论坛

斜接 ATT&CK Fr...
 
通知事项
全部清除

斜接 ATT&CK 构架  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

斜接开发的ATT&CK作为模型来记录和跟踪攻击者在网络攻击的不同阶段使用的各种技术,以渗透到您的网络并泄漏数据。

ATT&CK代表对抗策略,技巧和常识。该框架是按不同策略分类的不同网络攻击技术的矩阵。 视窗,Linux,Mac和移动系统有不同的矩阵。

ATT&CK是战术的黑客技术矩阵。 有几种不同的矩阵:

  • 预ATT&CK Matrix 包括用于侦察,目标识别和攻击计划的技术。
  • 视窗 包括用于破解所有Windows版本的技术。
  • 的Linux 包括用于破解所有Linux版本的技术。
  • 苹果系统 包括用于破解MacOS的技术。
  • 移动ATT&CK matrix 包括用于攻击移动设备的技术。

的 企业ATT&CK matrix 是Windows,MacOS和Linux矩阵的超集。在撰写本文时,企业模型中有245种技术。 MITER定期更新ATT&CK具有黑客和安全研究人员在野外发现的最新,最出色的黑客技术。

的 Differences Between 预ATT&CK 和 ATT&CK Enterprise

预ATT&CK 和 ATT&CK Enterprise结合在一起,形成了与战术基本吻合的完整战术清单。 网络杀戮链。预ATT&CK基本上与杀伤链的前三个阶段保持一致:侦察,武器化和交付。 ATT&CK Enterprise与kill链的最后四个阶段非常吻合:开发,安装,命令&控制和针对目标的行动。

网络杀戮链

预ATT&CK Tactics ATT&CK企业策略
  • 优先级定义
  • 目标选择
  • 信息收集
  • 弱点识别
  • 对手OpSec
  • 建立&维护基础设施
  • 角色发展
  • 建立能力
  • 测试能力
  • 舞台能力
  • 初始访问
  • 执行
  • 坚持不懈
  • 特权提升
  • 防御规避
  • 凭证访问
  • 发现
  • 横向运动
  • 采集
  • 渗出
  • 命令与控制

MITER和其他第三方开发人员使用ATT&CK帮助红色和蓝色团队实施他们的 渗透 和防御措施:

  • 破火山口 是MITRE的自动附加技术仿真工具
  • 级联 是MITRE的Blue Team自动化工具集
  • 攻击导航 是一个Web应用程序,您可以用来做笔记和跟踪ATT&CK status
  • 石油钻机 是基于ATT建立的Palo Alto的对手剧本&CK model.
  • 斜接的 网络分析存储库 是与ATT分开的项目&CK跟踪有关如何检测技术的详细信息。
  • Varonis检测到多个ATT&网络中的CK技术和网络攻击-包括 通过哈希通过票和 蛮力.  Varonis威胁模型使用相同的 语言 as ATT&CK,这样您就可以在需要研究网络攻击时轻松引用这两种资源。

ATT&CK Enterprise Matrix

 

主题标签
1 回复
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前
什么是Mitre ATT&CK?
它是一个框架,用于描述攻击者能够针对和攻击受害者的不同方式。这是一个活跃的框架,因为它会定期更新,并且是对现实世界攻击的汇总。
 
您可能会注意到有预赛&ck 和 att&ck矩阵。以及针对不同OS平台(例如Windows,MacOS,Linux)的区别以及Cloud和Mobile选项。区别是必要的,因为并非所有攻击都将适用于所有OS平台或技术。
 
预赛&ck是指攻击者在实际攻击之前可能使用的活动范围。活动不仅仅是侦察(了解目标),而且还涉及获取和维护基础架构。
 
您可能听说过TTP,但这意味着什么?
参考 策略技术 and 程序。让我们深入研究。
 
策略: 是执行动作的原因;的 “为什么”. 获得初始访问权限,执行某些操作,保留,提升特权,发现凭证,横向移动等。请注意,攻击者不一定会使用所有战术进行攻击。
 
策略示例:
列中的每个列标题 ATT&CK Matrix 是一种策略,有11种:
技术: 代表 “怎么样”。攻击者如何利用诸如渗透之类的策略将数据移出系统。有数百种技术。请注意,技术属于战术范畴,因此请务必垂直阅读。
 
技术示例:
是每个战术下的垂直框。例如,“渗透”在Windows矩阵下具有8种技术。
程序: 是执行这项技术的细节。或者从实际意义上讲,攻击者是如何进入的或他们如何获得的(假设您正在计划采取主动措施)。
 
放在一起(一个例子):
战术: 初始访问
技术: 网络钓鱼(通过服务进行网络钓鱼)
 
程序说明: 通过服务进行鱼叉网络钓鱼是网络钓鱼的特定变体。它与其他形式的鱼叉式广告不同之处在于,它使用了第三方服务(例如Twitter,LinkedIn等),而不是直接通过企业电子邮件渠道。
 
程序示例: 您的一名员工在工作中通过Facebook被定位为访问恶意URL。 
 
缓解措施: 反恶意软件,用户培训,限制服务
检测: SSL / TLS检查,端点保护
回复
分享: