What is the MITRE ATT&CK Framework?

The MITRE ATT&CK框架是一个收集攻击者战术文档的全局索引, techniques, and procedures (TTPs), 所有这些都是基于现实世界的观察. ATT&CK代表“对抗战术,技巧, & Common Knowledge."

Created by MITRE in 2013, 该指数随着威胁形势的发展而不断发展,并已成为业界了解攻击者模型的知名知识库, methodologies, and mitigation. 

Comprehensive threat detection 缓解攻击需要了解常见的对手技术, 尤其是那些对 安全运营中心(SOC). With that said, 攻击策略的数量和广度使得任何一个组织几乎不可能监视和分类每一种攻击类型. 

ATT&CK的对手战术和技术的知识库被索引和分解成细节, 注意攻击者的步骤和方法. 为了更进一步,MITRE还结合了 cyber-threat intelligence 记录对手群体行为的档案. 

The ATT&CK矩阵结构类似于元素周期表, 列标题列出了攻击链的各个阶段——从“初始访问”一直到“影响”.” 

MITRE ATT&CK Framework vs. Cyber Kill Chain

Both the MITRE ATT&CK框架和网络杀伤链专注于帮助组织 了解攻击者的行为,并采取措施尽快关闭攻击. 让我们首先讨论一下后一个概念的一些背景.

网络杀伤链框架由国防承包商洛克希德·马丁公司开发,用于识别漏洞和破坏, 检查现有控制措施的有效性, 并精确指出对手必须采取的行动,以实现他们为自己或组织定义的任何目标.

MITRE ATT之间的根本区别&CK框架和网络杀伤链的区别在于前者是一个知识库——包含大量针对特定平台的攻击者方法——而后者本质上是一系列更广义的预定义步骤,不建议偏离. 网络杀伤链由七个阶段组成,通常被认为是一种简化的——也是非常有效的——阻止攻击的方法.

第三种杀伤链方法被称为统一杀伤链. 它试图解决MITRE ATT的范围限制和时间不可知论性质&分别是CK和网络杀伤链. 统一杀伤链的最大好处之一是,它可以更准确地捕捉攻击者的细微行为. 统一杀伤链详细说明了18个特定的攻击阶段, 因此,这可能有点依赖于用户和用例.

History of the MITRE ATT&CK Framework

该框架创建于2013年,旨在帮助企业及其安全组织更好地了解攻击者的方法, 从而取得进展,对抗 threat actors around the world. 根据MITRE ATT&CK website:

“MITRE started ATT&在2013年的CK中记录了常见的策略, techniques, 以及针对Windows企业网络的高级持续威胁程序(TTPs). 它是出于记录对手行为的需要而创建的,用于MITRE的一个名为FMX的研究项目. FMX的目的是调查使用 endpoint 遥测数据和分析,以改善在企业网络中操作的对手的入侵后检测. ATT&CK被用作测试FMX下传感器和分析效果的基础,并作为进攻和防守双方可以随着时间的推移而改进的共同语言.”

MITRE为单个用例提供了一个索引或矩阵,如下所示: 

  • 工业控制系统(ICS)矩阵攻击者用以破坏工业控制系统的策略. 
  • Enterprise matrix攻击者用以破坏企业系统的策略. 
  • Mobile matrix:攻击者入侵移动设备的策略. 

MITRE ATT&CK Matrix 

让我们更深入地了解一下MITRE ATT的具体构成&CK “matrix.在前面讨论的用例中描述攻击者标准是很有帮助的. 该矩阵基本上对ttp进行了分类,并通过操作系统或企业软件平台等特定平台方便地对它们进行索引.

根据MITRE ATT&在CK网站上,攻击者试图实现其目标的常见策略有14种:

  • "Reconnaissance对手正试图收集他们可以用来计划未来行动的信息. 
  • Resource development对手正试图建立他们可以用来支持行动的资源. 
  • Initial access敌人正试图进入你的网络. 
  • Execution攻击者正在试图运行恶意代码. 
  • Persistence敌人正试图维持他们的立足点. 
  • Privilege escalation攻击者试图获得更高级别的权限. 
  • Defense evasion敌人正试图避免被发现. 
  • Credential access攻击者正在试图窃取帐户名和密码. 
  • Discovery对手正在试图弄清楚你的环境. 
  • Lateral movement:对手正试图穿过你的环境. 
  • Collection对手正试图收集与他们的目标有关的数据. 
  • Command and control攻击者试图与被破坏的系统通信以控制它们. 
  • Exfiltration敌人正在试图窃取数据. 
  • Impact攻击者正试图操纵、中断或破坏你的系统和数据." 

Mitre攻击矩阵崩溃

MITRE ATT&CK Framework Use Cases

The MITRE ATT&CK框架被广泛认为是理解攻击者对组织使用的行为和技术的权威. 它不仅消除了歧义,而且为战斗讨论和协作提供了通用词汇, 同时也为安全团队提供了实际应用.

基于独特环境的检测优先级

即使是资源最充足的团队也无法平等地防御所有攻击向量. The ATT&CK框架可以为团队提供一个蓝图,告诉他们在哪里集中他们的检测工作. 例如,许多团队可能会在攻击链中较早地确定威胁的优先级. 其他团队可能希望根据攻击组使用的技术对特定检测进行优先级排序,这些技术在他们各自的行业中特别普遍.

通过探索技术, targeted platforms, and risk, 团队可以自我教育,以帮助告知他们的安全计划, 然后利用MITRE ATT&跟踪进度的CK框架.

Evaluate Current Defenses

该框架在评估当前工具和围绕关键攻击技术的覆盖深度方面也很有价值. 有不同级别的遥测技术可能适用于每个检测. In some areas, 团队可能会决定他们需要对探测深度有很高的信心, 而较低的检测水平在其他领域是可以接受的.

通过定义对组织的威胁并确定其优先级, 团队可以评估他们当前的覆盖率. 这在 penetration testing (渗透测试)活动,然后在测试期间和之后作为计分卡. 

Track Attacker Groups

许多组织可能希望优先跟踪他们知道对其行业或垂直行业构成特定威胁的特定对手群体行为. The ATT&CK框架不是一个静态的文档, 随着威胁的出现和发展,MITRE将继续发展框架. 这个过程使其成为跟踪和了解攻击者组织的活动及其使用的技术的有用的真相来源.

继续学习MITRE ATT&CK

MITRE ATT&CK框架:最新的Rapid7博客文章