MITRE ATT&CK安全知识库介绍

1. 引入
通过学习MITRE ATT&CK,能快速对安全领域做一个全面的了解。

本文只是对MITRE ATT&CK做一个初步介绍,更深入的内容后续还会再写。

2. MITRE是什么
从wikipedia[1]上可以看到介绍:

The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an American not-for-profit organization based in Bedford, Massachusetts, and McLean, Virginia. It manages federally funded research and development centers (FFRDCs) supporting several U.S. government agencies.

所以,MITRE是一个公司,这个公司是一个非盈利组织,它管理联邦政府资助的研发中心(FFRDCs),支持几个美国政府机构。

大名鼎鼎的CVE(漏洞数据库) - Common Vulnerabilities and Exposures (CVE),就是由MITRE维护的[2]。

补充:CVE无疑是个伟大的概念:公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。

3. MITRE ATT&CK
网上一些文章认为MITRE ATT&CK是一个工具[4],或者是一个框架[5]。

但从MITRE ATT&CK的介绍[3]来看,它是一个攻击者(adversary)策略(tactic)知识库(knowledge base of adversary tactics and techniques)。

MITRE ATT&CK作为一个知识库,必然是对相关领域的总结与描述,这个知识库细致到什么程度呢,看如下MITRE总结的一个表格就能知道:

表格很大,我这里并没有把完整的表格截图。表格中的每个项目都有链接,点进去都有非常详细的说明。看这些详细的文字,就能对安全领域有比较全面的认识。

4. 如何理解MITRE ATT&CK
要看懂这个表格,需要知道两个重要的概念:

tactic,策略,也就是指攻击者常用的攻击策略,或者恶意软件的恶意行为。
technique,技术,也就是实现某种策略的具体技术。一个tactic可以对应多种technique
MITRE ATT&CK中会大量的用到这两个单词。

表格中的表头一行,就是指tactic。

表格中,每一列指的就是相应tactic对应的technique。

举个具体的例子来说明:

表格中第一列,Initial Access是一种tactic,这个tactic指的是“攻击者在网络中获得初始的立足之地”[6]
第一列中的其他行内容,比如Drive-by Compromise,Exploit Public-Facing Application,External Remote Services等都是实现Initial Access这个tactic的technique
Drive-by Compromise这种technique[7],指的是“当用户在浏览器访问网站时,攻击者获取了系统的访问权限”
可以通过在网站上挂上漏洞利用代码,来获取访问该网站的用户系统权限
[7]中的examples中还给出了很多能实现这个technique的方法,比如“水坑攻击”[8]
5. 参考
[1] https://en.wikipedia.org/wiki/Mitre_Corporation
[2] https://zhuanlan.zhihu.com/p/27891196
[3] https://attack.mitre.org/
[4] https://www.secrss.com/articles/9239
[5] https://www.aqniu.com/vendor/44748.html
[6] https://attack.mitre.org/tactics/TA0001/
[7] https://attack.mitre.org/techniques/T1189/
[8] https://baike.baidu.com/item/%E6%B0%B4%E5%9D%91%E6%94%BB%E5%87%BB/17644830?fr=aladdin

原文:https://blog.csdn.net/ybdesire/article/details/101476876

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值