ATT&CK模型由MITRE公司于2013年创建。MITRE公司前身是麻省理工学院的林肯实验室,是一家向美国政府供应系统工程、研究开拓和信息技能支持的非营利性组织,其最引为人知的是它目前掩护了环球最大的漏洞信息库CVE。而ATT&CK框架正是MITRE公司基于其在CVE漏洞库管理根本上,总结入侵者入侵实战和漏洞利用手腕,从而形成详细的入侵知识库框架。
为什么要学习利用这一框架在当今繁芜的网络环境中,各种攻击技能与防御技能迭代而生,相互博弈,而这也逐渐显露出了两方面的问题。
首先,单一的攻击手段逐渐已经失落去了有效性。在实际的生产运用环境中,基本已经很难利用某一根本通用漏洞对主要的业务资产产生影响,大多数企业已经初具安全意识,这当然是一个非常好的发展趋势,但这却在无形中增加了信息安全人才培养的难度。
信安作为打算机中的一个分外分支,学习的内容广而杂,非常随意马虎迷失落方向。而传统的基于目标实践的培养办法在过去很好的引发了一代又一代网安人的发展,他们常常利用所学到的为数不多的知识就能发动一次有效的攻击(比如曾经的SQL漏洞满天飞,3389跑远控,MSF打内网),而这对付现阶段的网络环境已经变得不切实际了。
因此非常须要这样一个类似于辅导方案的框架涌现,使学习者能够明白学习目标是什么,所需的知识是什么,而ATT&CK框架正是供应了一个这样的索引,系统归纳总结了攻击路径中的各个宏不雅观构造以及技能细节,具有很强的学习意义。
另一方面,现如今大量的APT攻击层出不穷,数据透露事宜频发,各种恶意软件大肆横行,企业与机构在这样的态势下加倍显得疲于应对。而ATT&CK的涌现正有利于这一问题的办理,通过从宏不雅观到微不雅观的角度,利用通用措辞对各种攻击环节与行为进行详细描述,方便企业与机构据此对自身资产进行一个完全有效的安全评估,隔绝各种可能的入侵风险,这对付全体信息家当的发展都起着弥足轻重的浸染。
同时,最近威胁情报这一观点也逐渐进入了人们的视野,ATT&CK通过利用定义构造化措辞也为动态情报系统的发展奠定了根本,更多的干系内容可以查看文中的运用方向章节
MITRE ATT&CK 框架是2013年在非营利组织 MITRE 公司的米德堡实验中出身。研究职员仿照攻防双方行为,通过遥测传感与行为剖析改进失落陷威胁检测,开拓了 ATT&CK 框架(即 Adversarial Tactics, Techniques, and Common Knowledge),作为剖析对手的工具。
今年10 月,ATT&CK更新至第10个版本。新版本最大变革是在企业技能领域ATT&CK中,添加了一组新的数据源和数据组件工具,从而补充ATT&CK v9 版本中ATT&CK 数据源名称的变动。本期推举的这篇文章,涵盖了MITRE ATT&CK 框架逻辑、如何利用,以及近期攻击者最常用技战术,文章较长,建议收藏阅读。
01 MITRE ATT&CK框架
MITRE ATT&CK框架作为一个综合性知识库,通过对攻击生命周期各阶段的实际不雅观察,从而对攻击者行为进行理解与分类,涵盖各APT组织履行的恶意行为。随着厂商及企业对框架的采取,以及框架本身不断调度,MITRE ATT&CK已被公认为理解攻击者对企业利用的行为模型与技能威信。
MITRE ATT&CK框架根本元素为战术、技能和程序,也便是TTPs( Tactics, Techniques and Procedures)。战术回答了攻击者想要实现的目标;技能或子技能展示了攻击者实际的攻击办法以及目标如何实现;至于程序,框架办理的是威胁行为者与攻击组织为达到目标所利用技能的特定运用。此外,MITRE ATT&CK框架也涵盖了威胁检测与处置建议,以及攻击中利用的软件。详细而言,MITRE给出了3个单独矩阵,来应对不同的攻击环境,分别是:
企业技能领域 ATT&CK该矩阵适用Windows、macOS、Linux、云(Azure AD、Office 365、谷歌Workspace、SaaS、IaaS)、网络和容器环境。同时,该矩阵还包括一个攻击者准备阶段的技能的“PRE”子部分。
移动设备ATT&CK涵盖无移动设备访问权限却访问移动设备的战术与技能,包括与Android和iOS平台干系的信息。
工控系统(ICS)领域ATT&CK包括了工业掌握系统(ICS)环境中攻击者可能采纳行动的知识库。
由于企业技能领域涉及更多更广,这篇文章我们会重点关注该领域。
我尽力,内容太多了
相看清请去 https://attack.mitre.org/
MITRE ATT&CK企业技能领域矩阵
02 MITRE ATT&CK 战术与技能
所谓MITRE ATT&CK的战术,是攻击者希望通过技能实现的目标,每个目标都包含了攻击者被实际不雅观察利用的特定技能。这些战术都因此线性办法呈现,从情报网络一贯到渗漏及影响,但不必按照该顺序利用,由于MITRE也并未提出特定的顺序。目前,MITRE已经识别的企业领域攻击战术有14种:
