MITRE ATT&CK 框架源于非营利 MITRE 公司的米德堡实验,由研究人员模拟攻防双方行为,通过遥测传感与行为分析来改善失陷威胁检测。该框架于2013年诞生,并不断更新以适应新的攻击技术。最新的版本已经更新至第10个版本,增加了新的数据源和数据组件对象。
01 MITRE ATT&CK框架介绍
MITRE ATT&CK框架是一个综合性知识库,通过对攻击生命周期各阶段的实际观察,帮助理解和分类攻击者行为。它覆盖了各APT实施的恶意行为,被广泛应用于企业和厂商以了解攻击者的行为模型与技术。该框架的基元素为战术(Tactics)、技术(Techniques)和程序(Procedures),即“TTPs”。
TTPs详解
战术回答了攻击者想要实现的目标是什么;技术或子技术展示了攻击者实际的攻击方式以及目标如何实现;程序则解决了威胁行为者与攻击为达到目标所使用技术的特定应用。MITRE ATT&CK框架还涵盖了威胁检测与处置建议,以及攻击中使用的软件。
02 MITRE ATT&CK框架的战术与技术
MITRE ATT&CK的战术是攻击者希望通过技术实现的目标,每个目标都包含了攻击者实际观察使用的特定技术。目前,已经识别的企业领域攻击战术有14种,每一种都包含了广泛的技术,并且根据观察到的企业或部门网络被时使用过的技术进行分类。这些技术和战术都以子技术、战术、平台和程序的形式在框架中进一步分析和解释。
利用MITRE ATT&CK框架
对于企业而言,MITRE ATT&CK框架可用于攻击者模拟、威胁搜寻、网络威胁情报等多个方面。企业可以利用该框架来评估自身安全能力、检测防御覆盖差距、验证网络活动或攻击活动等。该框架还可以帮助企业测试其安全控制和措施,评估企业当前安全是否符合法规要求,并作为评估安全产品性能的一个重要维度。
03 常见的MITRE ATT&CK技战术及其应用
根据vFeed编制的报告,防御绕过是攻击者最常用的技战术。将该技战术与常见漏洞进行映射,发现许多常见漏洞与ATT&CK MITRE常用技战术存在直接关联。这意味着企业需要特别关注基础网络设施的加固与修复,以应对这些威胁。了解并利用这些框架,能够帮助企业更好地了解攻击者的运作方式,发现并阻止攻击。
04 如何利用MITRE ATT&CK保护企业网络安全
企业可以通过定期更新和利用MITRE ATT&CK框架来明确自身的防御差距,评估安全工具和安全可见性。当出现重大威胁状况变化时,企业可以查看MITRE发布的更新,了解最新的攻击技术和战术,然后采取相应的措施进行防御和监控。企业还可以将ATT&CK框架用于培训和教育安全团队,使其更了解攻击者的行为和手段,从而更好地保护企业网络安全。