流量反作弊(11)将 MITRE ATT&CK 框架映射到 API 安全

[TODO] 将 MITRE ATT&CK 框架映射到 API 安全

  • https://salt.security/blog/mapping-the-mitre-att-ck-framework-to-api-security?
  • BLADE框架矩阵描述了对手在业务逻辑攻击期间可能采用的阶段、战术和技术之间的关系:https://www.bladeframework.org/matrix

MITRE ATT&CK Framework 拥有数百名贡献者,已成为安全行业开源知识的重要资源。全球的 CISO 和网络安全专业人士依靠该框架来增加他们对不同网络攻击策略、技术和程序 (TTP) 的理解。通过了解与其特定平台或环境相关的 TTP,组织可以获得巨大的价值来应对网络威胁。

缺点是虽然框架有很多矩阵,但此时它没有特定的 API 安全矩阵。然而,我们都知道 API 安全威胁急剧增加,就像它们的使用随着企业数字化计划的激增一样。事实上,API 现在代表了现代应用程序的最大攻击向量。

从积极的方面来看,尽管缺少 API 安全矩阵,安全领导者仍然可以利用 MITRE ATT&CK 框架来识别和防御这些不断增长的威胁。不良行为者在其 API 攻击活动的不同阶段仍然频繁使用许多 MITRE 概述的 TTP。

虽然不是“包治百病”的方法(因为每次 API 攻击总是代表零日攻击),但了解其中一些攻击方法的交叉可以使安全领导者受益。通过识别 MITRE 框架中识别的许多 TTP 与攻击者在 API 攻击活动期间的行为之间的关系,组织有机会:

  • 改进威胁检测
  • 实施更有效的事件响应
  • 更有效地分配安全资源
  • 识别安全漏洞
  • 加深对攻击范围及其潜在影响的了解

在我们的新白皮书中,我们仔细研究了 MITRE ATT&CK 企业矩阵——本质上是所有矩阵的超集。该矩阵中的许多策略也被应用到 API 攻击活动中。通过分析 API 攻击中重复策略的位置,安全领导者可以更好地了解攻击者的心态并提高他们对 API 威胁的洞察力。

在我们的分析中,我们深入研究了以下三种常见的 API 安全威胁:

  • 损坏的对象级别授权 ( BOLA )
  • 凭证被盗
  • 泄漏的公共 API

对于其中的每一种威胁,我们都将典型的攻击生命周期映射到企业矩阵中的 TTP。我们已经概述了不良行为者在从侦察和网络钓鱼到逃避和数据泄露或滥用的每种情况下可以采取的步骤。我们还分享了 MITRE ATT&CK Framework 和 OWASP API Security Top 10 之间的差异——以及为什么两者都是您的 API 安全武器库中的重要教育工具。

白皮书内容

MITRE ATT&CK框架已被安全专业人员使用多年。这个综合矩阵识别、分类并描述攻击者使用的战术、技术和过程(TTP)。虽然目前还没有针对API安全性的特定ATT&CK矩阵,但在其API攻击活动的生命周期中,不良行为者会应用ATT&CK框架中确定的许多策略和技术。

一、MITRE ATT和CK与API安全性的关系

MITRE ATT&CK框架基于现实观察,提供了对敌对方在网络攻击中可能使用的不同策略和技术的全面理解。这样的广泛知识库不能完全映射到特定的网络领域,例如API安全。尽管目前没有专门针对API安全的矩阵,但是MITRE框架中识别出的许多TTP也被API攻击者用作攻击活动不同阶段中使用的技术。

例如,攻击者可能使用侦察技术,如扫描公共API或枚举端点,以识别潜在目标。他们也可能尝试提升权限或滥用API令牌来访问敏感信息或资源。所有这些行为都属于MITRE ATT&CK框架中侦察、发现和权限提升策略下的各种技术。

