ATT&CK浅析

2022-12-11 10:47:46 浏览数 (1)

1.ATT&CK简介

MITRE一个向政府和互联网行业提供系统工程、研究开发和信息技术支持的非营利组织。在一次米德堡实验(Fort Meade Experiment,FMX)研究项目中,MITRE组织首次提出了对手战术技术与常识(Adversary Tactics and Techniques & Common Knowledge,ATT&CK)模型。该模型汇聚了全球安全社区贡献的实战高级威胁攻击战术和技术,形成了针对黑客行为描述的通用语言和黑客攻击抽象知识库框架,进而建立了从“知攻”到“知防”的桥梁,为防守方提供了明确的行动指导,使安全运营不仅知己而且知彼,从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力,并在实战对抗中持续改进提升。

1.1 ATT&CK发展历程

ATT&CK模型可以说在众多安全框架模型中发展最为迅速。自从2013年,MITRE在米德堡实验(Fort Meade Experiment,FMX)研究项目中,首次提出了ATT&CK模型以后,一些知名安全厂商也陆续开始在设备产品中增加针对ATT&CK模型的支持,并将公司记录的黑客攻击手法和攻击行为进行整合,贡献到了ATT&CK知识库中。近两年来,RSA、SANS、Blackhat、Defcon 等一线安全会议、大批厂商和研究人员在ATT&CK模型基础之上进行交流,同时将使用的工具和实践经验公开分享。在2019年3月,RSA大会中,有超过10个议题讨论将ATT&CK用于攻击行为建模、改进网络防御、威胁狩猎、红蓝对抗复盘、攻击检测方面的研究和分析。在2019年6月的Gartner Security & Risk Management Summit 会议中,ATT&CK被F-Secure评为十大关注热点之一。如图1-1所示为ATT&CK发展历程。由此可以看出,随着 ATT&CK 框架的不断完善和延伸,其应用方向也更加广阔,同时新的研究领域也在蠢蠢欲动。

图1-1 ATT&CK发展历程

1.2 KILL CHAIN模型

“杀伤链”(KILL CHAIN)模型是由洛克希德-马丁公司所提出的威胁情报驱动防御模型,用于指导并识别攻击者入侵网络目的所需完成的所有活动。“杀伤链”模型一共包括7个步骤:侦察跟踪(Reconnaissance)、武器构建(Weaponization)、载荷投递(Delivery)、漏洞利用(Exploit)、安装植入(Installation)、命令控制(Command & Control)、目标达成(And Actions)。每一步的具体内容如图1-2所示。

图1-2 KILL CHAIN模型

“杀伤链“模型起源于网络入侵防御早期,突出了病毒和漏洞相关的外线防守(Perimeter Defense),但是无法完整的涵盖现代黑客入侵方式的灵活性,例如无文件攻击,利用合法攻击的离地攻击(living off the land),同时对这种常见的黑客攻击方式只是简单笼统描述为远程控制及扩散(Actions on Objectives),并没有对攻击方式、产生的影响、危害以及如何防止进行详细说明,攻防对抗相关的其他场景例如蠕虫病毒爆发,垃圾邮件和网络社工等也未曾涉及。

1.2 ATT&CK研究意义

无论是著名的“杀伤链“模型还是其它知名的威胁模型都只是在宏观角度上阐述了黑客入侵和攻防对抗方面的知识,使人知其然而不知其所以然。攻击威胁可以被感知却因没有细节知识,无法转化为对抗能力,应对黑客攻击的安全产品无法得到有效评估,安全建设陷入安全合规的浅层次应对,进而出现了引人深思的三个问题:威胁无从认知,产品无法评估,技术无法提高。

a)威胁无法认知:当前的安全防御体系有效性如何,能否抵御未知的、甚至已知的黑客入侵攻击以避免数据泄露或业务受损。

b)产品无法衡量:每年几百万,甚至数千万的安全预算采购安全产品和服务,是否物有所值,带来了组织整体安全能力的持续提升,如何确定安全投资建设的优先级。

c)技术无法提高:每年大型实战攻防对抗演练梳理了攻击防守流程,明确了公司资产,修复了高危漏洞,锻炼了安全队伍,但是能否更进一步将这宝贵的实战经验用以持续提升安全防御体系,在“战时”运维人员和厂商安全服务回归“平时”后依然能有效应对“常态化”攻击。

