MITREATTCK框架是年在非营利组织MITRE公司的米德堡实验中诞生。研究人员模拟攻防双方行为,通过遥测传感与行为分析改善失陷威胁检测,开发了ATTCK框架(即AdversarialTactics,Techniques,andCommonKnowledge),作为分析对手的工具。
今年10月,ATTCK更新至第10个版本。新版本最大变化是在企业技术领域ATTCK中,添加了一组新的数据源和数据组件对象,从而补充ATTCKv9版本中ATTCK数据源名称的更改。本期推荐的这篇文章,涵盖了MITREATTCK框架逻辑、如何使用,以及近期攻击者最常用技战术,文章较长,建议收藏阅读。
01MITREATTCK框架
MITREATTCK框架作为一个综合性知识库,通过对攻击生命周期各阶段的实际观察,从而对攻击者行为进行理解与分类,涵盖各APT组织实施的恶意行为。随着厂商及企业对框架的采用,以及框架本身不断调整,MITREATTCK已被公认为了解攻击者对企业使用的行为模型与技术权威。
MITREATTCK框架基础元素为战术、技术和程序,也就是TTPs(Tactics,TechniquesandProcedures)。战术回答了攻击者想要实现的目标;技术或子技术展示了攻击者实际的攻击方式以及目标如何实现;至于程序,框架解决的是威胁行为者与攻击组织为达到目标所使用技术的特定应用。此外,MITREATTCK框架也涵盖了威胁检测与处置建议,以及攻击中使用的软件。具体而言,MITRE给出了3个单独矩阵,来应对不同的攻击环境,分别是:
企业技术领域ATTCK
该矩阵适用Windows、macOS、Linux、云(AzureAD、Office、谷歌Workspace、SaaS、IaaS)、网络和容器环境。同时,该矩阵还包括一个攻击者准备阶段的技术的“PRE”子部分。
移动设备ATTCK
涵盖无移动设备访问权限却访问移动设备的战术与技术,包括与Android和iOS平台相关的信息。
工控系统(ICS)领域ATTCK
包括了工业控制系统(ICS)环境中攻击者可能采取行动的知识库。
由于企业技术领域涉及更多更广,这篇文章我们会重点
转载请注明:http://www.0431gb208.com/sjszjzl/3991.html