通过了解攻击者针对API使用的TTP,组织可以更好地保护其API并防止成功的攻击。这包括实施适当的安全控制,如访问控制、速率限制和监控API流量。此外,组织可以使用MITRE ATT&CK框架来识别潜在的攻击向量,更好地了解攻击者针对API使用的策略和技术。

二、了解MITRE ATT&CK/API安全关系的好处

随着API安全成为全球CISO和网络安全专业人员关注的焦点,他们希望能够找到可以将攻击者行为直接映射回MITRE ATT&CK框架的解决方案并不令人意外。通过了解攻击者如何针对API进行攻击,组织可以快速识别威胁并相应采取行动。此外,他们还可以制定更有效的防御策略,以与其现有的过程、程序、政策和技术相一致。

更具体地说,了解MITRE ATT&CK框架与API安全之间的关系可以为安全组织提供多个优势,包括:

  1. 提高威胁检测能力:通过了解攻击者针对API使用的具体TTP,组织可以更好地检测和应对针对其API的威胁。
  2. 更有效的事件响应:ATT&CK框架可以帮助事件响应人员快速识别攻击的阶段、使用的TTP并采取适当的行动。
  3. 更好的资源分配:通过了解最可能的攻击方法和防御所需的资源,组织可以更明智地决定在哪里分配安全资源。
  4. 改善沟通:ATT&CK框架提供了一种共同的语言,用于讨论威胁,使得组织内不同团队之间更容易就安全问题进行沟通。
  5. 增强测量和改善安全的能力:通过基于ATT&CK框架进行安全工作,组织可以针对特定的攻击方法来衡量其进展,并持续改善其防御。
  6. 更好地理解攻击范围:ATT&CK框架提供了对攻击中可以使用的不同TTP以及攻击的不同阶段的全面了解,这可以帮助组织更好地了解攻击的范围和潜在影响。
  7. 帮助识别安全漏洞:通过识别特定API相关的TTP,组织可以确定其安全措施中的漏洞,并采取必要措施来降低风险。

三、MITRE ATT&CK与OWASP API安全Top 10的关系

当组织讨论API安全时,通常会参考OWASP API安全十大威胁。OWASP API安全十大威胁是由开放Web应用安全项目(OWASP)发布的针对Web API的最重要的安全风险清单。此清单最初于2019年发布,预计在2023年会有新的更新版。

OWASP API安全十大威胁侧重于Web API特定的安全风险,而MITRE ATT&CK框架则提供了对对手在网络攻击中使用的TTP(战术、技术和流程)的更一般性的理解,包括对API的攻击。虽然这两个框架涉及安全的不同方面,但它们之间存在直接的关系。

例如,考虑一个API攻击,攻击者通过BOLA(Broken Object Level Authorization)漏洞(OWASP API安全十大威胁的最高威胁)窃取API中的数据。攻击者通常会经历一系列阶段,每个阶段都有特定的行为和动作,以构建和执行攻击活动。其中许多行为直接映射到MITRE ATT&CK的战术和技术(TTPs)。可以将TTPs视为攻击者在制作其BOLA API攻击配方时使用的原材料。

此外,组织应该知道,单个OWASP API安全十大威胁并不对应一组MITRE ATT&CK TTPs。请记住,TTPs描述了攻击者的阶段、战术和技术。在攻击BOLA漏洞(OWASP API 1)时,攻击可以采用多种执行路径,利用各种MITRE ATT&CK战术和技术。实际攻击序列可能因具体情况、攻击者的能力、漏洞的特定性以及API实现的不同而有所不同,并使用不同的技术。在这方面,组织必须记住,OWASP API安全十大威胁与MITRE ATT&CK TTPs之间的关系是一对多的关系。

四、将API攻击场景映射到MITRE ATT&CK TTP

由于每个API在其目的、功能和部署方法上都不同,并且每个攻击者在能力上也不同,因此没有人可以将每个API攻击场景排列组合映射到MITRE ATT&CK。在这个讨论中,我们旨在说明组织如何更好地将API攻击者的行为与MITRE ATT&CK中记录的TTPs联系起来。下面,我们概述了一些不同和常见的API攻击场景,这些场景反映了最近从头条中提取的API违规事件,并展示了攻击者的行为如何映射到MITRE ATT&CK TTPs。

