TTP是什么

背景

在事件检测和响应的背景下,“TTP”到底是什么?多年来,您可能已经阅读了数百个从安全博客到书籍的帐户,其中人们使用术语“TTP”说“……在这里我们看到攻击者的 TTP 如何转移…… ”或者也许他们为你拼写出来,比如“ ……这个特定威胁行为者采用的策略、技术和程序…… ”,但你留下的印象是他们可能无法向你解释这意味着什么,或者他们之间的区别?我不知道为什么,但这总是让我烦恼。不管出于什么原因,我觉得有必要找到这些区别,以便当应用于网络时,我可以确保我正确地引用了它们。 我可以知道从情报、检测和响应的角度来看,将它们分开并在我们的研究和日常实践中明确利用它们是否会有任何好处。 我将部分功劳/归咎于我职业生涯的早年,当时作为美国空军的一名飞行员,后来又作为几个空军部队的国防承包商,我有机会与人们并肩工作他们将战术、技术和程序作为日常用语的一部分进行讲授。令人痛苦的是,这种区别确实存在。快进几年,跳出 DoD/DIB 社区,撒上一些在企业 IR 战壕中赚来的白发,我发现自己很难理解我们作为一个社区是否真的找到了 TTP。网络。 出于这些原因,我几个月前开始了个人探索。我想看看是否可以找到任何试图在网络环境中明确定义、比较或对比“TTP”的官方引文,并展示它们如何单独使用以及与其他模型联合使用,以进一步推进我们在该环境中的工作超越原子妥协指标(IOC)的事物。在这篇博文中,我将与您分享我对“TTP”定义的发现,然后过渡到我认为它们如何应用于事件检测和响应。

TTP 定义

“TTP”一词诞生于军事领域(确切日期和原始来源未知),是“战术、技术和程序”的缩写,其中每个术语都有自己的定义,我们将在此处介绍。TTP 是由美国国防部联合参谋长联席会议联合出版物 1-02 ( JP 1-02 ) 题为“国防部军事和相关术语词典”的联合出版物正式定义的,其中指出,范围:“联合出版物 1-02,国防部军事和相关术语词典规定了标准美国军事和相关术语,以涵盖美国武装部队的联合活动。这些军事和相关术语及其定义,构成经批准的国防部 (DOD) 术语,供所有 DOD 部门通用。 这很重要,因为它确立了这样一个事实:该文档不仅具有权威性,而且这些术语是官方的(不仅仅是俚语),它们已发布,并且在所有服务分支和所有组件中联合使用。 下一节写道,目的“本出版物 补充了标准英语词典 ,并对军事和相关术语进行标准化,以改善国防部内部、与其他联邦机构以及美国及其盟国之间的沟通和相互理解。 这很重要,原因有二: 它将这些定义澄清为标准词典定义的补充,并且它定义了使用这些术语的范围,以实现“美国及其盟国之间……的相互理解” 。从网络角度来看,这对于我们这些私营行业的人来说有些重要。多年来,人们已经公认,网络领域远远超出了国家、政府、部门或机构的范围,并深入到国家、跨国和全球私营行业的掌控之中。由于这些私人机构常常首当其冲地受到当今网络攻击的影响,因此在这种情况下(在我看来)它们包含了“盟友”一词。如果您同意我的观点,即使是部分同意,那么我们尽力在可能的情况下使用相同的术语似乎是合适且谨慎的。 JP 1-02 继续定义实际的“TTP”缩写本身:TTP;“战术、技术和程序”,从而向我们确认它实际上不是“工具、策略和流程”或您可能遇到的任何其他一次性变体。有时我读到英特尔报告,我想说“欢迎来到我们的 TTP,您会注意到其中没有“工具”或“流程”,让我们尝试保持这种方式”。严格来说,按顺序是战术、技术和程序。我知道这可能有些挑剔,但这很重要,稍后我会解释原因。接下来,我将韦氏词典的定义与 JP 1-02 中每个术语的定义并排进行比较: 韦氏词典: “战斗中部署和机动部队的科学与艺术” “采用可用手段来实现目的的艺术或技能” JP 1-02: “相互关系的力量的使用和有序布置。 另见程序;技术。” Merriam-Webster: “使用特殊知识或技能做某事的一种方式” “一个人执行基本身体动作或技能的方式” JP 1-02: “用于执行使命、职能或任务的非规定性方式或方法。 另见程序;战术。” Merriam-Webster: “以某种方式或顺序完成的一系列动作” “一种既定的或可接受的做某事的方式” JP 1-02: “规定如何执行特定任务的标准、详细步骤。 另请参见策略;技术。”

这个可以应用吗?

