在 络安全领域,攻击者始终拥有取之不竭、用之不尽的 络弹药,可以对组织机构随意发起攻击;而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击。基于这种攻防不对称的情况,防守方始终会被以下问题(如图1所示)所困扰:
我们的防御方案有效吗/p>
我们能检测到APT攻击吗/p>
新产品能发挥作用吗/p>
安全工具覆盖范围是否有重叠呢/p>
如何确定安全防御优先级/p>
图2 ATT&CK框架的热度发展趋势
MITRE ATT&CK提供了一个复杂框架,介绍了攻击者在攻击过程中使用的180多项技术、360多项子技术,其中包括特定技术和通用技术,以及有关知名攻击组织及其攻击活动的背景信息和攻击中所使用的战术、技术。
简单来说,MITRE ATT&CK是一个对抗行为知识库。该知识库具有以下几个特点:
它是基于真实观察数据创建的。
它是公开免费、全球可访问的。
它为蓝方和红队提供了一种沟通交流的通用语言。
它是由 区驱动发展的。
基于威胁建模的ATT&CK框架如图3所示。
在各技术领域,ATT&CK定义了多个平台,即攻击者在各技术领域进行操作的系统。一个平台可以是一个操作系统或一个应用程序(例如,Microsoft Windows)。ATT&CK中的技术和子技术可以应用在不同平台上。
在刚开始推出Enterprise ATT&CK时,ATT&CK专注于攻击者入侵系统后的行为,大致对应Kill Chain中从漏洞利用到维持的阶段。这符合防守方所处的情况,即防守方仅具有对自己 络的可见性,无法揭露攻击者入侵成功前的行为。
在ATT&CK初次发布后,MITRE的一个独立团队希望按照Enterprise ATT&CK的格式向左移动,列出导致攻击者成功入侵的攻击行为,于是在2017年发布了PRE ATT&CK。
图4展示了PRE ATT&CK与Kill Chain的对比图。
图5 PRE ATT&CK与Enterprise ATT&CK合并
之前,MITRE称PRE ATT&CK+Enterprise ATT&CK涵盖了完整的Kill Chain。但实际上PRE ATT&CK还包括侦察前情 规划在内的多种战术。后来,MITRE的Ingrid Parker与ATT&CK团队合作制定了一个标准,以确定PRE ATT&CK中的哪些技术可以融入Enterprise ATT&CK中,具体标准包括以下内容。
技术性标准:攻击行为与电子设备/计算机有关,而不是与计划或人类情 采集有关。
可见性标准:攻击行为对某个地方的防守方可见,不需要国家级的情 能力,例如ISP或DNS厂商。
证明攻击者的使用情况:有证据表明某种攻击行为已被攻击者在“在野攻击”中使用。
根据以上标准进行筛选后,将PRE ATT&CK整合到Enterprise ATT&CK中成为两个新战术,如下所示。
侦察:重点关注试图收集信息以计划在未来进行攻击的攻击者,包括主动或被动收集信息以确定攻击目标的技术。
资源开发:重点关注试图获取资源以进行攻击的攻击者,包括攻击者为实现目标而获取、购买或破坏/窃取资源的技术。
精简后,PRE矩阵只包含侦察和资源开发这两个战术(见表2),战术下包含技术和子技术。虽然这些技术/子技术大部分没有缓解措施,但防守方可以参照这些攻击行为,做到一些暴露面的收缩。
表2 精简版本的PRE矩阵
ATT&CK技术抽象提炼的价值体现在以下两方面:
通过抽象提炼,ATT&CK形成一个通用分类法,让攻击者和防守方都可以理解单项对抗行为及攻击者的攻击目标。
通过抽象提炼,ATT&CK完成了适当的分类,将攻击者的行为和具体的防守方式联系起来。
全球首部ATT&CK专著发布仪式!
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22638 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!