4.1 API Attack Scenario 1: BOLA

场景:攻击者利用自己合法的API凭证,通过攻击者发现的API中的BOLA漏洞窃取其他客户的数据。与此场景相关的头条新闻中的违规事件包括Facebook、Experian、Expedia和Coinbase。

image-20230504204625933

Mapping (Tactic/Technique):

  1. 侦察 / 搜索公开网站:攻击者研究有关特定公司服务或应用程序的信息。
  2. 资源开发 / 建立帐户:攻击者创建临时电子邮件和手机帐户以用于攻击。
  3. 初始访问 / 有效帐户:攻击者通过合法手段(例如注册针对目标服务的新帐户)获得目标应用程序的有效应用程序凭据。
  4. 发现 / 网络嗅探:攻击者检查从浏览器到API传递的流量,以确定可用的API功能和数据。
  5. 初始访问 / 利用公开面向应用程序:攻击者从发现/网络嗅探练习中获得经验,并积极尝试查找API中可利用的逻辑漏洞或漏洞。攻击者找到一个容易受到BOLA攻击的API终端。
  6. 资源开发 / 开发能力:攻击者开发脚本以帮助自动化攻击并通过易受攻击的API终端窃取用户数据。
  7. 执行 / 命令和脚本解释器:攻击者在本地或远程系统上运行攻击脚本,积极利用BOLA漏洞。
  8. 防御逃避 / 伪装:攻击者操纵数据有效载荷和API请求速率,以逃避设备(如WAF)提供的速率限制和其他安全检测技术。
  9. 收集 / 自动收集:攻击者使用专门编写的脚本访问API并提取敏感数据,如用户信息或财务数据。
  10. 命令和控制 / Web服务:攻击者通过API维护命令和控制信道,以维持对其的访问、操作它并继续通过它窃取数据。
  11. 渗透 / 通过Web服务渗透:攻击者使用API将窃取的数据从目标组织的网络中窃取出来。

4.2 API攻击场景2:凭证被盗

场景:攻击者通过不正当手段(例如钓鱼邮件)获取API凭据,然后利用这些凭据以恶意方式操纵特权API并破坏其提供的服务的完整性。此场景展示了如何将两个攻击链接在一起,作为整个API攻击生命周期的一部分。在这种情况下,攻击者首先通过社交工程获得目标公司的在线源代码仓库的访问权限,以获取特权API凭据,然后滥用API以破坏服务的完整性。与此场景相关的头条新闻中的违规事件包括CircleCI、Dropbox和Slack。

image-20230504205246272

映射(战术/技术):

(1)钓鱼攻击
  1. 侦察 / 收集受害者身份信息:攻击者研究拥有特定技术职能的个人的信息,该个人可以访问攻击者有兴趣攻击的源代码控制服务。
  2. 资源开发 / 部署能力:攻击者在云服务中部署恶意Web应用程序,以模仿流行的源代码存储库服务。
  3. 初始访问 / 钓鱼(针对性钓鱼链接):攻击者发送针对性钓鱼电子邮件,并伪装成源代码控制服务,通知目标其帐户可能已被攻破,并提供一个恶意链接,要求个人确认服务密码并设置新密码。
  4. 执行 / 用户执行:用户单击链接并在部署的Web应用程序中输入现有密码。
  5. 特权升级 / 有效帐户:云帐户:攻击者利用窃取的有效源代码存储库以获取对存储库的访问权限。
  6. 收集 / 自动化收集:攻击者利用窃取的有效源代码存储库下载源代码存储库的副本。
  7. 凭证访问 / 不安全凭证:文件中的凭证:攻击者扫描源代码存储库以寻找未加密/不安全的特权API密钥。捕获各种密钥和API地址。
(2)API滥用攻击
  1. 初始访问 / 钓鱼:攻击者通过上述阐述的钓鱼攻击获得有效的API凭证。
  2. 初始访问 / 有效帐户:攻击者利用窃取的有效API凭证访问API。
  3. 初始访问 / 利用公开面向应用程序:通过试错,攻击者积极尝试了解API的功能和能力。
  4. 防御逃避 / 伪装:攻击者操纵数据有效载荷和API请求速率,以逃避由设备(如WAF)提供的速率限制和其他安全检测技术。
  5. 命令和控制 / Web服务:攻击者通过API维护命令和控制信道,以维持对其的访问、操作它并滥用API。
  6. 影响 / 数据操纵:攻击者操纵数据和服务配置。

