“知己知彼,百战不殆”。面对不断演变的网络威胁和复杂多变的攻击手法,我们必须时刻保持警惕,做到“安全防为先”,了解攻击者的战术和技法,是制定有效防御策略的前提。
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架正是这样一款能够帮助我们深入了解攻击者、实现“知己知彼”的网络安全防御工具,它包含3大主要功能、14大战术,专门设计来帮助企业识别和应对各种网络攻击,确保网络安全无虞。
本期【网安必读】将详细介绍MITRE ATT&CK框架的起源、结构、功能、应用以及相关的评估项目,让您全面理解这一重要的网络安全框架。
背景与起源
MITRE ATT&CK框架由MITRE(美国马萨诸塞理工学院研究中心)开发,该机构是一家非营利性的研究机构,致力于为联邦政府和其他客户提供工程和技术指导。ATT&CK框架是MITRE在2013年启动的研究项目的一部分,最初旨在记录和分析高级持续性威胁(APT)团伙的战术、技法和程序(TTP)。随着项目的推进,ATT&CK框架逐渐发展成为一个全面的知识库,为网络安全领域提供了丰富的威胁情报和防御指南。
主要功能与用途
MITRE ATT&CK框架是一个战术与技法的知识库,专为威胁追踪者、防御者和红队设计。该框架的主要功能包括:
分类和识别攻击:帮助安全团队对攻击进行分类,识别攻击者的行为模式和攻击链。
归因分析:通过对比不同攻击者使用的TTP,帮助确定攻击者的身份和动机。
风险评估:评估企业面临的风险,确定安全缺口的优先级,并制定有效的缓解措施。
企业可以利用MITRE ATT&CK框架来识别和应对安全威胁,提升整体安全防御能力。
MITRE ATT&CK 框架的结构
◆战术(Tactics)
战术代表了ATT&CK技法或子技法的“原因”,即攻击者的目标或执行操作的原因。在MITRE ATT&CK企业矩阵中,共有14种战术,包括:
●侦察:收集可用于规划未来运营的信息。
●资源开发:建立可用于支持运营的资源。
●初始访问:进入目标网络。
●执行:运行恶意代码。
●持久性:维持自己的立足点。
●权限升级:获得更高级别的权限。
●防御规避:避免被检测到。
●凭据访问:窃取帐户名和密码。
●发现:弄清楚目标环境。
●横向移动:在目标环境中穿行。
●收集:收集与目的相关的数据。
●命令和控制:与受感染的系统通信,控制系统。
●渗透:窃取数据。
●影响:操纵、中断或破坏目标系统和数据。
◆技法(Techniques)
技法代表对手“如何”通过执行操作来实现战术目标。MITRE ATT&CK矩阵中包含了一组对手用来实现特定目标的技法。这些技法在ATT&CK矩阵中被归类为战术的子集。例如,为了实现凭据访问,攻击者可能会使用转储凭据的技法。
在2022年版的企业ATT&CK中,包含了193种技法、401种子技法,涵盖了多种操作系统和应用环境。这些技法和子技法不断更新,以反映最新的威胁趋势和攻击手法。
◆程序(Procedures)
程序是对手用于技法或子技法的具体实现。在ATT&CK框架中,程序是技法和子技法的外界应用实例。例如,攻击者使用PowerShell注入lsass.exe,通过刮取受害者的LSASS内存来转储凭据,就是一个具体的程序实现。
◆结构与层次
ATT&CK框架的结构分为战术、技法和程序三个层次。战术代表攻击者的目标或执行操作的原因,技法代表对手实现战术目标的具体方法,而程序则是这些技法的具体实现。通过这种层次化的结构,ATT&CK框架能够全面描述攻击者的行为模式,帮助防御者理解并应对威胁。
MITRE Engenuity与ATT&CK评估
MITRE Engenuity
MITRE Engenuity是MITRE旗下的一个组织,致力于与私营公司合作解决网络安全、基础设施复原力、医疗效果和新一代通信方面的公共利益挑战。在网络安全领域,MITRE Engenuity利用ATT&CK知识库对网络安全产品进行评估,以提高企业对已知对手行为的应变能力。
MITRE Engenuity的ATT&CK评估项目要求供应商提供检测证明,以验证其产品能否有效检测和防御潜在的对手行为。评估过程中,MITRE Engenuity捕获支持证据(如屏幕截图和笔记),并将检测或保护行为分为“主要”和“修饰”两种类型。通过这种方式,评估能够详细描述产品的检测能力和防御
MITRE ATT&CK 框架与 Cortex XDR
Palo Alto Networks(派拓网络)Cortex XDR 通过将人工智能和行为分析应用于端点、网络、云和第三方数据,帮助阻止现代攻击。它将防御、检测、调查和响应统一在一个平台上,实现了无与伦比的安全性和运营效率。Cortex XDR 提供业界领先的 MITRE ATT&CK 技法覆盖,在独立行业测试中始终如一地展现出出色的表现,包括 MITRE Engenuity ATT&CK 评估。
添加【派小拓】企业微信
领取更多专属服务
点击【阅读原文】
免费试用行业最智能的物联网安全解决方案
了解Cortex XDR,了解它是如何借助人工智能的力量和全面可视性阻止攻击
延伸阅读
点击【阅读原文】
免费试用行业最智能的物联网安全解决方案
原文始发于微信公众号(CISSP Learning):网安必读 | MITRE ATT&CK框架:14大战术守护网络安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论