ATT&CK框架以及使用场景

ATT&CK框架以及使用场景

一、ATT&CK框架背景介绍

MITRE是美国政府资助的一家研究机构，该公司于1958年从MIT分离出来，并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。
MITRE在2013年推出了ATT&CK模型，它是根据真实的观察数据来描述和分类对抗行为。ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。
MITRE ATT&CK的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。在过去的一年中，MITRE ATT&CK框架在安全行业中广受欢迎。简单来说，ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。
ATT&CK会详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术。例如，对于甲方企业而言，平台和数据源非常重要，企业安全人员需要了解应该监控哪些系统以及需要从中收集哪些内容，才能减轻或检测由于入侵技术滥用造成的影响。这时候，ATT&CK场景示例就派上用场了。针对每种技术都有具体场景示例，说明攻击者是如何通过某一恶意软件或行动方案来利用该技术的。ATT&CK每个示例都采用Wikipedia的风格，引用了许多博客和安全研究团队发表的文章。因此如果ATT&CK中没有直接提供内容，通常可以在这些链接的文章中找到。
因此，现在很多企业都开始研究ATT&CK，在这一过程中通常会看到企业组织采用两种方法。首先是盘点其安全工具，让安全厂商提供一份对照ATT&CK覆盖范围的映射图。尽管这是最简单、最快速的方法，但供应商提供的覆盖范围可能与企业实际部署工具的方式并不匹配。此外，也有些企业组织在按照战术逐项进行评估企业安全能力。以持久化战术为例，这些技术可能非常复杂，而且，仅仅缓解其中一部分技术，并不意味着攻击者无法以其它方式滥用这项技术。

二、MITRE ATT＆CK与Kill Chain的对比

总体来说，ATT&CK模型是在洛克希德-马丁公司提出的KillChain模型的基础上，构建了一套更细粒度、更易共享的知识模型和框架。目前ATT&CK模型分为三部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。其中PRE-ATT&CK覆盖Kill Chain模型的前两个阶段，包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。ATT&CK for Enterprise覆盖Kill Chain的后五个阶段，ATT&CK for Enterprise由适用于Windows、Linux和MacOS系统的技术和战术部分。ATT&CK for Mobile包含适用于移动设备的战术和技术。

但是，ATT&CK的战术跟洛克希德·马丁的网络杀伤链不一样，并没有遵循任何线性顺序。相反，攻击者可以随意切换战术来实现最终目标。没有一种战术比其它战术更重要。企业组织必须对当前覆盖范围进行分析，评估组织面临的风险，并采用有意义措施来弥合差距。
除了在Kill Chain战术上更加细化之外，ATT＆CK还描述了可以在每个阶段使用的技术，而Kill Chain则没有这些内容。

三、ATT＆CK框架的使用

从视觉角度来看，MITRE ATT＆CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）移动，就构建了一个完整的攻击序列。一种战术可能使用多种技术。例如，攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。

ATT＆CK矩阵顶部为攻击战术ÿ