Getting Started with The BLADE Framework

  • BLADE Framework(业务逻辑攻击定义框架):https://netacea.com/uploads/blade_guide_2022.pdf
  • Netacea 创建世界上第一个机器人管理开源框架:https://netacea.com/blog/netacea-bot-management-open-source-framework/
  • 项目地址:
  • https://www.bladeframework.org/matrix

一、BLADE框架简介

BLADE Framework®是一种开源标准,用于区分、分类和建模业务逻辑和自动化攻击。就像MITRE ATT&CK和Lockheed Martin Cyber Kill Chain为企业提供了理解和防御技术漏洞的方法一样,BLADE Framework(业务逻辑攻击定义框架)是在对抗自动化威胁和恶意机器人的斗争中所需的教育资源。该框架是由Netacea威胁研究团队开发的,并得到Adidas、OVO Energy和Anora Security等组织专家的贡献。现在,它是一个开源项目,变更提议通过GitHub管理。

1.1 什么是业务逻辑攻击?

业务逻辑就是应用程序为实现业务目标所做的事情。在电子商务中的一个基本示例是在线购买产品的过程 - 为此,客户必须能够浏览网站,将产品添加到购物车,注册账户或登录,进行购买,然后收到产品。所有这些步骤都是由业务和客户需求定义的技术过程来实现的。

业务逻辑攻击利用合法的活动来利用业务逻辑中的弱点。在另一个简单的电子商务示例中,业务逻辑规定商品页面上应显示价格,以便客户知道需要支付多少并可以比较价格。攻击者可能利用这一点,使用自动化机器人大量抓取定价信息,并利用这些信息在另一个网站上压低价格。虽然没有发生“黑客攻击”或传统的安全漏洞,但这种攻击仍会损害业务。

1.2 什么是Kill Chain、阶段、策略和技术?

虽然业务逻辑攻击通常具有总体目标,但它们由多个阶段组成,每个先前的操作都旨在设置后续步骤。例如,为了实现抢票攻击的总体目标,攻击者可能需要不断抓取产品页面,以确定商品何时开始售卖,轮流更改其IP地址并创建多个虚假账户以绕过每个客户的购买限制,并自动化“添加到购物车”和购买活动 - 这个序列就是我们所谓的“Kill Chain”,代表攻击目标的整个生命周期。

通过识别不同的阶段,您可以识别攻击的总体目标,并以高效的方式主动阻止攻击的某些部分。在BLADE框架中识别的阶段包括:

  • 资源开发:在实际攻击之前,攻击者建立资源以协助其对主要目标受害者的操作。
  • 侦察:攻击者识别目标和/或确定战略信息,以通知攻击的后续阶段。
  • 绕过防御:攻击者试图绕过防御措施。
  • 攻击执行:攻击者对其目标发起攻击。
  • 目标操作:攻击者对其目标执行预期的活动。
  • 攻击后:攻击者通过接收或转售其攻击期间获得的产品、服务或信息来完成攻击。

在这些阶段中,策略描述了实现目标的总体策略,而技术则是实现这些策略的具体行动。许多策略和技术并不局限于一个Kill Chain,因此检测到一个特定的技术可能意味着攻击者试图实现一个或多个总体目标。

