什么是 MITRE ATT&CK 框架?
MITRE ATT&CK 代表 MITRE Adversarial Tactics, Techniques and Common Knowledge (ATT&CK)。 MITRE ATT&CK 框架是一个精心策划的知识库和模型,用于研究威胁或恶意行为者的对手行为。它详细解释了攻击的各个阶段以及可能或容易受到威胁参与者攻击的平台或系统。该框架由 MITRE 公司于 2013 年创建。由于该框架或文档是基于现实世界的观察创建的,因此它会随着威胁形势的发展而不断发展,并且在了解攻击者模型、方法和缓解技术方面已在业界享有盛誉。
MITRE ATT&CK 框架具有三个主要组件:
- 策略:这些表示威胁行为者或恶意行为者可能想要实现的目标,以便成功攻击系统或网络。
- 技术:这些描述了威胁行为者为实现各自的战术目标而使用的方式或方法。
- 该框架还包含有关先前对手使用该技术的记录详细信息以及与这些技术相关的一些元数据。
这个框架有不同的迭代或“矩阵”,它最著名的迭代是企业矩阵。企业矩阵讨论了威胁参与者针对企业或平台(如 Windows、macOS、Linux、Office 365 等)所采用的策略和技术。企业矩阵下提到的策略是:
1.侦察:秘密收集有关一个或多个目标的信息,这些信息在实施或计划攻击时可能有用。
2.资源开发:决定或收集资源和工具来进行攻击。
3.初始访问:通过访问某些用户名、密码等,在系统或网络上建立初始立足点。
4.执行:部署资源和工具来执行攻击。
5.持久性:即使对方已采用缓解技术,但仍保持对网络的控制或存在,但不会被检测到。
6.权限提升:获得更高级别的控制,例如管理员级别或根级别控制。
7.防御规避:试图绕过网络上应用的安全机制进行保护,以避免在破坏系统的同时避免检测。
8.凭证访问:访问一些重要的用户名和密码。
9.发现:试图找出目标环境。
10.横向移动:意味着深入目标网络,以获取一些敏感信息或任何可能对系统或网络受到威胁的一方有价值的信息。
11.收集:收集有关可能有助于实现目标的目标的相关数据。
12.命令与控制:一旦攻击者获得了各种访问权限,并且系统受到威胁,他/她就会使用这种策略来最终建立对网络或系统的控制,并利用它来为自己谋取利益。
13.渗透:从受感染的系统中窃取数据。
14.影响:对系统和内部数据的操纵、中断或破坏。
在当今世界,数据非常重要。随着有价值数据数量的增加,想要访问它的对手数量也在增加。该框架是个人、组织和政府避免其系统和网络成为网络空间恶意行为者目标的工具之一。