⼀⽂看懂ATTCK框架以及使⽤场景实例
Google趋势显⽰,这个带着奇怪的“&”符号的缩略语——ATT&CK⾮常受欢迎。但是,MITRE ATT&CK™的内涵是什么呢?为什么⽹络安全专家应该关注ATT&CK呢?
过去12个⽉中,对MITRE ATT&CK的搜索热度显着增长
⼀、ATT&CK框架背景介绍
MITRE是美国政府资助的⼀家研究机构,该公司于1958年从MIT分离出来,并参与了许多商业和最⾼机密项⽬。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所(NIST)的资助下从事了⼤量的⽹络安全实践。
MITRE在2013年推出了ATT&CK模型,它是根据真实的观察数据来描述和分类对抗⾏为。ATT&CK将已知攻击者⾏为转换为结构化列表,将这些已知的⾏为汇总成战术和技术,并通过⼏个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信⾃动化交换(TAXII)来表⽰。由于此列表相当全⾯地呈现了攻击者在攻击⽹络时所采⽤的⾏为,因此对于各种进攻性和防御性度量、表⽰和其他机制都⾮常有⽤。
MITRE ATT&CK的⽬标是创建⽹络攻击中使⽤的已知对抗战术和技术的详尽列表。在过去的⼀年中,MITRE ATT&CK框架在安全⾏业中⼴受欢迎。简单来说,ATT&CK是MITRE提供的“对抗战术、技术和常
识”框架,是由攻击者在攻击企业时会利⽤的12种战术和244种企业技术组成的精选知识库。
ATT&CK会详细介绍每⼀种技术的利⽤⽅式,以及为什么了解这项技术对于防御者来说很重要。这极⼤帮助了安全⼈员更快了解不熟悉的技术。例如,对于甲⽅企业⽽⾔,平台和数据源⾮常重要,企业安全⼈员需要了解应该监控哪些系统以及需要从中收集哪些内容,才能减轻或检测由于⼊侵技术滥⽤造成的影响。这时候,ATT&CK场景⽰例就派上⽤场了。针对每种技术都有具体场景⽰例,说明攻击者是如何通过某⼀恶意软件或⾏动⽅案来利⽤该技术的。ATT&CK每个⽰例都采⽤Wikipedia的风格,引⽤了许多博客和安全研究团队发表的⽂章。因此如果ATT&CK中没有直接提供的内容,通常可以在这些链接的⽂章中到。
因此,现在很多企业都开始研究ATT&CK,在这⼀过程中通常会看到企业组织采⽤两种⽅法。⾸先是盘点其安全⼯具,让安全⼚商提供⼀份对照ATT&CK覆盖范围的映射图。尽管这是最简单、最快速的⽅法,但供应商提供的覆盖范围可能与企业实际部署⼯具的⽅式并不匹配。此外,也有些企业组织在按照战术逐项进⾏评估企业安全能⼒。以持久化战术为例,这些技术可能⾮常复杂,⽽且,仅仅缓解其中⼀部分技术,并不意味着攻击者⽆法以其它⽅式滥⽤这项技术。
⼆、MITRE ATT&CK与Kill Chain的对⽐
总体来说,ATT&CK模型是在洛克希德-马丁公司提出的KillChain模型的基础上,构建了⼀套更细粒度、
