什么是MITRE ATT&CK?
MITRE ATT&CK™是一个基于实际发生的网络攻击事件为基础,全球可访问的攻方战术和技术知识库。它提供了一个复杂的框架,包含对手在攻击期间使用的200多种技术。涵盖从难到易的技术领域,以及知名的攻击团体及其活动的概念和背景。
MITRE于2013年启动ATT&CK™,用于记录针对Windows企业网络的高级威胁使用的常见战术、技术和程序(TTP)。ATT&CK框架主要解决了四个主要问题:
1.攻方的行为:专注于攻方的战术和技术,MITRE通过分析检测可能的攻击行为,记录的行为数据库。典型指标包括:域、IP地址、文件HASH、注册表键值等很容易被对手更改的内容,协助你进行判断,这些指标代表过去发生过类似的行为。
2.生命周期模型:现有的攻方生命周期和网络杀伤链概念太过高级,无法将行为与防御联系起来——这种抽象级别无法将TTP与新的指标关联。
3.与真实环境的适用性:TTP基于观察到的真实事件,来显示该指标适用于真实环境。
4.通用分类法:通过对TTP进行分类,显示相同条件下、不同类型的攻方之间关联。
ATT&CK是对抗性战术、技巧与知识(Adversarial Tactics, Techniques & Common Knowledge)的缩写。
对抗性战术(Adversarial Tactics)描述了攻击与攻击技术的原因,包括对手执行行动的战术目标,为该技术提供上下文类别,并涵盖攻方在操作期间执行的活动的各级指标,如持续时长、发现信息、内网漫游、可执行文件和数据窃取等。
技巧(Techniques)代表了对手如何通过执行该行动来实现战术目标。例如,对手可能通过转储凭证以获得对网络中凭证的访问权,从而实现内网漫游。技巧也可以代表对手通过执行一个动作获得了“什么”。对于“发现”战术来说,这是一个有用的区别,因为该技术展现了对手基于特定行动所追求的数据类型。
以下是一段关于MITRE ATT&CK的简短讲解视频:
https://www.youtube.com/watch?v=Yxv1suJYMI8
IT团队正在努力寻找安全漏洞,但由于缺乏可见性,他们不知道这些漏洞在哪里。ATT&CK for Enterprise Matrix提供了战术和技术之间关系的视图,这样安全分析师就可以看到对手可能会应用哪些技术渗透到他们的组织中,并获得以下问题的答案:这个对手是谁?他们使用什么技术和战术?我可以采取哪些缓解措施?
ATT&CK for Enterprise Matrix中的14个类别,源自七个网络攻击生命周期的后期阶段(利用、控制、维护和执行)(最初由洛克希德·马丁公司称为Cyber Kill Chain®)。此矩阵通常用于显示环境的防御覆盖范围、安全产品中的检测能力以及事件或红方参与的结果。
使用MITRE ATT&CK框架
“知己知彼,百战不殆。”
——《孙子兵法·谋攻篇》
许多组织可以从使用MITRE ATT&CK框架中获益。IT团队可以使用框架中的数据作为详细的参考源,丰富其对事件和警报的分析,启动调查,并根据其环境中的相关性和目击情况确定要采取的最佳行动。ATT&CK for Enterprise专注于攻方使用的高级别TTP,覆盖面广且跨平台,通过详尽的细节协助技术做出决策、扩展可视化和并协助执行。
我们的NetGain SIEM解决方案采用并与MITRE ATT&CK框架保持一致,提供了400多条威胁检测规则,这些规则对如何缓解威胁具有特定的MITRE参考。我们相信,采用我们的解决方案,并与MITRE ATT&CK框架保持一致,将使IT安全人员能够实时查明可疑活动,识别已知战术和威胁组。
要了解更多关于NetGain SIEM的好处,您可以访问我们的产品页面:https://www.netgain-systems.com.cn/netgain-siem/
关于MITRE Corporation
MITRE Corporation是一家美国非营利组织,总部设在马萨诸塞州贝德福德和弗吉尼亚州麦克莱恩。作为一个非营利组织,MITRE致力于联邦、州和地方政府以及行业和学术界的公共利益。在人工智能、直观数据科学、量子信息科学、健康信息学、空间安全、政策和经济专业知识、值得信赖的自主性、网络威胁共享和网络弹性等领域引入创新理念。
MITRE ATT&CK®和ATT&CK®是MITRE公司的注册商标。
