部分资料来源与ATT&CK官方网站
为什么创建 ATT&CK
MITRE 于 2013 年启动 ATT&CK,以记录高级持续性威胁对 Windows 企业网络使用的常见策略、技术和程序 (TTP)。ATT&CK 的创建是为了记录在名为 FMX 的 MITRE 研究项目中使用的对手行为。FMX 的目标是研究使用端点遥测数据和分析来改进对企业网络内攻击者的入侵后检测。此处记录了大部分工作:使用基于 ATT&CK 的分析和网络分析存储库查找威胁。
根据我们的研究,我们决定需要一个框架来解决四个主要问题:
敌对行为。专注于对手的策略和技术使我们能够开发分析来检测可能的对手行为。诸如域、IP 地址、文件哈希、注册表项等典型指标很容易被攻击者更改,并且仅对时间点检测有用——它们不代表攻击者如何与系统交互,只是它们可能在某些情况下交互时间。
不适合的生命周期模型。现有的对手生命周期和网络杀伤链概念过于高级,无法将行为与防御联系起来——抽象级别对于将 TTP 映射到新型传感器没有用处。
适用于真实环境。TTP 需要基于观察到的事件,以表明该工作适用于真实环境。
通用分类法。TTP 需要使用相同的术语在不同类型的对手群体之间进行比较。
我们坚信进攻是防守的最佳驱动力。通过保持强大的进攻和防御团队协同工作,组织检测和阻止入侵的能力大大提高。在 FMX 中,ATT&CK 是用于构建对手仿真场景的框架。仿真团队使用这些场景将受现实世界启发的活动注入网络。然后,该团队使用测试来验证传感器和分析是否能够检测生产网络中的对抗行为。该方法导致检测能力的快速提高,最重要的是,以可测量和可重复的方式。
ATT&CK 成为对手仿真团队计划事件和检测团队验证其进度的首选工具。对于 MITRE 的研究计划来说,这是一个非常有用的过程,我们认为应该发布它以造福整个社区,因此 MITRE 于 2015 年 5 月向公众发布了 ATT&CK。此后,ATT&CK 已显着扩展,以包含针对 macOS 和 Linux 的技术、使用的行为攻击者针对移动设备的攻击,以及攻击前规划和执行操作的策略。
什么是ATT&CK?
ATT&CK 主要是对抗性技术的知识库——可用于针对特定平台(如 Windows)的攻击性行为的细分和分类。与该领域的先前工作不同,重点不是攻击者使用的工具和恶意软件,而是他们在操作期间如何与系统交互。
ATT&CK 将这些技术组织成一套策略,以帮助解释为该技术提供上下文。每种技术都包含与红队或渗透测试人员相关的信息,以了解技术工作的本质,也与防御者相关,以了解使用中的技术生成的事件或工件的上下文。
战术代表了 ATT&CK 技术的“为什么”。战术是对手执行某项行动的战术目标。战术作为对单个技术有用的上下文类别,涵盖了对手在操作期间所做的事情的标准、更高级别的符号,例如持久化、发现信息、横向移动、执行文件和泄露数据。
技术代表了对手“如何”通过执行行动来实现战术目标。例如,攻击者可能会转储凭证以获得对网络内有用凭证的访问权,这些凭证可以稍后用于横向移动。技术也可以代表对手通过执行动作获得的“什么”。这对于发现策略来说是一个有用的区别,因为这些技术突出了对手通过特定行动所追求的信息类型。实现战术目标可能有多种方法或技术,因此每个战术类别中都有多种技术。
ATT&CK™ 矩阵
战术和技术之间的关系可以在 ATT&CK 矩阵中可视化。例如,在策略Persistence(这是对手的目标——在目标环境中持久化)下,有一系列技术,包括AppInit DLLs、New Service和Scheduled Task。其中每一个都是攻击者可以用来实现持久性目标的单一技术。
ATT&CK 矩阵可能是 ATT&CK 最广为人知的方面,因为它通常用于显示环境的防御覆盖范围、安全产品的检测能力以及事件或红队参与的结果。
网络威胁情报
ATT&CK 的另一个重要方面是它如何集成网络威胁情报 (CTI)。与之前主要用于指标的消化 CTI 的方法不同,ATT&CK根据公开可用的报告记录对手群体的行为概况,例如APT29 ,以显示哪些群体使用了哪些技术。
通常,个人报告用于记录一个特定事件或组,但这使得难以比较事件或组之间发生的情况并得出关于哪种类型的防御最有效的结论。使用 ATT&CK,分析师可以通过专注于技术本身来查看不同组的活动。在决定如何集中防御资源时,分析师可能希望从具有最高群体使用率的技术开始。
在其 ATT&CK 页面中记录了特定对手如何使用技术的示例,该页面代表了该组织使用该技术的程序。该过程是一个特定的使用实例,对于准确了解该技术的使用方式以及通过对手仿真复制事件以及有关如何检测使用中的实例的细节非常有用。
ATT&CK 今天在哪里
在过去五年中,ATT&CK 已显着扩展,从 Windows 扩展到其他平台和技术。许多不同的政府组织和行业部门都在使用它,包括金融、医疗保健、零售和技术。公众采用和使用已导致对 ATT&CK 的重大贡献,以使其保持最新并对社区有用。我们希望继续这一趋势,因此MITRE 制定了保持 ATT&CK 发展的宏伟计划,以确保其未来成为宝贵的公共资源。
继续这个系列
现在我们已经介绍了一些基础知识,您可以期待未来的博客文章,这些文章会更详细地介绍本文所涵盖的主题。我们将讨论 ATT&CK 与网络威胁情报、基于行为的检测分析和对手仿真以及其他领域的使用。