更易共享的知识模型和框架。⽬前ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK覆盖攻击链模型的前两个阶段,包含了与攻击者在尝试利⽤特定⽬标⽹络或系统漏洞进⾏相关操作有关的战术和技术。ATT&CK for Enterprise覆盖攻击链的后五个阶段,ATT&CK for Enterprise由适⽤于Windows、Linux和MacOS系统的技术和战术组成。ATT&CK for Mobile包含适⽤于移动设备的战术和技术。
但是,ATT&CK的战术跟洛克希德·马丁的⽹络杀伤链不⼀样,并没有遵循任何线性顺序。相反,攻击者可以随意切换战术来实现最终⽬标。没有⼀种战术⽐其它战术更重要。企业组织必须对当前覆盖范围进⾏分析,评估组织⾯临的风险,并⽤⼀种有意义的⽅式来弥合差距。
除了在攻击链战术上更加细化之外,ATT&CK还描述了可以在每个阶段使⽤的技术,⽽Kill Chain则没有这些内容。
三、ATT&CK框架使⽤⽅式
从视觉⾓度来看,MITRE ATT&CK矩阵将所有已知的战术和技术排列成易于理解的格式。攻击战术展⽰在矩阵顶部,每列下⾯列出了单独的技术。⼀个攻击序列按照战术,⾄少包含⼀个技术,并且通过从左侧(初始访问)向右侧(影响)移动,就构建了⼀个完整的攻击序列。⼀种战术可能使⽤多种技术。例如,攻击者可能同时尝试鱼叉式⽹络钓鱼攻击中的钓鱼附件和钓鱼链接。
MITRE ATT&CK矩阵顶部⼀⾏为攻击战术,每⼀列下⾯包含多项技术
ATT&CK战术按照逻辑上分布在多个矩阵中,并以“初始访问”战术开始。例如:发送包含恶意附件的鱼叉式⽹络钓鱼邮件就是该战术下的⼀项技术。ATT&CK中的每种技术都有唯⼀的ID号码,例如,此处所使⽤的技术T1193。矩阵中的下⼀个战术是“执⾏”。在该战术下,有“⽤户执⾏/ T1204”技术。该技术描述了在⽤户执⾏特定操作期间执⾏的恶意代码。在矩阵中后⾯的阶段中,您将遇到“提升特权”、“横向移动”和“渗透”之类的战术。
攻击者⽆需使⽤矩阵顶部所⽰的所有12项战术。相反,攻击者会使⽤最少数量的战术来实现其⽬标,因为这可以提⾼效率并且降低被发现的⼏率。例如,对⼿使⽤电⼦邮件中传递的鱼叉式⽹络钓鱼链接对CEO⾏政助理的凭据进⾏“初始访问”。获得管理员的凭据后,攻击者将在“发现”阶段寻远程系统。接下来可能是在Dropbox⽂件夹中寻敏感数据,管理员对此也有访问权限,因此⽆需提升权限。然后攻击者通过将⽂件从Dropbox下载到攻击者的计算机来完成收集。
显⽰了⼀个攻击⽰例,攻击中使⽤了每个战术阶段的技术
ATT&CK 导航⼯具是⼀个很有⽤的⼯具,可⽤于映射针对ATT&CK技术的控制措施。可以添加不同的层,来显⽰特定的检测控制、措施预防控制措施甚⾄观察到的⾏为。导航⼯具可以在线使⽤,快速搭建模型或场景,也可以下载下来,进⾏内部设置,作为⼀个持久化的解决⽅案。
下⽂,笔者将针对ATT&CK框架中的12种战术的中⼼思想以及有关如何解决战术中某些技术的缓解和检测⽅⾯的⼀些解读。
1、初始访问
尽管ATT&CK并不是按照任何线性顺序排列的,但初始访问将是攻击者在企业环境中的⽴⾜点。对于企业来说,该战术是从PRE-ATT&CK 到ATT&CK的理想过渡点。攻击者会使⽤不同技术来实现初始访问技术。
