攻击者使用的技术战术和工具种类繁多数量庞大,MITRE做了一个伟大的工作,将这些技战术整合到了一个框架中。对于分析师来说,不应该将ATT&CK框架视为一个完美无缺的清单,而是将ATT&CK作为与其他分析师交换信息的工具。在应急响应和威胁建模方面,ATT&CK中的测试用例都值得参考。
我们在做安全体系设计的时候,最好将防护、检测和响应能力都与ATT&CK进行映射,但是也不要过于局限。例如:在组织中我们很容易就能列举出发生频率最高的攻击战术(如水坑钓鱼等攻击)和更细粒度的攻击技术。我们应该尽量将这些技战术都对应到ATT&CK框架中,如果发现有技战术未能准确映射到框架中时,我们可以自行扩展ATT&CK框架,并且将这些信息反馈给MITRE社区。
推荐阅读:
https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
MITRE针对杀伤链进行了补充,并且从不同角度重新定义了攻击链路。我们可以像Unit42的研究员们一样将ATT&CK与杀伤链结合使用。MITRE定义如下:
战术(Tactics):攻击者要实现的技术目标。
技术(Techniques):攻击者如何实现技术目标
子技术(Sub-Techniques):更细化分的技术
步骤(Procedures):一个技术或子技术实施的详细过程描述
例如:使用带有VBA宏的OFFICE文档进行钓鱼是一种战术,而通过VBA宏执行命令获取服务器上的信息则是一种技术,如何创建VBA宏文档并设计shellcode则是实现技术的步骤。另外,我们不是否定ATT&CK框架,但ATT&CK中TTP的一些定义与军事领域的术语是有区别的。
推荐阅读:https://pan-unit42.github.io/playbook_viewer/
MITRE做的真正有意义的事,是根据不同的网络系统设计出的不同ATT&CK框架,例如:云环境、移动网络、工控网络。对安全建设者来说能够如此细分进行威胁建模是再好不过了。比如说把卫星网络系统的防护技术和控制心脏起搏器的系统防护放在一起讨论是完全不行的。
如有侵权请联系:admin#unsafe.sh