ATT&CK | FightingTree

ATT&CK

安全

发布日期: 2020-06-05

文章字数: 1.5k

阅读时长: 5 分

阅读次数:

1 说在前面

本文为《MITRE ATT&CK设计与理念》的读书笔记

2 MITRE ATT&CK

MITRE ATT&CK知识库描述网络入侵者行为，提供攻防两方的通用分类体系，已成为横跨多个网络安全学科的有效工具，涵盖威胁情报、红队测试或入侵者模拟、网络及系统入侵防御能力提升等领域。MITRE的ATT&CK创建流程和新内容管理理念是此项工作的
关键部分，有助于创建其他类似的入侵者模型及信息资料库。

2.1 ATT&CK的含义

MITRE精心策划的“入侵者战术、技术与共有的知识”框架 (ATT&CK: AdversarialTactics, Techniques, and Common Knowledge)：

反映入侵者攻击生命周期的各个阶段
揭示其意欲攻击的目标平台
是针对网络入侵者行为的知识库与模型。

ATT&CK脱胎于一个列举和分类Microsoft Windows™系统入侵后攻击战术、技术与流程 (TTP) 的项目。该项目的目的是提升恶意行为检测率。此项目后来还纳入了Linux™和MacOS™，并持续扩展至涵盖入侵前战术与技术，以及移动设备等技术焦点型领域。概括讲，ATT&CK是由下列核
心组件构成的行为模型：
• 战术，指攻击过程中的短期战术性目标（各列）；
• 技术，表示入侵者达成战术目标所用的方法（各单元格）；
• 入侵者使用技术及其他元数据的记录（链接至技术）。

2.2 历史背景

ATT&CK是应系统性分类入侵者行为的需求而诞生的。

2.3 ATT&CK用例

2.3.1 入侵者模拟

基于针对相关入侵者和其攻击手法的网络威胁情报来做模拟攻击，从而评估技术领域安全性的过程。入侵者模拟专注组织在威胁生命周期所有适用点上验证检测和/或缓解入侵者攻击行为的能力。
ATT&CK可用作创建入侵者模拟场景的工具，基于此测试验证安全防护系统应对常见入侵者技术的防御能力。

2.3.2 红队

在不使用已知威胁情报的情况下应用入侵者思维执行演练。红队专注秘密达成入侵者行动的最终目标，借此显示成功入侵的目标及其对运营的影响。
ATT&CK可用作创建红队计划和和组织行动的工具，规避网络中特定的防御措施，也可以用作新的攻击方法的路线图，规避防御检测

2.3.3 行为分析开发

行为检测分析超越了传统失陷标志(IoC)或恶意行为特征码，可用于识
别系统或网络中不依赖于已知入侵者工具及指标的潜在恶意活动。这是一种分析入侵者与特定平台互动方式的方法，可以识别和关联独立于所用特定工具的可疑活动。

2.3.4 防御缺口评估

通过防御缺口评估，公司企业可确定自身哪些部分缺乏防护和/或可见性。这些缺口代表着防御上的盲点，入侵者可经由这些潜在通道秘密或彻底侵入网络。

2.3.5 SOC成熟度评估

安全运营中心 (SOC) 是很多中大型企业网络持续监视活跃网络威胁
的关键部分。确定SOC有效性，重点在于了解其成熟度。

2.3.6 网络威胁情报丰富化

网络威胁情报覆盖影响网络安全的网络威胁及威胁组织的知识，包含有关恶意软件、工具、TTP、谍报技术、行为和其他威胁相关指标的信息

3 ATT&CK模型

入侵者达成目标需进行各种各样的操作，ATT&CK的基础便是体现这些操作的技术集合。模型中的战术类别，代表了入侵者的各个目标。这一相对简单的表现形式，在技术层面上的充足技术细节，与战术层面上入侵者操作为什么会出现的上下文之间，取得了有效平衡

3.1 ATT&CK Matrix

战术与技术间的关系可在ATT&CK矩阵中可视化呈现。比如说，驻留 (Persistence)战术下(入侵者的目的就是在目标环境中持续存在)就有AppInit_DLLs注册表键用户进程注
入 (AppInit DLLs)、安装新服务 (New Service) 和计划任务(Scheduled Task) 等一系列技
术。其中每一个都是入侵者为达成驻留目的可能会用的单项技术。

3.2 技术领域

ATT&CK 分为一系列“技术领域”——入侵者在其中运作的生态体系，ᨀ供入侵者达成目标所需规避或利用的约束集。MITRE目前定义有两个技术领域，分别是Enterprise（代表传统企业网络）和Mobile（适用移动通信设备）。平台可以是操作系统或应用程序（如Microsoft Windows）,下表是当前ATT&CK技术领域界定的平台。

-|-
技术领域 | 界定平台
Enterprise | Linux/MacOS/Winodws
Mobile | Android/iOS