什麼是MITRE ATT&CK安全框架?

MITRE ATT&CK代表MITRE對抗戰術、技術和常用知識,是MITRE的商標 (ATT&CK)。

  • MITRE ATT&CK框架是一個精心策劃的知識庫和網路攻擊者行為模型,它代表了攻擊者攻擊生命週期的許多階段,以及他們已知的目標平臺。

  • 該模型的戰術和方法抽象建立了一個特定攻擊者操作的標準分類法,網路安全的攻防雙方都可以理解。它還為攻擊者行為和精確的反制技術分配了適當的分類級別。

  • MITRE ATT&CK起源於MITRE的Fort Meade實驗(FMX)。研究人員模仿攻擊者和防禦行為,以透過遙測感知和行為分析來增強入侵後的威脅檢測。

  • 研究人員想知道:“我們在識別記錄的攻擊者行為方面表現如何?”為了回答這個問題,研究人員建立了ATT&CK作為一種表徵攻擊者行為的方法。

MITRE ATT&CK的目標

Mitre安全計劃的目的是彙編已知攻擊者在網路攻擊中可能使用的完整戰術和方法目錄。由於它對政府、教育和商業組織開放,因此它應該能夠收集廣泛的,最好是全面的各種攻擊階段和序列。

MITRE ATT&CK是一個標準分類法,旨在使組織間的溝通更加精確。作為MITRE的Fort Meade實驗研究環境的有組織的攻擊者模擬活動的一部分,ATT&CK源於系統地對對手活動進行分類的需求。

ATT&CK框架的三個矩陣

攻擊者的行為取決於攻擊目標的不同。例如,他們使用不同的TTP(戰術、技術和規程)來入侵企業系統與入侵移動裝置或工業控制系統。

為了適應這些不同的上下文,MITRE提供了三個獨特的“矩陣”。這三個矩陣構成了ATT&CK框架,MITRE將其作為一個整體來稱呼。

  • **企業矩陣**涵蓋Windows、macOS、Linux等作業系統,以及所謂的“PRE”,它指的是攻擊前或為攻擊做準備的措施。

  • **移動矩陣**適用於Android和iOS裝置。

  • **ICS矩陣**適用於工業控制系統。

雖然這三個矩陣共享一些策略(例如,初始訪問和永續性),但每種策略的具體方法可能因情況而異。

ATT&CK提出的行為模型的**基本組成部分**如下:

  • 描述攻擊者如何實現戰術目標的技術。描述“如何”,即攻擊者用來執行戰術的技術。每個矩陣的策略都有多種技術。

    • 企業矩陣進一步將某些技術細分為子技術。

    • 例如,攻擊者用來獲得初始訪問的網路釣魚方法(一種策略)。網路釣魚的三種子技術是:魚叉式網路釣魚附件、魚叉式網路釣魚連結和透過服務進行魚叉式網路釣魚。

  • 表示攻擊期間短期戰術攻擊者目標的策略。它描述了攻擊者的直接技術目標(“什麼”),例如獲取初始訪問、維持永續性或建立命令和控制。為了成功進行攻擊,攻擊者必須始終使用多種策略。

  • **規程** - 它可能指攻擊者使用的單個惡意軟體或其他工具。它還可以描述策略和相關子技術的具體實現。

企業ATT&CK矩陣的最新版本(版本9)包含以下按邏輯順序排列的策略,建議了不同的攻擊階段:

  • **偵察** - 這是在攻擊之前收集資訊。

  • **資源開發** - 它包括建立、購買、入侵或竊取攻擊所需的資源。

  • **訪問** - 獲取對受害者網路或系統的首次訪問。

  • **執行** - 它指的是在已被入侵的網路或系統上執行惡意程式碼的行為。

  • **永續性** - 它包括保持對相關網路或系統的訪問。

  • **許可權提升** - 試圖獲得更高級別的許可權被稱為許可權提升。

  • **防禦規避** - 它包括採取措施避免被發現。

  • **憑據訪問** - 它包括試圖獲取帳戶名和密碼。

  • **發現** - 收集有關受損環境的資訊被稱為發現。

  • **命令和控制** - 建立對受害者網路中系統的控制和/或從網路外部連線受損系統。

  • **資料洩露** - 它是從某人那裡獲取資訊的行為。

  • 損害、破壞或其他使受害者無法訪問網路、系統和/或資料的方法。

更新於:2022年6月14日

403 次瀏覽

開啟你的職業生涯

透過完成課程獲得認證

開始學習
廣告
© . All rights reserved.