侦察:这是攻击者考试测验通过尽可能多获取关于目标的信息,从而利用目标的初始阶段。该战术可以让攻击者创造有关目标网络的关键细节,比如系统漏洞和潜在的攻击媒介;资源开拓:攻击者建立资源以开展活动的一种攻击战术,例如获取所需的根本举动步伐、开拓能力以及毁坏帐户与根本举动步伐;初始访问:办理攻击者用来在网络中得到初始据点的各种入口载体,比如鱼叉式网络钓鱼、公开的运用程序漏洞、供应链失落陷等;实行:涵盖实现在目标系统上运行攻击者掌握的恶意代码或者远程访问工具的技能,常日与其他战术中的技能结合,从而在更广范围内实现目标;坚持:该战术中包括攻击者用来保持对目标系统访问的技能,由于攻击者会面对重新启动或者凭据变动等活动割断访问的情形;权限提升:涵盖攻击者用来在系统或网络上得到更高等别权限和访问权限的技能和活动,实现这一目标的技能包括利用系统缺点配置及漏洞;防御规避:这是攻击者通过利用最独特的技能,来避免在全体入侵过程中被检测到的一个目标,它包括的技能有禁用安全掌握和稠浊数据;凭据访问:由于合法凭据可以让攻击者访问更多系统并使他们更难被创造,以是这个战术的目标是利用暴力攻击、键盘记录和凭据倾销等技能来盗取凭据;创造:该战术描述了攻击者用来获取有关内部网络的知识的技能,以便不雅观察环境并决定下一步入侵;横向移动:包括从网络上某个受传染系统移动到另一个别系的过程,作为获取更多信息,扩大盘踞网络区域的一种手段;网络:该战术涵盖了攻击者用来网络与实现其目标干系的信息及信息来源的技能,常见的信息源包括浏览器、音频、视频以及电子邮件,实现该战术的常用技能是中间人攻击;命令与掌握:这属于攻击者考试测验与目标网络上受其掌握的系统进行通信的阶段,采取的技能包括数据稠浊、协议隧道和流量旗子暗记;渗漏:该战术处于攻击周期的扫尾阶段,包括攻击者用来从目标网络盗取数据,同时通过压缩和加密避免检测的技能。从网络中盗取数据的常用技能,是通过命令和掌握通道传输数据;影响:攻击者为实现终极目标而利用的技能,例如毁坏可用性或危害敏感数据和目标操作的完全性。MITRE ATT&CK企业技能领域矩阵中的14种战术,每一种都包含了广泛的技能,并且都是根据攻击者在毁坏企业或政府部门网络时利用过而不雅观察到的。虽然战术只有14种,但技能达200多种,每种技能在MITRE ATT&CK中又以子技能形式进一步剖析与阐明,数量达到近500种。
详细而言,MITRE ATT&CK框架对每项技能都供应了特定的信息,这里也做一个大略的先容:
技能ID:以“Txxx”格式呈现的标识符:例如,网络钓鱼为T1566,沙箱规避为T1497;
子技能:是更详细的技能,或攻击者实行技能的不同办法;
战术:即该技能的目标;
平台:是该技能适用的不同平台,例如Windows、Linux、macOS、云等等;
数据源:可以识别技能的信息来源,常日由日志系统网络;
程序:威胁组织利用该技能达到其目标的详细办法。
缓解:该技能的处置和防御策略;
检测:检测网络中攻击者和失落陷指标 (IoC) 的方法。
攻击者常日会利用多种技能,来实现其总体目标,而一种技能也可用于实现多个目标。例如,中间人攻击就能用于网络信息和凭据访问,沙箱规避能够用于规避,也可用于创造目标。
03 MITRE ATT&CK框架的利用
对付企业而言,MITRE ATT&CK支持攻击者仿照,改进威胁征采,能够丰富SOC的网络威胁情报源,为网络安全策略供应数据驱动的决策依据,并且常日与端点检测与相应(EDR)以及安全信息和事宜管理(SIEM)等工具集成,例如微步在线主机威胁检测与相应平台OneEDR针对Linux环境,具备80%的ATT&CK覆盖率及自研规则,能够全面准确检测入侵行为。对付MITRE ATT&CK框架,企业可在以下方面加以运用:
网络威胁情报
网络威胁情报的代价在于让企业理解网络之外正在发生的情形,提高对网络威胁的可见性,从而有效检测和应对威胁。而在系统毁坏进一步发生前,企业可以利用不同来源的IoCs来映射攻击者TTP,并预测其在攻击期间的行为。通过MITRE ATT&CK框架能够担保企业安全团队得到须要检测潜在攻击所需的信息,从而主动采纳行动。
威胁佃猎
利用MITRE ATT&CK框架的另一个领域是威胁佃猎。ATT&CK分类法能够基于攻击者TTP知识库,网络和过滤信息,有效检测恶意活动。利用ATT&CK,安全职员可以利用履历驱动的用例来检测网络活动或别的攻击活动,促进征采过程。
风险管理
通过由MITRE ATT&CK产生的知识和数据,企业可借此衡量自身现有能力,并根据检测到的防御覆盖差距,证明日常的安全培训与投资的合理性。
合规管控测试
