MITRE ATT&CK框架究竟是什么？

MITRE ATT&CK指的是MITRE的“对抗性战术、技术以及常见威胁模型”。 MITRE ATT&CK框架是一个经过精心整理的知识库和模型，用于研究威胁或恶意行为体的行为模式。 该文档详细描述了攻击的各个阶段，以及那些容易受到威胁行为者攻击的平台或系统。 该框架是由 MITRE Corporation 在 2013 年创建的。 由于这个框架或文档是基于现实世界的观察结果而创建的，因此它会随着威胁环境的不断变化而不断发展和完善。在业界中，该框架因能够准确识别攻击者的行为模式、相关方法以及缓解策略而享有很高的声誉。

MITRE ATT&CK框架究竟是什么？

Miter ATT&CK结构是一个内容丰富的、国际通用的信息库，它包含了关于敌对势力的战略和战术的详细信息。这些信息都是基于对数字安全威胁的可靠评估而得出的。 它梳理了攻击者为实现其目标而使用的各种手段，例如：渗透进入、实施攻击、持续攻击、加速推进、避免防御措施、获取认证、揭露信息、并行发展、收集情报、成功撤离以及产生效果等。 通过提供一种结构化的威胁检测、防御和应对方法，该框架有助于企业了解潜在的攻击途径，从而提升其安全态势。 威胁建模、红队行动以及安全操作等场景都大量使用了它。

MITRE ATTACK框架中的数据来自哪里？

MITRE ATT&CK框架的数据来源于多种渠道，包括：

• 实际案例中的启示：这些数据来源于真实的网络事件、调查结果以及威胁情报报告。
• 公共统计数据：来自安全分析师、白皮书以及行业报告的详细分析内容。
• 关于供应商的信息：这是安全产品制造商的研究成果。
• 合作：来自行业合作伙伴、政府机构以及安全领域的贡献。

MITRE ATTACK框架的历史

自成立以来，MITRE Corporation开发的MITRE ATT&CK框架已经经历了显著的发展。

• 早期阶段（2013年至2015年）：根据现实世界中的观察结果，ATT&CK框架最初的目的是对各种敌手使用的战术和技巧进行分类和整理。最初的版本主要关注的是Windows操作系统相关的攻击手段，其目的是为了帮助企业更好地理解并识别各种数字威胁。

• 增长情况（2016年至2018年）：ATT&CK现在支持macOS、Linux以及其他操作系统。移动操作系统除了其他平台之外，该框架的适应性也得到了提升。随着越来越多的策略和方法被纳入其中，该框架能够适应各种不同的环境。

• 全球范围内的演出活动（2019年至今）：在网络安全领域，ATT&CK框架得到了广泛的采用。威胁建模、红队对抗以及安全操作等做法都依赖于这一框架。随着定期更新，该框架不断发生变化，不断引入新的方法，并适应新的威胁情况。

MITRE ATT&CK矩阵中的重要内容

MITRE ATT&CK矩阵之所以如此重要，原因有很多：

• 威胁表示结构化：它将敌人的战略和行动计划整合成一个网络结构，从而让这些策略更加清晰明了。同时，它还能分析不同的攻击手段及其相互之间的联系。
• 对威胁的响应与检测：通过预测敌人的行为模式，安全团队能够更轻松地识别、预防并应对各种数字威胁。该矩阵有助于改进事件应对策略，同时也有助于发现安全方面的漏洞。
• 威胁情报：威胁信息以及已知的攻击手段，都由威胁矩阵来生成。通过这种方式，企业可以了解自己面临的具体威胁情况，并制定相应的缓解策略。
• 红队战术与渗透测试：这种工具可以被红队和渗透测试人员用来检查安全策略的有效性，以及分析可能出现的攻击场景。这种现象被称为渗透测试或红队协作。
• 安全管理：该矩阵有助于SOC在威胁侦查和调查方面表现得更加出色，因为它为SOC提供了分析和关联安全事件的框架。

MITRE ATT&CK矩阵有哪些应用场景呢？

以下是MITRE ATT&CK矩阵的一些应用场景：

• 威胁检测：请查找并分析网络和系统日志中的具体策略或技术细节。
• 事件响应：通过将对观察到的行为与已确定的策略和技术进行关联，从而协助指导调查与应对措施的实施。
• “红队战术”：这是一种试验性的措施，旨在通过实践来掌握网络战的战术与技巧，从而更好地提升防御能力。
• 威胁情报：它们还有助于提升对对手的行为和意图的了解，从而能够编制出更有效的威胁情报报告。
• 安全评估：采取措施，以加快对那些尚未被覆盖的风险区域的安保工作。
• 培训与意识提升：请告知安保人员具体情况。威胁能够提升整体安全态势的知识水平。
  

