一. 前言
在刚刚过去的2024 TechWorld 绿盟科技智慧安全大会上,绿盟科技星云实验室正式对外发布了云原生ATT&CK矩阵,并且在现场受到了许多安全研究者的咨询,这里我们正式对外提供相应的技术报告等材料。
图1 2024 TechWorld 绿盟科技智慧安全大会现场
二. ATT&CK矩阵介绍
ATT&CK矩阵全称是Adversarial Tactics, Techniques, and Common Knowledge,它反映了攻击者在整个攻击周期(渗透测试周期)中每个阶段的目标,由战术、技术、子技术三部分组成。借助这个框架,攻击者可以清晰的知道自己的攻击场景覆盖范围、攻击手法覆盖度,防御者可以根据这个评价自己的检测防护场景是否覆盖了所有的攻击手法。
三. 绿盟科技云原生ATT&CK矩阵
在过去很长一段时间内,我们也看到了国内外已经有很多厂商提出了自己的ATT&CK矩阵,可以说是五花八门。这里我们始终认为ATT&CK应该是一个通用标准化的、能够用于评估攻击与防御能力的框架。其中每一项战术(Tactic)、技术(Tech)、子技术(Sub-tech)都具有确定唯一标识,这些标识应该像CVE编号一样,在业内达成共识,从而减小各方沟通成本。因此,每家单独发布一个矩阵,除了宣传的作用外,似乎并无太大意义。同时我们发现之前厂商提出的ATT&CK矩阵存在两个严重问题:
问题一:技术与子技术丰富度不够;
问题二:技术与子技术不平衡,太多子技术被放到了技术这一层。
相比于之前微软、MITRE提出的云原生ATT&CK矩阵,此次我们提出的云原生ATT&CK矩阵在技术和子技术这两层更全面,对应的技术介绍更加详细。我们丰富了每层技术下对应的子技术数量,淘汰了一些过时的子技术,并且将同类的子技术尽可能归到一个技术中,使得整个云原生ATT&CK矩阵更通用更标准化。详细内容可参考我们的开源项目nsfocus-cloud-native-attack[3]。
图2 绿盟科技云原生ATT&CK矩阵
参考文献
[1] https://github.com/Metarget
[2] https://mp.weixin.qq.com/s/I-xWQZ4iQoOIwguJg0XGqQ
[3] https://github.com/Metarget/nsfocus-cloud-native-attack
内容编辑:创新研究院 吕治政
责任编辑:创新研究院 吕治政
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
如有侵权请联系:admin#unsafe.sh