3.ATT&CK概述与用例

最新推荐文章于 2024-08-12 10:01:44 发布
最新推荐文章于 2024-08-12 10:01:44 发布
阅读量845 收藏
点赞数 1
文章标签: json
原文链接:http://www.cnblogs.com/sec875/articles/11258750.html
版权

源:https://www.youtube.com/watch?v=p7Hyd7d9k-c

威胁情报  检测与分析

防御效果如何  是否可以检测到APT系列  收集的数据有用吗  我的工具使用重复了吗

购买厂家的防御产品能帮助我的组织有效防御吗  进行红队攻击检测可以解决以上所有问题

从哈希值  IP地址等方面入手防御,红队可以很容易的发生改变让检测失效    从ATT&CK的TTP部分开始思考有效的防御

注意指标的利弊:指标会规避真正有价值的事情,呈现出的值只是最后的结果。

对于从来没有见过真正攻击的安防人员来说:ATT&CK是一个对手行为的知识基础。

基于现实世界的观察:红队模仿威胁检测真正的防御产品。

红队所有的攻击是免费,开放,全球可访问。可以用它检测和集成到安全产品中,检测质量

信息来源于社区:ATT&CK所有信息来自于社区,无法提供所有的答案,它们是维护者,无法得到所有的对手行为。需要大家共同建设。

直击对手要害,而不是一步一检查,一米一个哨:侦查  武器化  交互点  漏洞利用   控制   执行  保持后门

依赖防火墙,他们永远不会进去,我们知道这是骗小孩子的。

PRE-ATT&CK:侦查  武器化 

企业ATT&CK:交互点  漏洞利用   控制   执行  保持后门

横向:对手达到哪一步,试图得到什么。

纵向:不同的实现技术。

检测实验室

github.com/clong/detectionLab

medium.com/@clong/introducing-detection-lab-61db34bed6ae

原子红队有很多命令可以尝试:atomicredteam.io/

看看有哪些坏的,写一些检测:github.com/Cvb3rWard0g/ThreatHunter-Playbooks

 

https://jpcertcc.github.io/ToolAnalysisResultSheet/

https://ion28.github.io/BLUESPAWN/#layerURL=https%3A%2F%2Fion28.github.io%2FBLUESPAWN%2Fassets%2Fcoverage.json

