att&ck
攻击能力和防御能力的可量化可衡量的标准,
是否防得住,是否检测的了,和同行的对比
攻击行为(网络威胁分析,研究,行业报告)-----》ATT&CK(对抗模型,对抗流程细分,回答怎么做和为什么)------》防御(数据源,分析,优先排序,缓解)
ATT&CK是一个对抗行为知识库,该知识库
是基于真实观察数据创建的
提供了一个沟通交流的通用语言
是公开免费的,全球可访问的
是由社区驱动的
ATT&CK的核心概念(Tactic) 12个战术/阶段(包括整个攻防的所有内容,这些内容是高度抽象的,和具体的系统无关)
初始访问(钓鱼,物理接入,用来打第一个点)
执行(到底用什么方式执行我的恶意程序,后门)
持久化(如何保持你的权限,如何在系统中留下后门,几乎把方法已经列全了)
提升权限(从一个低权限的账号升级一个高权限的账号)
防御绕过()
凭据访问(当我获得高权限的,把这个系统上的可以作为横向扩展的凭据,可以用来登录的凭据)
发现(在复杂的网络,发现核心的资产)
横向移动(攻击一个点后,如何实现扩展到其他的点)
收集(尽可能收集下对我有用的数据,比如视频文件)
命令和控制(可以在机器上执行某些命令,来达到某些目的)
数据渗透(把拿到的数据如何拿出去)
影响(对这个系统产生更进一步的影响和操作,比如关机,掉电,勒索等)
ATT&CK的核心概念(Technique)300多种攻击技术
以通用方式应用多个平台的通用技术(例如混淆的文件和信息)
以特定方式应用于多个平台的常规技术(例如进程注入)
仅仅适用于一种平台的特定技术
使用场景
1、检测分析
a、选择攻击技术
b、查阅检测该技术所需的数据源
c、完成检测脚本和命令
d、收集数据
e、分析收集到的数据源是否可行
f、收集到数据后进行正式分析(是否真实发生了攻击,是否漏报 误报)
g、判断误报的特征,然后修改检测脚本和命令
2、威胁情报
level 依赖att&ck的情报
例如 在att&ck搜索框查找所在行业经常遇到atp组织,了解其涉及的技术以及缓解措施
level2
将apt的攻击情况映射到att&ck框架中,这些威胁情报报告既可以来源于内部的输出,也可以来源外面的渠道
level3 自己生产威胁情报
将更多的内部和外部的信息都映射到att&ck框架中,包括事件的响应数据,威胁订阅报告,实时警报和组织的历史信息等
情报团队追踪atp的工具,获取最新的威胁情报,然后和事件响应团队需要打破隔离,自动化的平台可以确保团队之间的连续性
3、差距评估,拿一把同样的尺子,做衡量,需要选择一种战术,然后做回放,再看检测率。在ack&ck出来之前是没有任何办法去做衡量(Atomic Thread Coverage项目整理一套真实的攻击技巧,
Dett&ct项目,分析/评估数据源的覆盖度,是否足以对所有的攻击检测做分析)
评估覆盖的范围
引申att&ck,评估主机在应对攻击防御技术
确定差距的优先级顺序
确定当前阶段优先级最高的缺口
调整防御方案
修改防御策略或采用新的防御手段,解决这些缺口
4、攻击模拟(Atomic Red Tead项目,Tools项目)
越来越高级的
风险扫描----》渗透测试----》红队----》攻击模拟
ATT&CK的威胁捕获实践()
被动的安全检测技术
Firewall防火墙
IPDS的入侵监测系统
AV杀毒软件
沙箱
SIEM
已经存在的威胁
基于告警
主动安全检测技术
Thread Hunting威胁捕获系统
依托细粒度的数据
基于假设-分析验证
创建假设---》调研所需要的工具和技术----》发现新模式与TTPS----》通知并丰富分析结果----在循环创建假设
att&ck技术所涉及到的数据
文件监控
进程监控
远程命令监控
异构数据源的联合分析QSL
在线连接各类异构的数据源
无需费时集成数据,快速调查