从MITRE ATT&CK视角看认证

ATT&CK框架始于2013年，根据真实的观察数据来描述和分类对抗行为，由MITRE创建维护。其将已知攻击者行为转换为结构化列表、汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。

如下图所示，这是企业环境的攻击路线。分为侦查、发展资源、初始入侵、执行、持久化、提权、规避防御、获取凭据、发现、横向移动、手机、命令与控制、数据渗透、影响几大战术。每一战术，会提供对应的攻击技术；每种攻击技术，会提供相对应的技术手段。

通过ATT&CK，企业可以开展防御活动时，预测攻击者及其行为（做了什么、什么时候、为什么这么做）、对防御打分。详细的信息，可以参考https://www.mitre.org/sites/default/files/publications/mitre-getting-started-with-attack-october-2019.pdf。

那么，ATT&CK与认证、尤其无口令认证是什么关系呢？一起来看一下~

1.认证的角色

认证在企业安全中，扮演了非常重要的地位。ATT&CK的初始访问（Initial Access）、获取凭据（Credential Access）两战术，都直接同认证相关。在技术层面，包括有效账户（Valid Accounts）、修改认证流程（Modify Authentication Process）、使用替换的认证方式（Use Alternative Authentication Method）、账户发现（Account Discovery）和口令策略（Password Policy Discovery）都同认证直接相关。

2.钓鱼-通过无口令认证彻底杜绝

在初始访问时，最常用的攻击技术就是钓鱼，而且效果很明显。最典型的方式，就是发送欺诈邮件、短信，诱导用户在一个很相似的假网站里完成认证。这样，攻击者就可以窃取凭据。

对此防范，一方面要从发送方的邮件、手机号入手，另一方面可以采用新的认证技术，不受钓鱼影响。比如，类似FIDO这样基于挑战/应答机制的认证方式，恶意网站无法通过钓鱼凭据再认证。在这个机制里，服务端需要生成挑战数据，发送到用户浏览器、手机上，通常需要用户私钥签名。

3.账户穷举-通过基于手机的初始化登录解决

验证有效账户Valid Accounts攻击，对手尝试识别出哪些用户是真实有效。在获取有效账户列表后（同时有对应的密码泄漏库），攻击者可以尝试自动登录。通常，攻击者通过判断登录接口的返回，来猜测账户是否有效。比如对于用户名“abcd”和密码“123456”，返回“密码错误”等则说明用户名有效。

一种简单的防范策略，是通过手机进行带外认证来完成，比如用手机扫码、手机推送认证。手机在注册阶段与用户绑定绑定，之后可以用来启动认证。在这种方式下，用户无需输入用户名来启动认证，从而保证信息不被泄露。

4.暴力破解-消灭口令、消灭暴露面

暴力破解Brute force是一种最常用的攻击手段，对手尝试各种可能的密码组合进行登录。这个问题已经有很多的方式来解决，包括错误次数监控、密码复杂度要求、多因子认证。虽然这些方式都相对有效，但为什么不直接删除暴露面（口令）呢？

ATT&CK认为使用多因子认证是最好的降低被攻击风险的途径。比较有趣的是，在ATT&CK模型中，MFA可以降低34项攻击风险。所以，完全不要口令会更好、更长期有效，尤其是无口令的多因子认证系统。

5.D3FEND

MITRE最近启动了一个由美国国家安全局资助的项目，该项目专注于开发防御战术框架，也就是D3FEND。这个矩阵侧重于：加固、检测、隔离、欺骗、驱逐这几种防御战术。

在D3FEND中，认证主要集中在凭据加强Credential Hardening（使用多因子认证MFA、一次性口令One Time Password和强口令策略Strong Password Policy）、用户行为分析User Behaviour Analysis（集中在认证事件抖动Authentication Event Thresholding）

框架中主要还是集中在基于口令的认证体系，进行分析、检测。比如获取分析用户登录行为、时间、设备数、同时登录状态、退出登录等。

从长远看，替换掉口令、公私钥机制的挑战应答、基于手机的认证不仅可以让部分攻击彻底无效，而且可以提供更多有效分析数据，比如移动端安全检测、地理位置信息等。

6.总结

MITRE的ATT&CK和D3FEND框架，是计算机安全领域重要的武器库，提供了足够多、有效、文档丰富的对抗技术和策略，来帮助企业建立有效的安全。

然而，当我们使用无口令认证方法时，可以直接免用一些针对口令认证的复杂防护技术。从安全性、易用性上看，这些都是有利而无弊。

国民认证作为国内领先的无口令认证提供商，致力于建立覆盖全场景的无口令多因子认证，如果大家对此感兴趣，可通过后台、官网等联系我们获取免费demo、文档。