总体来说,ATT&CK模型是在洛克希德-马丁公司提出的Kill Chain模型基础上,构建的一套粒度更细、更容易共享的知识模型和框架。目前ATT&CK模型可分为三部分:PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK覆盖Kill Chain模型的前两个阶段,包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作的战术和技术。ATT&CK for Enterprise覆盖Kill Chain的后五个阶段,包含了适用Windows、Linux和MacOS三大系统的技术和战术。ATT&CK for Mobile包含适用于移动设备的战术和技术,如图1-3所示。

ATT&CK模型并没有遵循任何线性顺序,攻击者可以随意切换战术来实现最终目标,在战术上更加细化和灵活。ATT&CK 知识库迄今对多达91个知名的黑客组织持续追踪,囊括黑客组织发起攻击时常用的97个工具以及50种信息收集数据源的梳理,同时还梳理了这些不同的黑客组织攻击的行业和组织类型,为组织安全运营确定优先级提供了参考。ATT&CK目前支持12 种攻击战术,311种技术,包括Windows(212种技术)、Mac(148)、Linux(127)和Mobile(67),其中也涉及到了云平台的攻击场景。

图 1-3 ATT&CK与KILL CHAIN对比图

基于ATT&CK模型黑客攻击行为知识库,对于安全运营不仅知己而且知彼,从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力,并在实战对抗中稳步改进提升。ATT&CK模型的重要性可总结如下:

(1)详尽的知识架构

ATT&CK模型详细介绍了每一种技术的利用方式。能够更好的帮助安全人员快速地了解不熟悉的技术。而且针对每种技术包含了具体的攻击场景,用以说明攻击者是如何通过某一恶意软件或行动方案来通过该技术进行攻击入侵行为的。

(2)让攻击可被描述,成为世界通用语言

通过ATT&CK列举的攻击方式和技术可以加速各界的沟通与交流。因为在此框架创建以后,不论是企业跟企业之间的讨论,向管理层与客户解释复杂的概念,或是要进行攻防演练,都会变得较为容易。同时,这也影响了网络威胁情报的数据交换。

(3)汇聚了全球知名黑客组织的攻击报告

通过ATT&CK模型可以查看世界知名黑客组织的攻击报告、使用工具和攻击技术等。有利于公司企业和国家对于攻防研究,红蓝对技术提升,攻击团队的追踪等,提供了参考来源。通过对新的攻击技巧、攻击方式进行研究,对未来黑客组织的攻击行为进行有效预测、针对当前公司态势进行弱点查漏等。

1.3 ATT&CK框架使用

ATT&CK将已知的黑客攻击行为转换为结构化列表,并通过矩阵的形式以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。此列表非常全面地呈现出了黑客攻击时所采用的攻击方式,因此对于各种攻击性和防御性度量、表示和其他机制都起着举足轻重的作用。

从图1-4 ATT&CK矩阵图可以看出,MITRE ATT&CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。ATT&CK模型框架从左侧(初始访问)向右侧(影响)构建了一个完整的攻击序列。矩阵顶部列出了黑客常用的12种攻击战术,每列列出了攻击战术所涉及到的相关技术,并且每种技术都有唯一的ID编码。一种战术可能会涉及到多种攻击技术。例如,攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。通常情况下,攻击者无需使用矩阵中所包含的12项战术,相反,攻击者为了提高效率降低被检测的几率,使用最少数量的战术实现对目标的完全控制。

图1-4 ATT&CK攻击矩阵

图1-5 ATT&CK导航器

ATT&CK导航工具(Navigator)是一个很有用的工具,可用于映射针对ATT&CK技术的控制措施。可以添加不同的层,来显示特定的检测控制措施、预防控制措施甚至观察到的行为。导航工具可以在线使用,快速搭建模型或场景,也可以下载下来,进行内部设置,作为一个持久化的解决方案。同时也可以根据不同的需求,保存为其它格式导出,包括Json、Excel以及SVG,也支持根据平台和阶段进行选择。