例如,假设攻击者使⽤Spearphishing(鱼叉式)附件。附件本⾝将利⽤某种类型的漏洞来实现该级别的访问,例如PowerShell或其它脚本技术。如果执⾏成功,可以让攻击者采⽤其它策略和技术来实现其最终⽬标。幸运的是,由于这些技术众所周知,因此有许多技术和⽅法可⽤于减轻和检测每种技术的滥⽤情况。
此外,安全⼈员也可以将ATT&CK和CIS控制措施相结合,这将发挥更⼤作⽤。对于初始访问这种战术,我认为其中三项CIS控制措施能发挥极⼤作⽤。
(1)控制措施4:控制管理员权限的使⽤。如果攻击者可以成功使⽤有效帐户或让管理员打开spearphishing附件,后续攻击将变得更加轻松。
(2)控制措施7:电⼦邮件和Web浏览器保护。由于这些技术中的许多技术都涉及电⼦邮件和、Web浏览器的使⽤,因此,控制措施7中的⼦控制措施将⾮常有⽤。
(3)控制措施16:帐户监视和控制。充分了解帐户应执⾏的操作并锁定权限,不仅有助于限制数据泄露造成的损害,还可以发挥检测⽹络中有效帐户滥⽤的功能。
初始访问是攻击者将在企业环境中的落脚点。想要尽早终⽌攻击,那么“初始访问”将是⼀个很合适的起点。此外,如果企业已经采⽤了CIS 控制措施并且正在开始采⽤ATT&CK的⽅法,这将会很有⽤。
2、执⾏
在对⼿在进攻中所采取的所有战术中,应⽤最⼴泛的战术莫过于“执⾏”。攻击者在考虑现成的恶意软件、软件或APT攻击时,他们都会选择“执⾏”。由于恶意软件必须运⾏,因此防御者就有机会阻⽌或检测到它。但是,并⾮所有恶意软件都是可以⽤杀毒软件轻松查其恶意可执⾏⽂件。
此外,对于命令⾏界⾯或PowerShell对于攻击者⽽⾔⾮常有⽤。许多⽆⽂件恶意软件都专门利⽤了其中⼀种技术或综合使⽤这两种技术。这些类型的技术对攻击者的威⼒在于,终端上已经安装了上述技术,⽽且很少会删除。系统管理员和⾼级⽤户每天都依赖其中⼀些内置⼯具。ATT&CK中的缓解控制措施甚⾄声明了,这些控制措施也⽆法删除上述技术,只能对其进⾏审计。⽽攻击者所依赖的就是,终端上安
装采⽤了这些技术,因此要获得对攻击者的优势,只能对这些技术进⾏审计,然后将它们相关数据收集到中央位置进⾏审核。
最后,应⽤⽩名单是缓解恶意软件攻击时最有⽤的控制措施。但和任何技术⼀样,这不是解决所有问题的灵丹妙药。但是,应⽤⽩名单会降低攻击者的速度,并且还可能迫使他们逃离舒适区,尝试其它策略和技术。当攻击者被迫离开⾃⼰的舒适区之外时,他们就有可能犯错。
如果企业当前正在应⽤CIS关键安全控制措施,该战术与控制措施2——已授权和未授权软件清单⾮常匹配。从缓解的⾓度来看,企业⽆法防护⾃⼰未知的东西,因此,第⼀步是要了解⾃⼰的财产。要正确利⽤ATT&CK,企业不仅需要深⼊了解已安装的应⽤程序。还要清楚内置⼯具或附加组件会给企业组织带来的额外风险。在这个环节中,可以采⽤⼀些安全⼚商的资产清点⼯具,例如青藤等主机安全⼚商都能提供详细的软件资产清单。
3、持久化
除了软件以外,持久化是最受攻击者追捧的技术之⼀。攻击者希望尽可能减少⼯作量,包括减少访问攻击对象的时间。即便运维⼈员采取重启、更改凭据等措施后,持久化仍然可以让计算机再次感染病毒或维护其现有连接。例如注册表Run键、启动⽂件夹是最常⽤的技术,这些注册表键或⽂件系统位置在每次启动计算机时都会执⾏。因此攻击者在启动诸如Web浏览器或Microsoft Office等常⽤应⽤时开始
