当前位置:   article > 正文

2023 ATT&CK v13版本更新指南_attck

attck

一、什么是ATT&CK

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。

二、ATT&CK 发展历史

  • 1996年:美空军参谋长罗纳德ž福格尔曼在空军协会研讨会上提出F2T2EA“杀伤链”概念。

  • 2011年1月:洛马公司提出使用网空“杀伤链”模型来描述入侵的阶段。

  • 2013年9月:MITRE推出了ATT&CK模型,根据网空观察数据来描述和分类敌手行为。

  • 2015年5月:ATT&CK模型公开发布,其中包括9种战术下的96种技术。

  • 2018年:ATT&CK获得爆发式关注,众多安全厂商开始在产品中增加针对ATT&CK的支持。

  • 2019年3月:RSA大会上,有10多个议题讨论ATT&CK的应用。

  • 2019年6月:Gartner Security & Risk Management Summit会上,ATT&CK被评为十大关注热点。

  • 2020年1月:MITRE公布了针对工业控制系统的ATT&CK知识库ATT&CK for ICS。

  • 2021年4月:ATT&CK for Enterprise V9进行了数据源重构,将数据源与攻击行为的检测相关联。

  • 2021年8月:ISC 2021设立“ATT&CK安全能力衡量论坛”,聚焦ATT&CK安全能力建设的衡量讨论。

  • 2021年10月:ATT&CK v10发布,包括 14 个战术,188 个技术, 和 379 个子技术,129 个组织、638 个软件。这个版本,一共包括 38 类数据源。

  • 2022年4月:ATT&CK v11发布,包含14个战术,191个技术,386个子技术,134个组织和680个软件。

  • 2022年10月:ATT&CK v12版本更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测,描述了检测各种ICS技术的方法,每种方法都与特定的数据源和数据组件相关联,检测功能既利用了传统的主机和基于网络的采集,也利用了ICS特定的来源,如资产和运营数据库等。v12包含14个战术、193个技术、401个子技术、135个组织、718个软件。

  • 2023年4月:ATT&CK v13发布,最大的变化是为ATT&CK中的一些技术添加了详细的检测指导,用于企业,移动数据源和两种新类型的更改日志(包括一个人类可读的详细更改日志,更具体地显示更新的ATT&CK对象中的更改,以及一个机器可读的JSON更改日志,其格式在ATT&CK的Github中描述)。v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。

三、ATT&CK 应用场景

ATT&CK在各种日常环境中都很有价值。开展任何防御活动时,可以应用ATT&CK分类法,参考攻击者及其行为。ATT&CK不仅为网络防御者提供通用技术库,还为渗透测试和红队提供了基础。常见的主要应用场景如下:

1) 恶意文件分析

ATT&CK知识库的总结来源之一有APT对抗,并有大量涉及终端的操作,有较多的研究在针对恶意文件的检测与分析中使用了ATT&CK。

2) 威胁检测

“杀伤链”模型较为粗粒度,自定义的威胁模型跟实际威胁的检测需求存在差异,ATT&CK的体系性有助于多维度的威胁检测关联和实际需求映射。

3) 攻击模拟和防御评估

ATT&CK作为攻击知识库,天然地能提供攻击模拟的指导,通过战术阶段提供对攻击过程的宏观认识,也为风险评估研究提供了可参考的风险模型。ATT&CK可用于创建攻击模拟场景,红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT&CK,以便防御者和报告接收者以及其内部之间有一个通用语言。

ATT&CK可以测试和验证针对常见攻击技术的防御方案,ATT&CK可用于构建和测试行为分析方案,以检测环境中的攻击行为。

4) 攻击归因与攻击者画像

攻击溯源与取证是还原攻击过程的重要基础,也有助于完成攻击者的刻画,基于低层级IOC的溯源取证容易被攻击者规避,而ATT&CK层次的攻击手法则反映了攻击者长期且较为本质的特征。

5) 漏洞挖掘与漏洞分析

对漏洞利用的检测、利用方法和造成影响研究分析的话,基于现有CVE和CWE的方法较少体现攻击与防御的联动视角,通过与ATT&CK技战术关联,可丰富漏洞的利用路径、造成影响等上下文。

6) SOC成熟度评

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/88950
推荐阅读
相关标签
  

闽ICP备14008679号