最近还新增了对云安全的支持,包括了国外主流的三个公有云AWS、Azure和GCP,同时还加入了一些SaaS安全框架Azure AD、Office 365和 SaaS。云安全的这块针对云平台更像是CSPM产品解决的问题,SaaS安全的是CASB产品解决的问题。

还有比较常见的场景就是标记红蓝对抗的攻守情况,可以一目了然安全的差距在哪里,能够进行改进。从下图1-6所示,蓝色的是能够被检测到的红队攻击技术,红色是蓝队没有检测到的。

图1-6红蓝对抗

还有一种用法是对目前安全产品的技术有效性进行coverage的评估,如下图1-7所示:

图1-7 某产品安全技术覆盖度

基于ATT&CK框架各国都纷纷开始了自己的研究,提出了许多项目成果,例如简单列举如下:

(1)ATT&CK CAR项目

CAR(Cyber Analytics Repository)安全分析库项目主要是针对ATT&CK的威胁检测和追踪。这个项目主要基于四点考虑:根据ATT&CK模型确认攻击优先级;确认实际分析方法;根据攻击者行为确认要收集的数据;确认数据收集主体sensor的数据收集能力。后面三个方面与CARET项目图示中的Analytics、Data Model、Sensor相对应。这个分析库是由对每一项攻击技术的具体分析构成的。

(2)Endgame EQL项目

EQL(Event Query Language)是一种威胁事件查询语言,可以对安全事件进行序列化、归集及分析。如下图所示,该项目可以进行事件日志的收集,不局限于终端数据,还可以是网络数据,比如有国外使用sysmon这种windows下的原生数据,也有osquery类型的基本的缓存数据,也有BRO/Zeek的开源NIDS的数据,这些数据对接个EQL语言进行统一分析。

(3)DeTT&CT项目

DeTT&CT(DEtect Tactics, Techniques & Combat Threats)项目,主要是帮助蓝队利用ATT&CK框架提高安全防御水平。用于帮助防御团队评估日志质量、检测覆盖度的工具,可以通过yaml文件填写相关的技术水平,通过脚本进行评估,自动导出Navigator项目可以识别的文件,导入之后可以自动标记,也可以通过excel导出,很快的看出ATT&CK关于数据收集、数据质量、数据丰富度(透明度)、检测方式等的覆盖度。

(4)Sigma项目

Sigma项目是一个SIEM的特征库格式项目。该项目可以直接使用sigma格式进行威胁检测的描述,可以进行共享,也可以进行不同SIEM系统的格式转换。

(5)MISP项目

恶意软件信息共享平台MISP(Malware Information Sharing Platform)是一个开源的威胁情报平台。使用这个系统是通过安装一个实例达到的,可以理解为,威胁情报中心会定期同步威胁事件给每个实例。每个子节点的实例也可以创建新的事件,形成新的威胁情报发送到威胁情报中心。也可以查看历史的威胁情报记录,也可以导出相关的数据,同时也支持API方式。虽然这个项目相对比较复杂,但功能较多,适合比较成熟使用威胁情报的单位。

2.ATT&CK应用案例

ATT&CK是MITRE提供的“对抗战术、技术和常识”框架,是由攻击者在攻击企业时常常利用的12种战术和244种企业技术组成的精选知识库。不仅为网络防御者提供了一套通用知识库,还为渗透测试和红队提供了技术基础。ATT&CK 适用的场景有很多,有关具体的应用场景介绍大家可以参考 MITRE 官方发布的《ATT&CK设计白皮书》。下面列举了一些常见的应用场景:情报分析、威胁检测、模拟攻击、安全评估。

2.1情报分析

威胁情报(Cyber Threat Intelligence, CTI)是一种基于数据的,利用公开的可用资源,预测潜在的威胁,在一定程度上可以有效帮助运维人员在危急时刻做出更好的决策。在企业或政府乃至国家,拥有一个高准确度,大数据量的威胁情报库是至关重要的。威胁情报通常可以分为四种类型:战略威胁情报、运营威胁情报、战术威胁情报、技术威胁情报。