MITRE ATT&CK框架包含三个主要组成部分。

1. 策略/战术：这些目标指的是，威胁行为者或恶意行为者为了成功攻击某个系统或网络而可能想要实现的目标。
2. 技巧/方法：这些描述了威胁行为者为了实现各自的战术目标而采用的方法或手段。
3. 该框架还包含了关于之前对手如何使用这些技术的详细信息，以及一些与这些技术相关的元数据。

这个框架包含多个不同的迭代或“矩阵”结构。其中最著名的就是“企业矩阵”。所谓“企业矩阵”，指的是那些被威胁行为者用来针对企业或像Windows这样的平台所采取的各种策略和技术手段。macOS, LinuxOffice 365等。企业矩阵中提到的策略包括：

• 侦察：在实施或计划攻击的过程中，秘密收集有关目标的信息，这些信息可能会非常有用。
• 资源开发：决定或收集用于实施攻击所需的资源和工具。
• 初始访问权限：通过获取某些用户名、密码等，从而在某个系统或网络上建立初步的立足点。
• 执行：将相关资源和工具用于实施攻击。
• 坚持/毅力：即使对方采用了各种缓解措施，仍然能够保持对网络的控制或影响力，同时不会被对方察觉。
• 特权升级：需要实现更高级别的控制机制，比如管理员级别或root级别的控制功能。
• 防御规避：试图突破网络中用于保护系统的安全机制，从而在不影响系统运行的情况下实现渗透。
• 凭证访问：获得了一些重要的用户名和密码信息。
• 发现：试图确定目标环境。
• 横向移动：这意味着深入目标网络，以获取一些敏感信息或任何对受到攻击的系统或网络来说有价值的情报。
• 收藏品：收集与目标相关的数据，这些数据有助于实现某个目标。
• 指挥与控制：一旦攻击者获得了各种访问权限，并且系统被攻破后，他就会利用这一策略来最终控制网络或系统，从而为自己谋取利益。
• 数据泄露/资料外泄：从被入侵的系统中窃取数据。
• 影响/后果：对系统以及其中存储的数据进行操控、干扰或破坏。

在当今世界，数据至关重要。随着有价值的数据数量不断增加，那些试图获取这些数据的恶意对手的数量也在上升。这种框架就是一种工具，可以帮助个人、组织和政府避免自己的系统和网络成为网络空间中恶意行为者的攻击目标。

MITRE ATT&CK策略究竟是什么？

MITRE ATT&CK中的战术，实际上是指攻击者在进行网络攻击时所采取的种种策略和手段。每一种策略都包含了一系列用于实现目标的方法。ATT&CK框架中的主要战术包括：

• 初始访问权限：进入或访问某个网络或系统的行为。
• 执行：在计算机上执行非法代码。
• 坚持/毅力：需要能够对未来被入侵的系统进行控制。
• 特权提升：获得管理员级别或更高权限。
• 防御规避：那些不遵守安全规定的交易者，为了尽量减少或避免损失，会试图逃避被安全机制发现。这种行为使得股市变得极其不稳定。
• 凭证访问：入侵其他账户，窃取或滥用相关用户的身份信息。
• 发现：O获取有关环境以及整个网络的相关数据。
• 横向移动：从网络中的某个系统转移到另一个系统。
• 收藏品：根据这一概念框架，可以定义以下活动：从被攻破的系统中收集相关数据。
• 数据外泄：将被盗取的数据重新从网络中移出。
• 影响：那些导致组织遭受损害或中断的损失。

结论

MITRE ATT&CK框架是网络安全领域中最全面且最有用的工具之一，它有助于有效应对各种网络风险。 因此，通过分类并详细分析各种对抗性行动、战术、技术以及程序，这些组织就能找到改进自身安全状况的基础。 因此，该框架能够提升威胁识别能力，同时也有助于实施相应的应对和缓解措施。因为它为安全从业者提供了统一的语言和参考模型，从而帮助他们更好地应对各种安全威胁。 ATT&CK在提升威胁情报的水平方面非常有帮助。它能够识别出系统中的漏洞，并对组织的网络安全状况进行评估，从而帮助组织建立起更有效的防御机制，以抵御各种威胁。 因此，MITRE ATT&CK框架确实是一个非常有用的参考依据。网络安全这些专家致力于适应威胁行为者不断变化的策略，从而防止其系统受到潜在的威胁。