什么是MITRE ATT&CK安全框架?

MITRE ATT&CK代表MITRE对抗战术、技术和常用知识,是MITRE的商标 (ATT&CK)。

  • MITRE ATT&CK框架是一个精心策划的知识库和网络攻击者行为模型,它代表了攻击者攻击生命周期的许多阶段,以及他们已知的目标平台。

  • 该模型的战术和方法抽象创建了一个特定攻击者操作的标准分类法,网络安全的攻防双方都可以理解。它还为攻击者行为和精确的反制技术分配了适当的分类级别。

  • MITRE ATT&CK起源于MITRE的Fort Meade实验(FMX)。研究人员模仿攻击者和防御行为,以通过遥测感知和行为分析来增强入侵后的威胁检测。

  • 研究人员想知道:“我们在识别记录的攻击者行为方面表现如何?”为了回答这个问题,研究人员创建了ATT&CK作为一种表征攻击者行为的方法。

MITRE ATT&CK的目标

Mitre安全计划的目的是汇编已知攻击者在网络攻击中可能使用的完整战术和方法目录。由于它对政府、教育和商业组织开放,因此它应该能够收集广泛的,最好是全面的各种攻击阶段和序列。

MITRE ATT&CK是一个标准分类法,旨在使组织间的沟通更加精确。作为MITRE的Fort Meade实验研究环境的有组织的攻击者模拟活动的一部分,ATT&CK源于系统地对对手活动进行分类的需求。

ATT&CK框架的三个矩阵

攻击者的行为取决于攻击目标的不同。例如,他们使用不同的TTP(战术、技术和规程)来入侵企业系统与入侵移动设备或工业控制系统。

为了适应这些不同的上下文,MITRE提供了三个独特的“矩阵”。这三个矩阵构成了ATT&CK框架,MITRE将其作为一个整体来称呼。

  • **企业矩阵**涵盖Windows、macOS、Linux等操作系统,以及所谓的“PRE”,它指的是攻击前或为攻击做准备的措施。

  • **移动矩阵**适用于Android和iOS设备。

  • **ICS矩阵**适用于工业控制系统。

虽然这三个矩阵共享一些策略(例如,初始访问和持久性),但每种策略的具体方法可能因情况而异。

ATT&CK提出的行为模型的**基本组成部分**如下:

  • 描述攻击者如何实现战术目标的技术。描述“如何”,即攻击者用来执行战术的技术。每个矩阵的策略都有多种技术。

    • 企业矩阵进一步将某些技术细分为子技术。

    • 例如,攻击者用来获得初始访问的网络钓鱼方法(一种策略)。网络钓鱼的三种子技术是:鱼叉式网络钓鱼附件、鱼叉式网络钓鱼链接和通过服务进行鱼叉式网络钓鱼。

  • 表示攻击期间短期战术攻击者目标的策略。它描述了攻击者的直接技术目标(“什么”),例如获取初始访问、维持持久性或建立命令和控制。为了成功进行攻击,攻击者必须始终使用多种策略。

  • **规程** - 它可能指攻击者使用的单个恶意软件或其他工具。它还可以描述策略和相关子技术的具体实现。

企业ATT&CK矩阵的最新版本(版本9)包含以下按逻辑顺序排列的策略,建议了不同的攻击阶段:

  • **侦察** - 这是在攻击之前收集信息。

  • **资源开发** - 它包括创建、购买、入侵或窃取攻击所需的资源。

  • **访问** - 获取对受害者网络或系统的首次访问。

  • **执行** - 它指的是在已被入侵的网络或系统上运行恶意代码的行为。

  • **持久性** - 它包括保持对相关网络或系统的访问。

  • **权限提升** - 试图获得更高级别的权限被称为权限提升。

  • **防御规避** - 它包括采取措施避免被发现。

  • **凭据访问** - 它包括试图获取帐户名和密码。

  • **发现** - 收集有关受损环境的信息被称为发现。

  • **命令和控制** - 建立对受害者网络中系统的控制和/或从网络外部连接受损系统。

  • **数据泄露** - 它是从某人那里获取信息的行为。

  • 损害、破坏或其他使受害者无法访问网络、系统和/或数据的方法。

更新于:2022年6月14日

403 次浏览

开启你的职业生涯

通过完成课程获得认证

开始学习
广告