获得持久化。
此外,还有使⽤“镜像劫持(IFEO)注⼊”等技术来修改⽂件的打开⽅式,在注册表中创建⼀个辅助功能的注册表项,并根据镜像劫持的原理添加键值,实现系统在未登录状态下,通过快捷键运⾏⾃⼰的程序。
有程序正在修改镜像劫持在所有ATT&CK战术中,笔者认为持久化是最应该关注的战术之⼀。如果企业在终端上发现恶意软件并将其删除,很有可能它还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此或⽹络上的其它地⽅建⽴了持久化。与使⽤其它⼀些战术和技术相⽐,使⽤持久化攻击应该相对容易⼀些。
4、提升权限
所有攻击者都会对提权爱不释⼿,利⽤系统漏洞达到root级访问权是攻击者核⼼⽬标之⼀。其中⼀些技术需要系统级的调⽤才能正确使
⽤,Hooking和进程注⼊就是两个⽰例。该战术中的许多技术都是针对被攻击的底层操作系统⽽设计,要缓解可能很困难。
ATT&CK提出“应重点防⽌对抗⼯具在活动链中较早运⾏,并重点识别随后的恶意⾏为。”这意味着需要
利⽤纵深防御来防⽌感染病毒,例如终端的外围防御或应⽤⽩名单。对于超出ATT&CK建议范围之外的权限升级,⼀种良好的防⽌⽅式是在终端上使⽤加固基线。例如CIS提基线提供了详细的分步指南,指导企业如何加固系统,抵御攻击。
应对此类攻击战术另⼀个办法是审计⽇志记录。当攻击者采⽤其中某些技术时,它们将留下蛛丝马迹,暴露他们的⽬的。尤其是针对主机侧的⽇志,如果能够记录服务器的所有运维命令,进⾏存证以及实时审计。例如,实时审计运维⼈员在服务器上操作步骤,⼀旦发现不合规⾏为可以进⾏实时告警,也可以作为事后审计存证。也可以将数据信息对接给SOC、态势感知等产品,也可以对接给编排系统。
5、防御绕过
到⽬前为⽌,该战术所拥有的技术是MITRE ATT&CK框架所讨论的战术中最多的。该战术的⼀个有趣之处是某些恶意软件,例如软件,对防御绕过毫不在乎。他们的唯⼀⽬标是在设备上执⾏⼀次,然后尽快被发现。
⼀些技术可以骗过防病毒(AV)产品,使其根本⽆法对其进⾏检查,或者绕过应⽤⽩名单技术。例如,禁⽤安全⼯具、⽂件删除和修改注册表都是可以利⽤的技术。当然防御者可以通过监视终端上的更改并收集关键系统的⽇志将会让⼊侵⽆处遁形。
6、凭据访问
毫⽆疑问,攻击者最想要的凭据,尤其是管理凭据。如果攻击者可以登录,为什么要⽤0Day或冒险采⽤漏洞⼊侵呢?这就犹如⼩偷进⼊房⼦,如果能够到钥匙开门,没⼈会愿意砸破窗户⽅式进⼊。
任何攻击者进⼊企业都希望保持⼀定程度的隐⾝。他们将希望窃取尽可能多的凭据。他们当然可以暴⼒破解,但这种攻击⽅式噪声太⼤了。还有许多窃取哈希密码及哈希传递或离线破解哈希密码的⽰例。最后,攻击者最喜欢⽅式是窃取明⽂密码。明⽂密码可能存储在明⽂⽂件、数据库甚⾄注册表中。攻击者⼊侵⼀个系统、窃取本地哈希密码并破解本地管理员密码并不鲜见。
应对凭据访问最简单办法就是采⽤复杂密码。建议使⽤⼤⼩写、数字和特殊字符组合,⽬标是让攻击者难以破解密码。最后⼀步就是监视有效帐户的使⽤情况。在很多情况下,是通过有效账户发⽣的数据泄露。