可以利用MITRE ATT&CK,帮助企业对其安全掌握和方法进行测试,将其映射到攻击中利用的特色与技能,从而评估企业当前安全是否符合法规哀求。
商业安全办理方案评估
MITRE从2018年以来,就一贯利用ATT&CK框架来评估各种安全产品的性能,并且对不同厂商在ATT&CK知识库中检测和相应该年真实威胁行为者和攻击组织的能力,会发布年度性MITRE ATT&CK评估。以是,MITRE ATT&CK可以作为企业评估安全产品的一个主要维度。
攻击者仿照与红队行动组织
ATT&CK属于攻击过程的攻击视角,以是最常见的用例是攻击者仿照,或者红队行动组织。利用ATT&CK红队TTPs供应的情报,可以创建干系的攻击对手仿真,从而测试和验证企业的防御,也可以展示网络攻击和各种攻击者技能的影响。
明确防御差距
涌现重大威胁状况变革时,ATT&CK框架会进行更新,常日是每季度一次。以是,企业可以通过ATT&CK框架来评估自身的防御能力、安全工具及安全可见性。通过评估一个组织的网络安全态势的所有这些要素,ATT&CK供应了识别差距的能力,从而采取适当的方法和安全工具。
这里,整体以一个打单软件攻击为例。如果企业极易受到打单软件的影响,那就可以查看打单软件及其在Mitre ATT&CK框架中的支配办法,以及打单软件是如何在全体网络中移动,然后采纳行动集中防御和监控,从而在该类攻击进入时快速检测或进行阻挡。也便是说,Mitre ATT&CK能够帮助企业供应风险路线图之间的差距,见告企业须要保护哪些地方。
04 常用的MITRE ATT&CK技战术
根据安全机构vFeed体例的一份2020十大最常用MITRE ATT&CK技战术列表创造,攻击者利用最多的战术为防御绕过。如果将该最常用的技战术与2020年被利用最多的10个漏洞进行映射,创造70%的常见漏洞与ATT&CK MITRE常用技战术存在直接关联。并且根据该ATT&CK技战术列表,文件系统访问掌握与系统访问掌握是被绕过最多的防御掌握。这就意味着,对根本网络举动步伐的加固与修复该当成为企业的一个重点。
虽然网络安全框架常常被认为只是一种理论模型,但MITRE ATT&CK比较之下更实际,它是网络入侵与攻击者行为的真实展现,非常详尽地展示了攻击者如何攻击。这也是利用MITRE ATT&CK框架的最大好处,能够真正理解攻击者及其运作办法,如何进入企业网络,如何实行各种目标经历的各个步骤。
与其他攻击框架的比较Cyber Kill ChainCyber Kill Chain是由Lockheed Martin洛克希德·马丁以开拓、制造军用飞机有名天下(飞机和武器须要标准化以是总是能出很多标准和观点吧)开拓的攻击链框架,确定了攻击者必须完成什么才能实现他们的目标,其展示的七个步骤增强了对付攻击的可见性,并丰富了剖析师对攻击者TTPs(Tactics, Techniques and Procedures,战术、技能和程序)的理解,它同时也是 Intelligence Driven Defense模型的一部分。由于统共由七个步骤组成,以是也被称为七步杀链
很明显的看出,KillChain紧张是从宏不雅观角度对实际攻击场景中的各步骤进行定义,缺少技能细节。
洛克希德·马丁生产F35战斗机和航天器不错,很善于提出理念与标准但是对付信息安全理解还是须要再风雅化。
PTES(Penetration Testing Execution Standard ,渗透测试实行标准)PTES是一种渗透测试标准,旨在供应一种通用措辞描述的渗透测试实行范围和标准,始于2009年初,由一些创始成员环绕渗透测试行业谈论所得,参与者可以查看此列表。
其内容由7个紧张部分组成,但该标准实际上并没有供应关于实行实际渗透测试的技能哀求,但有一份干系的实践技能指南:http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
PTES本身只是一种标准规范,其所对应的技能指南虽然包含了大量详细的细节,但随着信息技能的发展也逐渐显得匮乏与掉队。相较于ATT&CK来说,这一标准的不敷还是比较明显的,无论是宏不雅观还是微不雅观角度都有一定的差距,且缺少通用的符号措辞用于定义攻击链中的环节,但作为一份早期的渗透测试标准还是有非常高的参考意义的
NTCTF(NSA/CSS Technical Cyber Threat Framework)该框架是ODNI Cyber Threat Framework的扩展,并参考了ATT&CK,用于帮助NSA利用通用技能词典标准化攻击行为分类及描述,相较于ATT&
不知攻,焉知防。尽可能学会利用这些框架,提前节制攻击者的弱点,创造对方并终极阻挡攻击成功,也是企业安全团队的必备作业之一。也只有更理解攻击者,才能更好地创造自身弱点,保护企业网络安全。
