一、ATT&CK官网
ATT&CK, Adversarial Tactics, Techniques, and Common Knowledge,对抗战术、技术与通用知识。
二、ATT&CK说了什么
想要看懂ATT&CK说了什么,首先要做两件事,第一件是看懂网站的各个主题说了什么,第二件是看懂各个主题之间的关系。
2.1 各个主题说了什么
Matrices ---- 渗透测试步骤(Tactics)和渗透测试手法(Techniques)的矩阵表。
Tactics ---- 渗透测试步骤集合; 亦即tactic,战术,编号TAxxxx。
Techniques ---- 攻击手法集合; 亦即technique,技术,编号Txxxx。并列举各technique对应的攻击案例(Procedure Examples)、防御措施(Mitigations)和检测措施(Detection)。
Data Sources ---- 要采集用以分析的数据的集合,这里等同Detection,编号DSxxxx。
Mitigations ---- 防御措施集合,编号Mxxxx。
Groups ---- 黑客组织集合,编号Gxxxx。
Software ---- 黑客软件集合,编号Sxxxx。
2.2 各主题的关系
Matrices列出了Tactics和Techniques的关系
Techniques给出了关联的攻击案例(Procedure Examples)、防御措施(Mitigations)和检测措施(Detection/Data Sources)
Procedure Examples中含有相关的Groups和Software
2.3 ATT&CK说了什么
经过以上分析我们可以得到以下结论
对于攻击方,att&ck给出了渗透测试步骤(Tactics)和渗透测试手法(Techniques)。
对于防守方,att&ck给出了攻击手法相对应的缓解措施(Mitigations)和检测方法(Detection/Data Sources); 或者叫安全防护体系。
三、如何依照ATT&CK建设安全体系
3.1 攻击方
学习att&ck给出的渗透测试步骤(Tactics)和渗透测试手法(Techniques),并依此渗透测试步骤和渗透测试手法进行攻击。
3.2 防守方
实施att&ck给出了攻击手法相对应的缓解措施(Mitigations)和检测方法(Detection/Data Sources)。
3.3 存在的问题
一是,Tactics、Techniques、Mitigations、Detection/Data Sources完整性依赖于人,而不是与人无关的理论。
二是,没有体现Mitigations、Detection/Data Sources之间的关联性。
三是,没有体现Mitigations、Detection/Data Sources左移右移的必要性。