当然最稳妥办法办法就是启⽤多因素验证。即使存在针对双重验证的攻击,有双重验证(2FA)总⽐没有好。通过启⽤多因素验证,可以确保破解密码的攻击者在访问环境中的关键数据时,仍会遇到另⼀个障碍。
7、发现
“发现”战术是⼀种难以防御的策略。它与洛克希德·马丁⽹络杀戮链的侦察阶段有很多相似之处。组织机构要正常运营业务,肯定会暴露某些特定⽅⾯的内容。
最常⽤的是应⽤⽩名单,可以解决⼤多数恶意软件。此外,欺骗防御也是⼀个很好⽅法。放置⼀些虚假信息让攻击者发现,进⽽检测到对⼿的活动。通过监视,可以跟踪⽤户是否正在访问不应访问的⽂档。
由于⽤户通常在⽇常⼯作中执⾏各种技术中所述的许多操作,因此,从各种⼲扰中筛选出恶意活动可能⾮常困难。理解哪些操作属于正常现象,并为预期⾏为设定基准时,会在尝试使⽤这⼀战术时有所帮助
8、横向移动
攻击者在利⽤单个系统漏洞后,通常会尝试在⽹络内进⾏横向移动。甚⾄通常⼀次只针对单个系统的软件也试图在⽹络中移动以寻其它攻击⽬标。攻击者通常会先寻⼀个落脚点,然后开始在各个系统中移动,寻更⾼的访问权限,以期达成最终⽬标。
在缓解和检测对该特定技术的滥⽤⽅⾯,适当的⽹络分段可以在很⼤程度上缓解风险。将关键系统放置在⼀个⼦⽹中,将通⽤⽤户放置在另⼀个⼦⽹中,将系统管理员放置在第三个⼦⽹中,有助于快速隔离较⼩⽹络中的横向移动。在终端和交换机级别都设置防⽕墙也将有助于限制横向移动。
遵循CIS 控制措施 14——基于需要了解受控访问是⼀个很好的切⼊点。除此之外,还应遵循控制措施4——控制管理员权限的使⽤。攻击者寻求的是管理员凭据,因此,严格控制管理员凭据的使⽤⽅式和位置,将会提⾼攻击者窃取管理员凭据的难度。此控制措施的另⼀部分是记录管理凭据的使⽤情况。即使
管理员每天都在使⽤其凭据,但他们应该遵循其常规模式。发现异常⾏为可能表明攻击者正在滥⽤有效凭据。
除了监视⾝份验证⽇志外,审计⽇志也很重要。域控制器上的事件ID 4769表⽰,Kerberos黄⾦票证密码已重置两次,这可能表明存在票据传递攻击。或者,如果攻击者滥⽤远程桌⾯协议,审计⽇志将提供有关攻击者计算机的信息。
9、收集
ATT&CK “收集”战术概述了攻击者为了发现和收集实现⽬标所需的数据⽽采取的技术。该战术中列出的许多技术都没有关于如何减轻这些技术的实际指导。实际上,⼤多数都是含糊其辞,称使⽤应⽤⽩名单,或者建议在⽣命周期的早期阶段阻⽌攻击者。
但是,企业可以使⽤该战术中的各种技术,了解更多有关恶意软件是如何处理组织机构中数据的信息。攻击者会尝试窃取有关当前⽤户的信息,包括屏幕上有什么内容、⽤户在输⼊什么内容、⽤户讨论的内容以及⽤户的外貌特征。除此之外,他们还会寻求本地系统上的敏感数据以及⽹络上其它地⽅的数据。
了解企业存储敏感数据的位置,并采⽤适当的控制措施加以保护。这个过程遵循CIS控制措施14——基于需要了解受控访问,可以帮助防⽌数据落⼊敌⼿。对于极其敏感的数据,可查看更多的⽇志记录,了解哪些⼈正在访问该数据以及他们正在使⽤该数据做什么。
10、命令和控制
现在⼤多数恶意软件都有⼀定程度的命令和控制权。⿊客可以通过命令和控制权来渗透数据、告诉恶意软件下⼀步执⾏什么指令。对于每种命令和控制,攻击者都是从远程位置访问⽹络。因此了解⽹络上发⽣的事情对于解决这些技术⾄关重要。
