ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。本文简单介绍ATT&CK相关的背景概念,并探讨通过ATT&CK构建知识图的思考。
前言
随着攻击工具、方法的逐渐升级和复杂化,安全数据的大规模融合,攻防对抗愈加激烈。安全团队如何在浩瀚数据中有效发现高级威胁的蛛丝马迹,如何把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力,如何将对抗高级威胁的“炼金术”逐步升级为科学淘金指南,如何将安全从业者从繁重的体力劳动中解放出来,愈发成为安全能力亟需突破的难点和重点,也是我们正在探索的方向。
正如医疗行业中治疗疑难杂症依赖医疗专家,网络空间高级威胁的防护和处置也依赖安全专家的经验与知识。不过,即使是最顶尖的外科医生,也离不开高度自动化、精准化的医疗设备辅助其完成复杂高难度的医疗任务,网络空间亦需要自动化平台与工具辅助从业者进行持续的攻防对抗。
“针对网络空间智能威胁分析技术的研究,目的不是设计一个如何炫目的概念,也难以实现一个放之四海皆可用的AI安全模型。回归到攻防的战场上,我们希望也能够得到的,是一个能吞吐海量异构多源数据,快速检测、推理、响应、追踪威胁事件的高度自动化的统一平台及工具集,辅助人进行安全的运营、研究和对抗。”在《智能威胁分析之图数据构建》文中,基于对网络安全数据分析中常用数据源的重新审视,提出了构建智能安全平台的图模型所需的环境、行为、情报、知识四张关键数据图,以支撑“智能化”安全研究工作的进一步开展。构建自动化的威胁分析能力,需要对网络安全大规模、多源、多维数据进行系统的梳理和组织,以实现基于各类型数据的关联挖掘能力。图的组织形式能够充分发挥网络数据的图属性,从存储、分析、可视化等多个环节提升安全数据分析的效率。
在环境、行为、情报、知识四张图中,知识图具有可归纳、可推理、可建模的属性,通过知识图内部的关联和与其他类型的图间关联,能够有效拓展威胁事件分析的上下文,支持威胁的检测、响应、溯源等复杂任务。ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。本文简单介绍ATT&CK相关的背景概念,并探讨通过ATT&CK构建知识图的思考。
一、 ATT&CK相关背景
经过数年的知识积累,ATT&CK已经从针对企业内网的、Windows平台的、终端侧的、post-compromise行为分析模型,拓展为多场景(企业内网、移动环境等)、多平台(Windows、Linux、macOS等)、针对多源数据(终端、网络、文件等)、攻击链全生命周期的行为分析模型。兼具丰富的实战效用和可拓展的顶层模型设计,ATT&CK越发得到安全业界的重点关注。关于ATT&CK的介绍已有很多,在此,我们从多个关键词的角度来分析简单分析其特性。
1. MITRE
MITRE是美国的一家非盈利组织,在美国国防部、国土安全部等政府组织的支持下,运营了多个技术研究中心,涉及网络安全等多方面国防高科技领域。MITRE发起或者运营了多个网络安全领域的标准如STIX/TAXII 1.0(STIX/TAXII 2.0目前已由OASIS运营),知识库如CAPEC,MAEC,CWE,CVE,ATT&CK等,针对网络安全领域的威胁建模、攻击分类、威胁情报等多方面研究构建了一个较为完整的安全生态。
2. APT
APT(Advanced Persistent Threat,高级持续性威胁)逐渐成为安全行业谈论的热门话题,而ATT&CK正诞生于对已知APT组织的分析过程中:ATT&CK发起自MITRE的FMX(Fort Meade eXperi
最低0.47元/天 解锁文章
扫一扫
552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
