ATT&CK战术


MITRE ATT&CK ®是一个全球可访问的基于真实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。


ATT&CK 是开放的,可供任何个人或组织免费使用。


web安全入门-ATT&CK测试流程_战术


网址:


http://attack.mitre.org/


由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年,其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一经面世,便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。


十四个战术


web安全入门-ATT&CK测试流程_ATT&CK_02


1、侦查:


收集信息以计划未来对手的行动,即有关目标组织的信息


2、资源准备:


建立资源以支持作战,即建立指挥和控制基础设施


3、初始访问:


尝试突破边界进入网络,包含常规入侵和社会工程学入侵。


4、执行:


尝试运行恶意代码,运行远程访问工具


5、持久化:


通过修改系统配置和策略,试图建立长期据点。


6、权限提升:


通过利用漏洞提升访问权限,试图获得更高级别的权限


7、防御规避:


使用受信任的进程来隐藏恶意软件,试图规避检测


8、凭据窃取:


窃取用户名和密码等凭据,例如利用键盘记录


9、 内部探测:


探索内部环境中所有系统,试图弄清楚所在环境


10、横向移动:


内网横向移动,即使用合法凭证在多个系统中移动


11、数据收集:


收集目标中有价值的数据,例如访问云存储中的数据


12、命令和控制:


与受感染的系统通信以控制它们,即模仿正常的网络流量与受害网络通信以进行远程控制


13、数据渗漏:


窃取数据,例如通过隐蔽隧道转移数据到云账户


14、影响:


操纵、中断或破坏系统和数据,即使用勒索软件加密数据


应用场景


web安全入门-ATT&CK测试流程_ATT&CK_03


攻击者往往会从ATT&CK矩阵中根据自己的目的选取部分技术


实践是检验真理的唯一标准,所有安全问题的有效性应该用实践的方式来检验。因此ATT&CK框架正是检验防御能力的有效手段。



基于ATT&CK的入侵者模拟计划,可以采用两种方式:


1、实战入侵,按照ATT&CK的框架标准,组织红队计划开展一系列基于威胁的安全测试,模拟真实入侵者的战术技术和过程,用实战检验防御体系的真实防御能力。


2、沙盘推演,让企业的红蓝团队选择不同的角色,讨论红队如何使用不同步骤来执行攻击行为的,讨论威胁情报分析人员是如何溯源分析,安全运营人员是如何对抗处置的,将ATT&CK作为通用语言进行沟通和推演。


web安全入门-ATT&CK测试流程_ATT&CK_04