1. 战略威胁情报

战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。

2. 运营威胁情报

运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。

3. 战术威胁情报

战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。

4. 技术威胁情报

技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。

ATT&CK框架在威胁情报分析中也扮演着重要的角色。ATT&CK框架同时提供了将近70个世界知名黑客团队详细信息表,其中包括详尽的攻击详情报告,使用的攻击技术和工具,如图2-1所示黑客团队一览表。防御者可以通过分析以往攻击案例、攻击者采用的技术和战术对攻击主体进行追踪,这为防御者提供一个清晰的攻击路线图。

图2-1黑客团队一览表

例如:想查看APT19组织的一些信息、攻击案例、曾使用的攻击战术和技术,可以在攻击团队一览表中寻找到APT19,点击查看相关信息,如图2-2所示为APT19相关信息。如果对介绍的攻击方式和技术不熟悉,也可以通过链接进行查阅、了解其它黑客组织的攻击案例以及知名博客、论坛等。

图2-2APT19相关信息

接下来将介绍一些公司利用ATT&CK模型进行威胁情报分析流程:

a)根据MITRE ATT&CK已经公开的近70个世界知名黑客团队详细信息表,对其以往的攻击案例、使用工具、攻击方式和相关技术进行研究。

b)汇总本公司以往的攻击案例和报告,对其攻击流程,攻击方式和采用的技术记录并分析,对攻击方进行溯源分析。

c)根据ATT&CK以及社会公开的攻击案例,以往公司的攻击历史信息和相关报告,利用ATT&CK导航工具对ATT&CK矩阵进行映射标记。

d)将绘制出来的ATT&CK矩阵与以往黑客团队的攻击案例进行对比分析,检查公司攻击过程中遗漏技术和产生的新型攻击方式。

通过绘制适用于本公司的ATT&CK映射表可以帮助防御者更加清楚的了解到黑客最新的攻击方式以及公司易受攻击的弱点。这样可以方便防御者确定威胁防御优先级,公司其它的相关业务有针对性检查,监测产品设备定制和防御等。(某某公司存在大量越权漏洞,公司可针对该漏洞开发检测工具,对公司相关业务批量检测)

2.2威胁检测

威胁检测与分析方式可对网络流量和终端,应用威胁情报、机器学习、沙箱等多种检测方法,发现隐藏在流量和终端日志中的可疑活动与安全威胁,帮助企业安全团队精准检测失陷(被控)主机,追溯攻击链,定位当前攻击阶段,为防止攻击者进一步破坏系统或窃取数据采取相应有效措施。如今,当前阶段威胁检测与分析系统面临着诸多挑战:

ü网络安全基础设备无法与时距进

ü无法量化威胁检测和响应结果

ü没有工具用来分析威胁情报、安全事件

ü在策略和过程改进上花费时间不足

构建基于ATT&CK的检测与分析系统不同于以往的检测方式,ATT&CK框架模型提供了详细的技术数据源(进程与命令行、文件和注册信息、登陆信息等),通过该数据源信息防御者可以通过收集系统的事件日志以及其它相关数据,用于识别ATT&CK中描述的可疑攻击行为。如图2-3所示。

图2-3 ATT&CK攻击技术数据源信息

如图2-4所示,System Monitor (Sysmon)是一款常见的Windows系统服务和设备驱动程序,以监视系统活动并将其记录到Windows事件日志中。提供了关于进程创建、网络连接和文件创建时间更改的详细信息。通过收集它使用Windows Event Collection或SIEM代理生成的事件,然后分析生成的文件记录,可以用来识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。

图2-4 Sysmon系统监测工具

在收集到系统的相关数据之后,如何推断当前系统是否存在可疑性攻击,以及攻击者使用了哪些技术?MITRE提供了一些帮助脚本,可以帮助我们了解到攻击者最可能采用什么样的方式或者技术入侵目标系统。