我们从这个以及许多其他引用 JP 1-02 对 TTP 定义的服务部门特定学说中学到的是,战术、技术和程序各自 越低,技术特异性的水平就越高(例如,程序有更多的技术细节,战术有更少的技术细节) 你走得越高,有更广泛的主观意识(战术更主观) 每个级别似乎都旨在以类似于组织指挥链的从属方式支持其上级。现有程序和技术可确保战术成功且一致地执行。存在一种或多种策略来支持更高级别策略的执行。战略在目标下保持一致,等等。 出于这些原因,我相信我们在提及网络领域的策略、技术和程序时有机会利用这种区别。

上下文中的 TTP

我提供了下图,它解释了我如何看待 TTP 在其他元素的更大背景下的放置。我认为,对我们来说,区分这些区别不仅很重要,而且还可以清楚地理解它们各自的含义以及它们之间的关系。这样做为我们提供了额外的机会以不同的方式评估我们的检测技术。此外,我们执行情报、检测和响应任务的方式和手段可以通过另一组镜头进行评估,同时尊重和保留我们当前可能使用的现有模型。最后,在分析过程中区分这些单独的区别会导致以前可能不明显的额外观察结果浮出水面。 TTPplacement 目标 是对手行为背后的真实意图。它们几乎不可能在环境中(直接)检测到,但肯定可以通过情报操作来收集。战略 是对手实际开始建立一种或多种实现这些目标的可行手段的地方。顺便说一句,一些军事模型可能会解释存在于目标和战略之间的“战役”概念。然而,在网络环境中,我认为并非 所有网络攻击都会组织成活动,并且其中大多数(从绝对数量来看)都不是 活动驱动。因此,我将营销活动仅仅视为战略的一个子组成部分。如果对手必须组织多次网络活动,那么他们这样做是作为其更广泛战略的一部分。当目标和策略结合起来时,就构成了对手想要的 大部分内容。战术是指采用可用手段来实现目标的艺术或技巧。策略最常在高层叙述中观察到,例如“我们看到对手通过针对其面向公众的 Web 服务器执行 SQL 注入来危害受害者”。该声明中的策略是“针对面向公众的 Web 服务器的 SQL 注入。它是具体的、战术性的,但没有规定对手使用的具体技术、程序或工具,也没有提到使用该战术所产生的工件或 IOC。战术应该被认为是对手 是什么通常在攻击的特定阶段进行操作,而不需要深入了解如何、为什么和二进制位。正因为如此,许多人自然而然地将不适合机器可读的列和行的“其他所有内容”混为一谈。许多威胁报告都证明了这种在严格的战术和原子指标之间进行二维思维的常见错误。 在这些元素中,技术是最很少被讨论、也是最容易被误解的。为了澄清这些区别,我们必须借鉴韦氏词典和 JP 1-02 的字面定义。 技术 一个人执行基本身体动作或技能的方式,但最重要的是它们不是规定性的,这意味着技术没有程序顺序。它们只是描述用于执行使命、职能或任务的独特 方式或方法 具体到执行工作的实际人员。例如,给定的参与者可能有重复特定打字错误的习惯,或者在将密码传递到命令行参数时使用特定的键盘模式序列。这些都是这个人独有的技巧。这个人可能正在执行与坐在他们旁边的操作员完全相同的程序,但他们的背景、技能、习惯和个人倾向将塑造他们独特的技术。这对某些人来说似乎并不直接相关,但对于情报分析师来说,它可能意味着一切,他们对一组多个事件进行活动分析,试图找出最微妙的区别因素。这里要记住的关键是技术适用于个人。 程序 正如韦氏词典所定义的, 以某种方式或顺序完成的一系列操作,JP 1-02 进一步阐明了标准、详细的步骤,规定了如何执行特定任务。 程序不是对单个原子指标的观察,而是对两个或多个指标的连续观察,这些指标建立了指示正在执行的程序的趋势。一个例子是攻击者运行 net time,然后运行​​AT.exe 命令来安排作业在受害者系统当前本地时间后一分钟开始。另一个例子是对手持续执行单个 ping -n 1 在通过 SMB 通过 net use 通过窃取的凭据进行身份验证之前,将其发送到目标系统。单独来看,这些都是指标,但当链接在一起时,它们就成为一个程序。战术、技术和程序的结合构成了所谓的“TTP”。工具正是您所期望的。对手用来完成其目标的任何工具,无论是恶意的还是良性的,都属于这个要素。这并不是恶意软件所独有的,因为对手可以并且确实使用任何工具来完成工作。工具与 TTP 相结合,构成了对手计划如何获得他们想要的东西。这些是他们实现目标的方式和手段,也是我们作为情报、检测和响应专业人员应重点关注和优先考虑的最重要领域。 剩下的是主机和网络工件以及原子指示器,它们构成了 行为期间或之后留下的证据 尝试(成功与否)实现其目标的任何部分。这些要素的关键区别因素是,它们是由于发生更高级别的 TTP 而留下的指标。它们是大多数检测技术所依赖的面包屑,因此不要低估接下来两个级别的重大贡献,这一点很重要。通过在接下来的两个级别收集的数据,可以观察到上述级别。不幸的是,太多的注意力集中在这些级别上,而我们只过度关注工件和 IOC。我们经常无法保留有助于我们理解更高元素的必要关系和周围环境。主机和网络工件是一个非常大的元素,包含主机、网络或事件数据级别留下的任何工件,这些工件指示正在使用的工具或已识别的 TTP。主机和网络工件还包含上下文,例如观察位置和方式,并且通常包括一个或多个原子指标。这些示例可以是任何内容,从注册表项、预取项、内存中找到的互斥体,到网络流量中看到的出站第一阶段后门签入的特制 HTTP POST 事务。这个领域很大,在数字取证和事件响应方面占据了当今大多数焦点。我们收集这些东西并进行大量分析,但常常无法将其与显而易见的策略、技术和程序联系起来。 原子指标是信息的最低分母。它们代表与工具使用或已识别的 TTP 相关的最低可分解级别的信息和元数据。这些通常按指标类型组织,很好地融入表格和行中,并作为“威胁情报”在社区中传递,尽管实际上它很大程度上是无上下文的数据字符串。其中的示例包括 IP、域、电子邮件地址、文件哈希,甚至与原子指示符匹配的正则表达式模式。

