威胁情报
官方文档:https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
威胁情报用例是类似于国内微步X情报社区这种的威胁情报分享平台。
将各大APT组织进行分类,标清其攻击范围和行业,以及攻击方法,公司可以根据攻击方法进行专业防御。
复杂程度分为三级: 一级适合刚刚起步,没有太多资源的 二级适合有一定基础,但技术方面并不成熟 三级适合拥有更先进的网络安全团队和资源的人或组织
一级
只是在ATT&CK官方平台的group资源里面,可以进行搜索特定的apt组织,或者搜索所在行业查询是哪些apt组织的目标。
在apt组织页面详情里面,可以针对攻击方式采取防御措施
二级
有一个专门的威胁分析团队,定期审查攻击的信息,并归纳apt组织的信息,可以将收集的信息存放至自己的ATT&CK里面,不用公开的信息。
主要有以下几个过程: 1、了解ATT&CK
熟悉 ATT&CK 的整体结构
2、发现行为 从更广泛的角度考虑对手的行为,而不仅仅是他们使用的基础指标(如 IP 地址)。
3、研究攻击行为
4、将行为转化为策略
考虑对手针对该行为的技术目标,并选择适合的策略。好消息是 Enterprise ATT&CK 中只有14 种战术可供选择。
5、找出解决攻击行为的方法 ATT&CK网站里面有一些示例
6、将收集的结果与其他ATT&CK分析师共享比较 单个人对行为的解释可能与其他分析师不同。这是正常的,并且在 ATT&CK 团队中一直发生
三级
拥有更高级的安全团队,可以自建ATT&CK模型,并根据自建模型来确定防御方式。