二、Using The BLADE Framework

2.1 浏览矩阵

https://www.bladeframework.org/matrix

BLADE矩阵是攻击者使用的阶段,策略和技术以及它们之间的关系的视觉概述。您可以单击任何一个名称以阅读描述,以及该特定项如何直接与矩阵中的其他内容相关。

当您首次打开矩阵时,您可以看到所有内容。

image-20230521161337493

从这个视图中,您可以快速查看所有阶段的顺序。需要注意的是,并不是每个攻击kill chain都以线性方式通过所有阶段 - 有些跳过阶段,或根据攻击者达到其目标的需要来回跳转。然而,该矩阵通常以线性顺序呈现各个阶段。

展开每个阶段旁边的下拉箭头可以显示与其相关的策略。例如,绕过防御阶段包含规避缓解、模拟人类、代理和烟幕策略。如果您单击加号展开其中一个策略,就可以看到攻击者用来实现这些策略的技术。

为了举例说明,在绕过防御阶段中展开烟幕策略。实现这种策略的技术在下拉列表中列出 - 在这种情况下是容量欺骗和目标多样化。

2.2 深入研究策略和技术

您可以通过单击它们的名称获取有关特定策略和技术的更详细信息。

单击“自动购买”以阅读技术的简短描述,并快速查找它所属的阶段 - 在这种情况下是“攻击执行”。您还可以看到它用于实现哪些策略(“库存购买”、“旋转”或“狙击”),以及它所属的Kill Chain,包括“割韭菜机器人”和“礼品卡破解机器人”。您可以单击其中任何一个以了解更多信息。

2.3 搜索

通过单击任何页面右上角的搜索图标,BLADE框架允许您快速搜索任何kill chain、阶段、策略或技术。如果您已经确定了应用程序或API上的特定类型的活动,并想知道攻击的总体目标是什么,接下来可能会发生什么活动,以及如何减轻进一步的阶段,这将非常有用。

例如,您可能有证书填充攻击的证据,表现为登录页面突然出现大量失败的登录请求。搜索“证书填充”将带您进入证书填充页面,您可以在其中了解它是Account Takeover策略中的一种技术。

通过单击“证书填充机器人”Kill Chain,您可以确定之前的步骤,这些步骤可能与攻击相关,并为随后的阶段做好准备。在这种情况下,您可以将证书填充攻击与IP轮换相关联,以解释在短时间内大量IP地址在登录页面上未通过身份验证,然后密切关注暗网市场上基于成功登录数量的验证凭据。

2.4 账户接管Bot

image-20230521162146102

三、对抗对手

当检测到这些技术后,你对它们的反应可能会改变整个攻击和杀伤链的过程。例如,在攻击执行阶段检测到某种技术后,阻止IP地址或数据中心可能会将对手推回到防御绕过阶段,在那里他们将重新配备工具或寻找新的路由来尝试再次执行攻击。然而,了解为实现他们最终目标所需的行为将帮助你注意来自不同源的这些模式,并迅速防御,直到攻击者放弃。BLADE框架还可以用来事后分析攻击并加强未来的防御。

与技术漏洞不同,大多数业务逻辑漏洞不能以传统方式进行修补,因为组织依赖业务逻辑来运作。实现业务目标的新功能或方法将增加业务逻辑攻击面。这意味着需要对滥用保持不断的警惕,而BLADE框架将随着企业本身的发展而有机地发展、变化。

考虑到攻击者有如此多的技术可以绕过防御,以及自动化允许攻击突然开始和停止,仅寻找一个攻击信号并尝试通过手动规则更改进行阻止是不够的。这就是为什么机器学习模型和实时干预已经成为抑制自动化僵尸网络攻击的标准方法。Netacea僵尸网络管理使用我们的主动威胁数据库和意图分析的结合,前者是从其受保护域名的整个资产库中源自已知威胁的主动更新数据库,后者是为每个客户和用例收集的通用且特定调谐的机器学习和异常检测模型,以实时发现业务逻辑攻击。这些信息可以直接馈送到SOC团队或SIEM工具中,自动缓解,或由Netacea僵尸网络专家进行更多上下文分析。