以前区长说:“三流企业靠产品、二流企业靠理念、一流企业靠标准”
信息安全发展来到今天,面对未知挑战,我们需要靠标准化来促进安全从业人员交流,众志成城。
Mitre ATT&CK框架概述
业内知名项目CVE、CWE都是由Mitre公司发起并且维护至今。
ATT&CK是对抗战术和技术知识库(Adversarial Tactics,Techniques,and Common Knowledge)是一个对抗行为知识库
这个知识库具有以下特点:
·基于真实观察数据创建的
·公开免费、全球可访问
·由社区驱动发展
在该框架中会反复提及“战术”、“技术”:
·战术:实施ATT&CK的原因,就是攻击者要达到的预计目标,比如说攻击者想要横向移动
·技术:实现战术目标利用的具体手段,比如说,我要实现横向移动需要使用hash传递
MITER ATT&CK确定的三个技术领域:
①Enterprise-用于传统企业网络和云技术
②Mobile-用于移动通信设备
③ICS-工业控制系统
网络杀伤力链(七个阶段):
①侦察
②武器化
③载荷投递
④漏洞利用
⑤控制
⑥执行
⑦维持
ATT&CK的Enterprise对应侦察到漏洞利用部分。
使用这个框架的用意之一在于在被攻击的时候能逆向推出攻击者的攻击手段,也预测攻击者攻击之后的意图,提前进行防御。
ATT&CK通过收集新技术相关的信息,完善自身,一般来自:
·威胁情报
·会议报告
·网络研讨会
·社交媒体
·博客
·开源代码仓库
·恶意软件样本
ATT&CK是中级抽象模型,比起低级抽象模型的网络杀伤力链和高级抽象模型的漏洞库和利用模型,ATT&CK能通过联系威胁情报和事件数据推测谁在做什么
痛苦金字塔模型:
痛苦金字塔模型由IoC(indicators of compromise,失陷指标)组成,ico用来衡量攻防对抗中的价值,下面由高到低给出痛苦金字塔模型:
①TTPs(Tactics,Techniques and Procedures战术、技术及步骤):很难
②工具:有挑战性
③网络/主机部件:恼人
④域名:简单
⑤IP地址:小菜一碟
⑥哈希值:不值一提
ATT&CK五大对象:
①攻击组织
②软件
③技术/子技术
④战术
⑤缓解措施
框架的意义在于能根据上下文推测出攻击者的意图以及倒退步骤,我想搜集到足够的数据之后,我么能够在网络攻击发生刚开始就能识别出可能的后续,进而让系统自主防御。这跟IPS和防火墙有明显的性质,那就是它们只能识别已知的安全问题,对于未知如0day漏洞等也肯定是无能为力。不过就算是0day也会需要一些前提条件,框架发挥的作用在于让这些前提条件无法达成。