2013年,David J. Bianco公开痛苦金字塔(The Pyramid of Pain),那个时候,David是Mandiant的狩猎团队的负责人,在那之前,David在通用电气公司的GE-CIRT与APT对抗了5年。痛苦金字塔的主要目的是指导安全团队如何在行为层面与攻击者交战。
一转眼,十年过去了。有个问题,一直困扰者我,过去这么多年,有多少企业网络安全团队在行为层面(金字塔顶端)检测与响应入侵?
也许没有真正与APT对抗过的团队永远也无法到达金字塔顶端吧!
以下是"威胁情报防御中心"登顶金字塔项目的技术共同负责人Michaela Adams对David J. Bianco的采访。
大家好,我是Michaela Adams,是"威胁情报防御中心"登顶金字塔项目的技术共同负责人。我与David Bianco一起参加今天的讨论,他是"痛苦金字塔"模型的创建者。
David,你能简要介绍一下"痛苦金字塔"的概念,以及你设想它将如何被安全界采用吗?
当然。这个模型我创建于2013年,它尝试为传统上被视为事后被动响应的安全事件检测和处置团队,提供一些指引,使其转变为更加主动进攻的状态,迫使威胁行为体投入更多资源来开展他们的活动。这就是我们称之为痛苦金字塔的原因。
金字塔包含了一系列常见的入侵指标(IOC)类型,并基本上按照这样的思路排序:如果你能够检测并响应某个特定类型或特定指标,他们为替换这个已被你掌握的指标所承受的痛苦程度如何。
我在此不赘述细节,但金字塔的底层是像哈希值这样的指标,攻击者要更改它们非常容易,有时甚至一个字节的变化就会无意间导致整个静态哈希值的变化。而金字塔顶层是行为,它们极其难以改变。即便你设法改变了某个习惯,你的学习和教育经历等要改变多个习惯也是非常困难的。因此,该模型基本上以指标的类别为依据,为你提供一些指引:金字塔的哪些部分你应该多花时间去自动化,而较少依赖人力;而接近顶层的哪些指标,你可能要投入更多人力,尤其是通过行为等方面的威胁狩猎。
我们在很多不同场合应用了痛苦金字塔模型。而在威胁情报防御中心,我们尝试带着它迈向一个新的方向,在它的基础上去确保安全分析与痛苦金字塔相匹配,由此催生了登顶金字塔项目。
我们以痛苦金字塔为灵感打造分析算法,构建了新的模型。我们能够基于你提到的不同级别,从金字塔底部的IOC指标,一直到工具、某个技术的实现,以及捕捉该技术的所有情况,对算法进行评分。还通过应用层、用户态、内核态等视角,审视攻击者规避传感器的难易程度,由此评估对攻击者造成的另一种形式的代价。
于是,我们得以在此背景下运用痛苦金字塔模型,度量安全分析的稳健性,以及攻击者规避这些分析的难度,确保攻击者在整个攻击活动中实施其攻击手段和技术变种的代价非常高昂。
综上所述,我很想听听你的想法,登顶金字塔项目将如何在这一领域继续发展。
首先我要说,看到你们在MITRE的项目是以我最初在个人博客上发表的成果为基础的,这种感觉难以言表。痛苦金字塔能在整个网络安全领域产生如此大的影响,我感到非常幸运。
当我最初发布这个金字塔时,我有这样一个想法,即某些事物比其他事物更能产生影响,但我当时无法真正度量这种影响。正如人们常说,你不能度量它,也就无法依据它来改进。
所以我真的很喜欢你们后续的工作,首先确立了这个金字塔模型,确立了提高威胁行为体攻击我们的成本这个目标,然后开始寻求一种方法来实际度量我们部署的检测或分析手段,能够在多大程度上推进这个目标。
就像我们刚才场外讨论的,这个项目为成功建立了度量标准,你可以据此评估目标的进展。同时,它也有助于确定工作的优先次序,因为我们的资源是有限的。在你的检测工程师、威胁猎手或数据科学家可选择的多个工作方向之中,如何判断哪一个能给你的投入带来最大回报?而用你们在登顶金字塔项目中创建的那些度量标准进行评分,将为这个问题提供直接的答案。
所以我认为,它有望使很多安全团队和安全项目变得更加高效。我们非常期待看到业界对项目成果的反响,也希望能据此在新的研究中不断改进模型,让它对所有人更加实用。
非常感谢你。如果大家想进一步了解登顶金字塔项目,请访问威胁情报防御中心的网站,查找"登顶金字塔"的相关内容。谢谢!
参考资料:
1.Summiting the Pyramid
https://medium.com/mitre-engenuity/summiting-the-pyramid-level-up-your-analytics-b6f12efd9133
2.https://www.youtube.com/watch?v=VfmZFQA9OiQ