在许多情况下,正确配置防⽕墙可以起到⼀定作⽤。⼀些恶意软件家族会试图在不常见的⽹络端⼝上隐藏流量,也有⼀些恶意软件会使⽤80和443等端⼝来尝试混⼊⽹络噪⾳中。在这种情况下,企业需要使⽤边界防⽕墙来提供威胁情报数据,识别恶意URL和IP地址。虽然这不会阻⽌所有攻击,但有助于过滤⼀些常见的恶意软件。
如果边界防⽕墙⽆法提供威胁情报,则应将防⽕墙或边界⽇志发送到⽇志服务处理中⼼,安全引擎服务器可以对该级别数据进⾏深⼊分析。例如Splunk等⼯具为识别恶意命令和控制流量提供了良好的⽅案。
11、数据渗漏
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着⼿数据渗透。但并不是所有恶意软件都能到达这个阶段。例如,软件通常对数据逐渐渗出没有兴趣。与“收集”战术⼀样,该战术对于如何缓解攻击者获取公司数据,⼏乎没有提供指导意见。
在数据通过⽹络渗漏的情况下,建⽴⽹络⼊侵检测或预防系统有助于识别何时传输数据,尤其是在攻击者窃取⼤量数据(如客户数据库)的情况下。此外,尽管DLP成本⾼昂,程序复杂,但可以确定敏感数据何时会泄露出去。IDS、IPS和DLP都不是100%准确的,所以部署⼀个纵深防御体系结构以确保机密数据保持机密。
如果企业组织机构要处理⾼度敏感的数据,那么应重点关注限制外部驱动器的访问权限,例如USB接⼝,限制其对这些⽂件的访问权限,即可禁⽤他们装载外部驱动器的功能。
要正确地解决这个战术,⾸先需要知道组织机构的关键数据所在的位置。如果这些数据还在,可以按照CIS 控制措施14——基于需要了解受控访问,来确保数据安全。之后,按照CIS控制措施13——数据保护,中的说明了解如何监视试图访问数据的⽤户。
12、影响
攻击者试图操纵、中断或破坏企业的系统和数据。⽤于影响的技术包括破坏或篡改数据。在某些情况下,业务流程可能看起来很好,但可能已经更改为有利于对⼿的⽬标。这些技术可能被对⼿⽤来完成他们的最终⽬标,或者为机密泄露提供掩护。
例如攻击者可能破坏特定系统数据和⽂件,从⽽中断系统,服务和⽹络资源的可⽤性。数据销毁可能会
通过覆盖本地或远程驱动器上的⽂件或数据使存储的数据⽆法恢复。针对这类破坏可以考虑实施IT灾难恢复计划,其中包含⽤于进⾏可⽤于还原组织数据的常规数据备份的过程。
四、ATT&CK使⽤场景
ATT&CK在各种⽇常环境中都很有价值。开展任何防御活动时,可以应⽤ATT&CK分类法,参考攻击者及其⾏为。ATT&CK不仅为⽹络防御者提供通⽤技术库,还为渗透测试和红队提供了基础。提到对抗⾏为时,这为防御者和红队成员提供了通⽤语⾔。企业组织可以使⽤多种⽅式来使⽤MITRE ATT&CK。下⽂是⼀些常见的主要场景:
(1)对抗模拟
ATT&CK可⽤于创建对抗性模拟场景,测试和验证针对常见对抗技术的防御⽅案。
(2)红队/渗透测试活动
红队、紫队和渗透测试活动的规划、执⾏和报告可以使⽤ATT&CK,以便防御者和报告接收者以及其内部之间有⼀个通⽤语⾔。
(3)制定⾏为分析⽅案
ATT&CK可⽤于构建和测试⾏为分析⽅案,以检测环境中的对抗⾏为。
(4)防御差距评估
