聊一聊MITRE：内部威胁知识库

即使是那些受到雇主信任的内部人员，也会做出一些辜负信任的恶意活动。他们实行恶意行为时，往往会用到一些策略、技术以及过程(TTP)。对于这些已知的TTP，自我定位为内部威胁情报中心的MITRE认为：是时候汇总出一个统一的“字典”了。

二月中旬，在Citigroup Technology、 Microsoft、Crowdstrike、Verizon、和 JP Morgan Chase等多部门巨头的支持下，MITRE Engenuity的威胁知情防御中心公布了其内部威胁知识库的设计原理和方法。

恶意的内部人员 “一个独特的威胁”

在TTP知识库的努力下，威胁知情防御中心的研发主管Jon Baker在博客中提出了一个所有CISO都认可的观点：“恶意的内部人员对组织构成了独特的威胁。”Baker的帖子还表明，重点在于“IT环境中SOC可观察到的”网络威胁和活动上。同时，CISO们也听取Baker的警告，不把重心放在上一个重大内部威胁事件的TTP上。

内部威胁者的14项技术

TTP强调了14个不同的关注领域，其中包括54种针对内部威胁者行为的识别技术：

• 侦查Reconnaissance
• 资源开发Resource development
• 初始访问Initial access
• 执行Execution
• 持续Persistence
• 权限提升Privilege escalation
• 防御规避Defense evasion
• 凭证访问Credential access
• 发现Discovery
• 横向移动Lateral movement
• 收集Collection
• 命令与控制Command and control
• 渗透Exfiltration
• 冲击Impact

人们通常认为那些受信任的内部人员大概永远不会暴露到检测内部威胁的雷达中。然而MITRE的努力却恰恰证明了：即使是内部人员，如果他们做出一些打破信任关系的行为，同样也会被检测到。

内部威胁者常见的策略

该程序的设计原则巧妙地涵盖了对每个TTP所需技能的评估，并将重点放在实际发生过的，而非那些假设会发生的案例上。他们的研究得出了如下推论：

• 内部威胁者通常使用简单的TTP来访问和泄漏数据。
• 内部威胁者通常利用现有的访问特权来使数据窃取或其他恶意行为更加方便。
• 内部威胁者通常会在渗透前“准备”他们打算窃取的数据。
• 外部/可移动的方式仍是常见的渗透渠道。
• 电子邮件仍是常见的渗透渠道。
• 云存储既是内部人员收集的目标，也是常见的渗透渠道。

随后，他们根据这些推论，以“使用频率”为权重，将“频繁”，“中等”和“不频繁”的标签分配给每个威胁技术，以帮助开发者针对各项技术被使用的可能性进行排序，并确保那些出现频率较高的技术被覆盖。而附带的GitHub文档则旨在帮助团队对他们的经验进行分类。

资源有限的组织应该将注意力集中在“发生概率大”的事件上，并在条件允许时适当涵盖那些“可能性小”的事件。根据Baker的说法，专注于所有可能发生的事件(尽管不太现实)，虽然具有创造性，但“会导致抵御内部威胁的程序和SOC失去重点”。对此，他引用了Frederick大帝的名言：“捍卫一切的人什么也捍卫不了。” 由此可见，CISO应该采用性价比最高的产品。

关注最有可能发生的内部威胁场景

虽然，国家收买员工的事情很有可能发生，但更有可能发生的是内部的恶意行为。因为这对那些内部威胁者个人以及他们的职业生涯都是有益处的。这些内部的恶意行为包括个人收集信息以支持自己的发展、出售手头的商品(其雇主的知识产权和商业秘密)，或将信息/数据作为其下一份工作的敲门砖。

创建TTP知识库和社区的目的主要是确保，“内部威胁者不得再在合法权限的掩护下肆意妄为，以及在内部威胁对组织造成巨大损失或使组织陷入困境之前检测到它”。这将通过管理流程和应用程序在行业内的共享、网络研讨会以及大型会议来实现。在这些会议上，用例将会被共享，“捍卫者”们也可以进行彼此之间的相互学习。

围绕着内部威胁的网络活动数量来设计结构是有意义的，CISO们应最小限度地审查MITRE TTP的适用性，并着眼于确定如何采用该理念，使自己在所有朝着统一方向前进的实体社区中发挥作用，进而挫败恶意的内部人员。

点评

比起外部的攻击，内部威胁往往是企业运行安全、数据安全的主要原因。通过识别恶意的内部操作，以及可执行此类操作的人员，企业可以在威胁行为发生之前采取措施。正所谓“知己知彼，百战不殆”，有效的网络安全防御措施依赖于对攻击方战术、技术与过程的识别与应对。了解对方常用的TTP，并构建灵活的防御措施，可以使安全团队从被动转向主动，最大程度地降低由内部人员带来的风险。