(1)Techniques_data_sources_vis.py

生成csv数据,用于在ATT&CK路线图中创建“技术到数据源的映射”的可视化,如图2-5所示。

图2-5 Techniques_data_sources_vis.py

(2)technique_from_data_source.py

从ATT&CK TAXII服务器获取当前ATT&CK STIX 2.0对象,根据ATT&CK矩阵列出包含给定数据源的所有攻击技术,如图2-6所示。

图2-6technique_from_data_source.py

当前,许多公司已经开始展开基于ATT&CK模型的检测与分析系统的研究。当前阶段,如何根据ATT&CK框架来检查目前安全产品的整体覆盖度,进行全面的差距分析,以及如何将ATT&CK所涵盖的技术点融入到安全产品中,是目前各大企业研究的重点,也是安全架构中的核心内容。接下来将介绍一些公司利用ATT&CK模型进行威胁检测和分析系统的构建流程:

a)参考ATT&CK模型中攻击技术对应的数据源信息,针对当前目标系统可能发生的威胁进行监控并记录,这样能够使防御者了解到系统发生了哪些变化;

b)将获取到的监控记录数据可以在第三方网站(Security Information and Event Management or SIEM)进行分析,也可以采用线下工具进行分析,例如可以应用Sysmon对系统进行事件监控,使用ELK(elasticsearch logstash kibana)/Splunk/SIEMs进行日志分析;

c)对日志分析系统产生的数据进一步分析以追踪攻击者使用了什么工具、采用了哪些攻击技术、以及下一步目标系统等,形成自动分析工具或在已有开源工具上进行补充完善。

d)通过红蓝队进行攻防演练或者官方测试工具(例如aoto-red-team:如图2-7所示),参考红队攻击方式与日志分析结果进行匹配,对开源工具进行补充完善。

e)构建自己的分析库,实现对日志自动化匹配分析,并生成报告。

f)将分析库与ATT&CK知识库进行对比分析,并通过ATT&CK导航器进行记录。对未能涵盖的部分进行有效补充。

图2-7 auto-red-team自动化测试工具

2.3模拟攻击

公司为了更好的了解当前网络中存在的安全问题,通常需要进行相应的安全测试。此时,进行安全测试的队伍被称为红队或者渗透小组。红队人员针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击,通过实现系统提权、控制业务、获取数据等目标,发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。ATT&CK是一个汇聚了最为全面的实战高级威胁攻击战术和技术的大型知识库,红队人员可以使用ATT&CK框架可以对于新的攻击技术、战略进行有效跟踪和学习。

图2-8 powershell压缩数据进行文件传输

在上一节曾提及过Atomic-Red-Team测试平台,如图2-7所示,该平台是由Red Canary维护的开源项目,汇聚了众多的测试脚本(https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/matrix.md),可以用来测试威胁检测系统性能好坏。开始测试时,只需要在ATT&CT映射的matrix表中选择相应的攻击技术即可,然后就可以查看到该项技术得详细信息,其中包含技术的利用方式、支持的平台以及如何执行测试脚本工具等,如图2-8所示。

红队在执行对目标系统模拟攻击任务时,往往需要进行详细的策划并将需要用到的工具进行汇总整理。此时,为了提高工作效率可以将策划好的方案与工具映射到ATT&CK中。MITRE公司在ATT&CK网站提供了几种便捷的方式。

1、可以通过命令行指令搜索涉及到的相关技术,例如在红队操作中应用到了命令行“whoami”就可以在ATT&CK网站中直接进行搜索相关技术中可能会用到该命令行指令,如图2-9所示。

图2-9 快速检索相关技术

2、ATT&CK官方网站提供了APT3敌手模拟攻击手册,该手册列出了APT3攻击过程中使用的详细命令行操作,如图2-10所示。

图2-10 APT3模拟攻击手册

3、提供了知名黑客组织在攻击过程中常用到的工具说明以及操作指令。如图2-11所示为列举的常用工具和相关指令,如图2-12所示为cobaltstrike工具示例。

图2-11 黑客组织常用工具

图2-12 cobalt strike 工具

如今许多公司已经开始展开基于ATT&CK模型的安全测试与红队建设,接下来将介绍基于ATT&CK框架的模拟攻击操作流程,如图2-13所示:

2-13 模拟攻击流程

a)选择一个ATT&CK框架中列举出的黑客组织,对该组织的背景、攻击目标业务、策略、相关技术以及工具等进行收集。

b)从该组织攻击报告中提取ATT&CK相关技术,如图2-14,2-15所示。

2-14 提取ATT&CK相关技术

2-15 提取ATT&CK相关技术

c)分析并整理提取的相关技术,例如采取每一步攻击的目的是什么?为什么要采用该技术?采取该技术都有哪些方法?用流程图的方式进行表示。例如图2-16所示,是MITRE团队为APT3组织模拟攻击创建的操作流。