ATT&CK可以⽤作以⾏为为核⼼的常见对抗模型,以评估组织企业内现有防御⽅案中的⼯具、监视和缓解措施。在研究MITRE ATT&CK 时,⼤多数安全团队都倾向于为Enterprise矩阵中的每种技术尝试开发某种检测或预防控制措施。虽然这并不是⼀个坏主意,但是ATT&CK 矩阵中的技术通常可以通过多种⽅式执⾏。因此,阻⽌或检测执⾏这些技术的⼀种⽅法并不⼀定意味着涵盖了执⾏该技术的所有可能⽅法。由于某种⼯具阻⽌了⽤另⼀种形式来采⽤这种技术,⽽组织机构已经适当地采⽤了这种技术,这可能导致产⽣⼀种虚假的安全感。但是,攻击者仍然可以成功地采⽤其他⽅式来采⽤该技术,但防御者却没有任何检测或预防措施。
(5)SOC成熟度评估
ATT&CK可⽤作⼀种度量,确定SOC在检测、分析和响应⼊侵⽅⾯的有效性。SOC团队可以参考ATT&CK已检测到或未涵盖的技术和战术。这有助于了解防御优势和劣势在哪⾥,并验证缓解和检测控制措施,并可以发现配置错误和其他操作问题。
(6)⽹络威胁情报收集
ATT&CK对于⽹络威胁情报很有⽤,因为ATT&CK是在⽤⼀种标准⽅式描述对抗⾏为。可以根据攻击者已知利⽤的ATT&CK中的技术和战术来跟踪攻击主体。这为防御者提供了⼀个路线图,让他们可以对照他们的操作控制措施,查看对某些攻击主体⽽⾔,他们在哪些⽅⾯有弱点,在哪些⽅⾯有优势。针对特定的攻击主体,创建MITRE ATT&CK 导航⼯具内容,是⼀种观察环境中对这些攻击主体或团体的优势和劣势的好⽅法。ATT&CK还可以为STIX 和 TAXII 2.0提供内容,从⽽可以很容易地将⽀持这些技术的现有⼯具纳⼊中。
ATT&CK提供了将近70个攻击主体和团体的详细信息,包括根据开放源代码报告显⽰,已知他们所使⽤的技术和⼯具。
使⽤ATT&CK的通⽤语⾔,为情报创建过程提供了便利。如前所述,这适⽤于攻击主体和团体,但也适⽤于从SOC或事件响应活动中观察到的⾏为。也可以通过ATT&CK介绍恶意软件的⾏为。任何⽀持ATT&CK的威胁情报⼯具都可以简化情报创建过程。将ATT&CK应⽤于任何提及的⾏为的商业和开源情报也有助于保持情报的⼀致性。当各⽅围绕对抗⾏为使⽤相同的语⾔时,将情报传播到运维⼈员或管理⼈员变得容易得多了。如果运营⼈员确切地知道什么是强制验证,并且在情报报告中看到了这⼀信息,则他们可能确切地知道应该对该情报采取什么措施或已经采取了哪些控制措施。以这种⽅式,实现ATT&CK对情报产品介绍的标准化可以⼤⼤提⾼效率并确保达成共识。
写在最后
青藤云安全表⽰:MITRE向我们提供了ATT&CK及其相关⼯具和资源,为安全界做出了重⼤贡献。它的出现恰合时宜。由于攻击者正在寻更隐蔽的⽅法并避免传统安全⼯具的检测,因此防御者不得不改变检测和防御⽅式。ATT&CK改变了我们对IP地址和域名等低级指标的认知,并让我们从⾏为的视⾓来看待攻击者和防御措施。与过去“⼀劳永逸”的⼯具相⽐,检测和预防⾏为之路要困难得多。此外,随着防御
者带来新的功能,攻击者肯定会作出相应调整。ATT&CK提供了⼀种⽅法来描述他们开发的新技术,并希望防御者能够紧随技术发展的新步伐。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论