未来的用例和后续步骤

这项练习对我构建一些基本构建块很有帮助,帮助我将 TTP 的概念应用到事件检测和响应领域。它还可以作为社区未来工作和讨论的基础。我考虑过的几个领域:

  1. 审查先前事件的证据。这里的想法是回顾之前事件中的所有证据(PCAP、LR、内存和磁盘映像等),并开始整理我们从针对该模型的攻击中学到的所有内容。如果您已经完成时间线分析或已解码对手键入的实际命令的 C2 会话,这尤其有用。回顾并审查这些信息是描述他们的程序甚至可能确定一两项技术的好方法。我很想听听做过这件事的人的反馈以及你发现了什么新东西。
  2. 审查现有指标库。许多组织都有某种英特尔数据库。这是电子表格还是自定义的内部关系数据库应用程序并不重要。仔细检查并根据该模型排列您的指标,并询问其中有多少属于每个元素。如果您发现的大部分内容都是原子指标或主机和网络工件,请不要感到惊讶。您有办法计算工具和 TTP 吗?您如何将其整合到您当前的系统中,以进一步推动您的情报收集?
  3. 查看我们当前的警报和事件分类流程。我们放在事件分析师面前的警报是否包含对最初观察到这些警报的工具和 TTP 的堆栈引用?或者我们的警报只是简单地说“砰!因为我们看到了这个原子指标,所以发生了一些不好的事情”?并非所有威胁情报都可用于检测。
  4. 成为变革的催化剂。如果您厌倦了“威胁情报”只不过是无上下文的工件和指标,它们会破坏您的检测技术,溢出您的控制台,并使响应者几乎没有上下文,那么您并不孤单。我们必须批判性地思考我们的情报来源、他们向我们提供的数据,并倡导他们做出我们需要的改进。大多数英特尔团队都希望提供优质的产品,但很少完全了解他们的产品是如何被消费的。成为变革的催化剂并开始与他们更密切地合作。

我对此进行了进一步扩展,作为我正在开展的一个类似项目的基础,该项目称为检测成熟度级别 (DML) 模型,您可以在此处阅读有关该模型的更多信息。