。自己托管什么东西，或某种程度上的内部Web应用，真的没用。我们需要的是易于使用、易于共享，易于沟通的东西。不仅在技术层面上可以下钻到TTP，也能够做战略建议，如果大家好奇此类模板，我可以展示一下。

我想在这儿贴出来的还有工单，我们的目标是让客户防护变得更好，为此有时候你可以交付这些报告，如果你跟客户一起工作发现了问题，需要在他们的系统里放个工单，例如通过JIRA服务可以让你与他们合作，获得该权限并记录下你做了什么，然后他们就有了全部信息，可以在他们自己的工单系统里生成警报。

【Matt，Priceline CISO】好，我们经历了这样的操作，要么他们为我们创建工单，要么他们交给我们一个CSV，我们自己创建所有这些工单，这很棒，那时这些工单对我们来说足够了，我们可以回顾他们覆盖了哪些TTP。

与紫队协作我们学到了什么？我觉得首要的一点是，这不是红队也不是渗透测试。而且即便我们引入第三方，我们也应该贡献同样多的资源，做同样多的工作，准备工作非常重要。我们通过三次迭代学到了这一点，基本就是提前准备好，但也要知道自己想从中得到什么。

带上你的猫，超级灵活柔软的猫这有利于工作。。因为你打算在周二做的事未必搞得定 最好能够放下一些不重要的事情，然后轻装前进。

深入这些事项最重要的就是沟通。紫队测试前一个月我们开始向技术团队公开这一计划，在周运营会上我们对大家说即将开始了，让大家知道我们的测试规划，让大家知道涉及哪些方面，好让他们可以过来看看情况。我们设置了跟团队的沟通渠道，确保他们在现身前拿到账号。我们统一了一切事宜的沟通节奏，真的非常有必要这样，以便为时一周的测试开始前可以做好各项准备。我们考虑自己想要覆盖的是什么？想要测试的是什么？想要忽略的是什么？要么基于从我们的CTI （Cybersecurity Threat Intelligence，网际安全威胁情报）了解到的，要么基于我们过去在环境中看到的。我们就哪些工具将覆盖哪些TTP做了假设，我们确保紫队能访问这些工具，我们测试这些工具，最重要的是沟通 是与公司中相关人交谈，而

不仅仅是安全团队，让他们知道现在是什么状况？让他们知道为什么？让他们知道如果出现中断去哪儿骂我？

我在公司公告描述的时候是这么说的，我想要所有结果，我想知道可能出错的所有事情。这样我们才能排出优先级按我们自己的节奏修复。

我们几周前做了最近一次的紫队测试，那周我的团队刚加入了一个新人，对他们而言这上岗太赞了。因为他们马上拥有了我们工具的访问权，他们看到了有效和无效的检测。

从入侵者模拟测试上学到了很多东西，从我们团队那里了解了我们环境的重点。一周的紫队测试后，我们预期会有更多的检测，更多的发现，更多按攻击分类的测试案例，同时我们能持续在环境中保留并执行。

我们完成了这次评估，完成了三次评估。我们下一步要做什么？评估完成后的第一件事。就是开始思考下一次，评估刚完成时你的记忆无比清晰。所以，此时就开始勾勒我们缺乏哪些TTP，我们缺乏哪些遥测数据 （Telemetry）？哪些东西是三个月后他们再来时我们想要覆盖的。我们挺依赖分类和JIRA的，我将向你们展示这都怎么运作的，确保我们已经拥有的东西仍有效。重复测试，其中有些是重新验证我们已有的检测。

我们预期在结束后能有新东西交给安全供应商，告诉他们，这个有用那个没用。问他们，你们怎么帮我们做到更好。战略上 我们用紫队重新排序我们要做的事。尤其是在第一轮，我对命令历史挺怀疑的，当我看到有多少地方被这个点亮时，我们就重新排序，更快将之纳入我们的SIEM。

【Daniel，紫队服务】说到战略性改进，当你构建这些报告和建议时，还是要沟通、要对话。

你可不想建议一些测试时屡试屡败最后弃用的东西。或许你知道为什么会失败的痛点，知道可怎样帮助他们在这些领域获得成功。你可以帮助他们重新排序测试对象优先级，甚至删掉整条攻击途径或整个战术的特定事务测试，比如横向移动测试时候移动到私有VLAN。

【Matt，Priceline CISO】我提到过 我们执着于告警，特别是优质告警，对于紫队测试的结果我们也是同样态度你都不用看我的JIRA，每个发现都根据攻击分了类，是可以用燃尽图 （burn down chart）跟踪的。我们知道自己所处的位置，知道自己此番冲刺后想要赶往的位置，知道季末的目标。

【Daniel，紫队服务】接下来谈讲告警映射到ATT&CK。Priceline目前使用电子表格跟踪哪些警报对应哪些攻击。不是Excel 我想是Google Sheets吧， 有时候可跟踪和推动他们团队的快速动作和审查。还有其他的解决方案，例如 Thunderstorms ThreatHunter-Playbook（https://github.com/hunters-forge/ThreatHunter-Playbook）。我们也超喜欢这些解决方案，最后我们的成功建议如下：

清单

确保你要求自己需要的，这有助于方便快速沟通，成功利用信息充分依赖双方。这样你第一天就能最大化自身价值，不用一整天忙得团团转。

共享

你不会想要割裂信息的，如果测试员在工作让他们能与蓝队客户共享任何信息和日志，这样他们就能实时看到这些东西最后不会惊讶于发生的一切。

计划

没有任何计划能在遇敌后继续执行，但有计划并知道会测试哪些东西，可以让你以一种有效和审慎的方式规避这种情况。

定义目标

理解入侵者思维弄清你想要从测试中得到什么？

【Matt，Priceline CISO】对我们来说 最重要的收获是团队内部的更多沟通与理解。我们与其他技术利益相关者之间的更多沟通和理解，我们想要确保他们知道正在发生什么？

他们清楚我们在哪儿，他们可以找到我们。我真心想从紫队测试中获得的无论是从我自己的团队还是Daniel的团队，是一些快速命中演示，在与其他技术团队合作时这些东西超级强大，无论出于什么原因只要你能拿出实时演示你就能十倍速解决工单，清理问题。

【Daniel，紫队服务】就像我们在大学时那样，纳入来自内部和外部所有领域的伙伴，这样你就真能命中多个目标。

本文编译为公司技术团队公益项目，旨在分享国外先进网络安全理念，将国外流行的网络安全技术性文档翻译为中文，促进国内安全组织在相关方面的思考和交流。

本文来源于互联网，译者力图忠于所获得之电子版本进行翻译，但受翻译水平和技术水平所限，不能完全保证译文完全与原文含义一致。

本译文亦不得用于任何商业目的，也不得以任何方式修改本译文，基于上述问题产生相关法律责任，瀚思科技一律不予承担。

原文链接

https://www.youtube.com/watch?v=LydtAdCL114&list=PLkTApXQou_8KXWrk0G83QQbNLvspAo-Qk&index=26

相关报道

关于瀚思：瀚思科技专注于大数据安全分析，利用自主知识产权的智能分析与机器学习技术，帮助企业实时、自动侦测已经发生或即将发生的内部与外部安全威胁，最大限度的保护企业信息资产与业务安全。经过五年多的发展，瀚思科技已经成长为全球网络安全500强、中国网络安全50强，并于2018年获 Gartner SIEM全球魔力象限提名，2019年入选 Gartner Peer Insights 报告。

官网地址：www.HanSight.com

Email：Contact@HanSight.com

数据驱动安全• Data Driven Security

责任编辑：