2-16 APT3的攻击流程

d)收集整理或自行编写模拟攻击工具。根据策划方案都采用了工具?有哪些其他工具可以替代?采用什么语言?等。

e)在做好了充足准备之后,就可以进行模拟攻击了。在模拟过程中,红队应与蓝队紧密合作与沟通,了解蓝队在防御过程中的疏漏以及存在的原因。

2.4 安全评估

在前面三节中,主要介绍了如何使用ATT&CK框架进行情报分析、威胁检测以及模拟攻击。在该部分中,我们将讨论如何对一个公司的安全进行评估(安全框架的评估、检测工具的评估等)。使用ATT&CK度量防御能力并实现改进,一般都会经历一下三步:评估覆盖度、确定优先级、调节防御能力。如图2-17所示。

2-17 安全评估流程

ATT&CK有助于企业确定自身在人员、流程和技术方面的差距,根据可见性来决定你要收集(和购买)哪些内容:你的差距在哪里?你还可以选择其它哪些工具?这些工具会帮助你建立更有效的防御措施吗?帮助企业拓宽安全视野,不仅仅是局限于检测;加强认识,了解可能需要承受哪些方面的风险;哪些内容是你无法检测或缓解,检查你的安全预算与计划,实现资源的优化利用。之前企业进行差距分析,是自身安全状况的差距分析,分析后的内容主要用于指导安全体系的建设。但是并无法很明确的了解自身防御和检测能力的差距,ATT&CK可以在检测覆盖度上(明确分析出哪些攻击技术在目前的安全体系里无法覆盖),以及检测深度上(比如留后门一共有哪些姿势)提供一个清晰的差距分析,指导企业加强入侵检测能力.

如今许多公司已经开始展开基于ATT&CK模型的安全评估体系,接下来将介绍其构建流程:

a)选择一个主要的攻击技术(例如:远程控制相关的安全问题),进一步确定该技术所涵盖的范围,是否能被当前检测工具发现,反复重复其它攻击技术不断尝试。

b)创建彩色ATT&CK矩阵映射图,对检测覆盖范围进行可视化,对能未覆盖部分标记成不同颜色。

c)扩展分析,采用模拟黑客攻击的方式(auto-red-team),对目标进行安全测试,通过监测分析报告与红队攻击报告进行对比,将未能检测到的攻击技术和检测到的攻击技术进行分类,映射到ATT&CK矩阵表。

d)风险缓解(减少风险的影响或可能性的过程),将每个安全运营中心(SOC)的策略、预防工具和安全控制映射到可能产生安全问题的ATT&CK技术,并将技术添加到ATT&CK矩阵表中。

e)如果对当前评估覆盖度不满意,可以寻找新的检测工具、提高SOC整体的安全性,例如:通过系统设置安全策略等。进而降低对工具的依赖。

2-18 ATT&CK安全评估矩阵表

3.ATT&CK 框架总结

如今已有越来越多的企业都已经开始着手研究ATT&CK模型框架,通常企业组织采用两种方法。首先是盘点其安全工具,让安全厂商提供一份对照ATT&CK覆盖范围的映射图。尽管这是最简单、最快速的方法,但供应商提供的覆盖范围可能与企业实际部署工具的方式并不匹配。此外,也有些企业组织在按照战术逐项进行评估企业安全能力。

3.1 ATT&CK局限性

a)ATT&CK仍然在快速进化中,针对移动、物联网工控领域和云安全相关战术和技术的整理还不完备。

b)ATT&CK 当下的关注和发展重点仍然是将未知攻击入侵成功后主机终端可见的行为收集和大数据安全平台的威胁狩猎配合,针对网络南北向、东西向攻击行为,邮件攻击手法等定义和储备不足。

c)ATT&CK技术的粒度不均匀,具体如鱼叉式钓鱼攻击附件(T1193,Spearphishing Attachment),宽泛如脚本编程(T1064,Scripting)。层次性不足导致技术扩展的灵活性不够,安全系统集成后随知识库更新的改动较大。

0 人点赞