https://github.com/ION28/BLUESPAWN

https://malicious.link/post/

转载于:https://www.cnblogs.com/sec875/articles/11258750.html

avqfei90342
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ATT&CK相关知识
fufu_good的博客
01-30 8万+
ATT&CK相关背景 经过数年的知识积累,ATT&CK已经从针对企业内网的、Windows平台的、终端侧的、post-compromise行为分析模型,拓展为多场景(企业内网、移动环境等)、多平台(Windows、Linux、macOS等)、针对多源数据(终端、网络、文件等)、攻击链全生命周期的行为分析模型。兼具丰富的实战效用和可拓展的顶层模型设计,ATT&CK越发得到安全...
ATT&CK实战系列(三)
m0_63206880的博客
12-25 3003
靶机下载地址 漏洞详情 目标:域控中存在一份重要文件。 本次环境为黑盒测试,不提供虚拟机账号密码 环境配置 攻击机kali: 192.168.1.109 web-centos:192.168.1.110 192.168.93.100 Web1-ubantu:192.168.93.120 pc:192.168.93.30 Win2008:192.168.93.20 Windows server 2012:192.168.93.10 外...
原子红队:基于MITRE的ATTCK的小型且高度便携式的检测测试
02-12
原子红队 原子红队允许每个安全团队通过执行简单的“原子测试”来测试其控件,这些“原子测试”使用与对手所使用的技术相同的技术(均映射到 )。 哲学 Atomic Red Team是一个简单测试库,每个安全团队都可以执行这些测试来测试其控件。 测试专注于测试,几乎没有依赖项,并且以结构化格式定义,可以由自动化框架使用。 原子红队宪章的三个主要信念: 团队需要能够测试从特定技术控制到结果的所有内容。 我们的安全团队不希望对侦查抱有“希望和祈祷”的态度。 我们需要知道我们的控件和程序可以检测到什么,以及它不能检测到什么。 我们不必检测每个对手,但我们确实相信了解我们的盲点。 我们应该能够在不到五分钟的时间内进行测试。 大多数安全测试和自动化工具需要花费大量时间来安装,配置和执行。 我们创造了“原子测试”一词,是因为我们认为有一种简单的方法可以分解测试,因此大多数可以在几分钟内运行。 最
ATT&CK框架
热门推荐
qq_40216188的博客
02-28 2万+
ATT&CK框架一、ATT&CK框架1.1、侦查Reconnaissance-包含10项技术1.2、资源开发Resource Development-包含6项技术1.3、初始访问Initial Access-包含9项技术 一、ATT&CK框架 序号 战术 战术功能 1 侦察 信息收集 2 资源开发 建立攻击者行动所需资源 3 初始访问 进入目标网络,获取一个入口 4 执行 运行恶意代码 5 持久化 保持攻击立足点 6 权限提升 获取最高权限 7
十大最常见的ATT&CK战术及技术
xnxqwzy的博客
08-01 1762
ATT&CK框架是一个网络安全综合性知识库,通过对攻击生命周期各阶段的实际观察,从而对攻击者行为进行理解与分类,已成为研究威胁模型和方法的基础工具。随着厂商及企业对该框架的广泛采用,ATT&CK知识库已公认成为了解攻击者的行为模型与技术权威。Picus研究人员从各种来源收集了超过二十万真实世界威胁样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进行了分类,所有样本超过180万种ATT&CK技术。PicusLabs针对此研究发布了Red。
ATT&CK框架简介 已知攻击技术汇总
whatday的专栏
03-10 1万+
一、ATT&CK框架背景介绍 MITRE是美国政府资助的一家研究机构,该公司于1958年从MIT分离出来,并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所(NIST)的资助下从事了大量的网络安全实践。 MITRE在2013年推出了ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。AT...
ATT&CK(一)之为什么要学习ATT&CK
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 883
本系列旨在介绍网络红蓝对抗领域最好的ATT&CK矩阵模型,以期帮助有意愿深耕在红蓝对抗领域的人员能系统性的掌握红蓝对抗领域的知识和经验。本系列将详细ATT&CK的起源、发展历史,ATT&CK矩阵相对其他High-Level红蓝对抗模型的优势,ATT&CK在红蓝对抗领域的作用,ATT&CK囊括的战术技术的组织逻辑和应用场景,以及需要动手实操学习的ATT&CK最活跃的子项目AtomRedTeam。
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
ATT&CK手册(修改版)
09-16
1. **攻击框架**:ATT&CK模型按照攻击阶段划分,包括预攻击、初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据泄露和影响等阶段。每个阶段下又细分多种攻击技术。 2...
如何建立企业内部的ATT&CK.pdf
09-13
- **合规性**:将ATT&CK与NIST 800-53、PCI DSS等标准映射,协助合规工作。 - **安全分析师训练**:使用MITRE MAD进行基于ATT&CK的培训,提升员工安全能力。 - **威胁狩猎**:应用ATT&CK框架进行主动威胁搜索,利用...
ATT&CK手册.pdf
09-20
ATT&CK手册.pdf
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 2200
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段。
「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 1465
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个针对现实世界观察总结得到网络攻击者的战术、技术和常识知识库。它由美国网络安全公司MITRE开发,旨在帮助网络安全专业人员更好地了解和应对网络威胁。ATT&CK知识库被用作私营部门、政府以及网络安全产品和服务社区中特定威胁模型和方法的开发基础。ATT&CK当前最新版本为 v14,发布于2023年10月31,后续也会持续更新。
【转】从ATT&CK看安全如何落地
tpriwwq的专栏
03-13 800
2011年,洛马提出杀伤链(Kill Chain)将网络攻击过程模型化,定义了攻击者攻击要完成的七个阶段。但杀伤链的描述粒度仍然较粗、缺乏相应的细节也并未形成统一描述不便共享使用。2013年,MITRE在Kill Chain 的基础上,意图构建一套从攻击者视角出发、比Kill Chain粒度更细、有实际技术细节支撑的知识模型,在内部整合研发了ATT&CK 框架的雏形,后公开对外发布。
ATT&CK(五)之ATT&CK子项目invoke-atomicredteam的安装与使用
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
07-02 516
Invoke-AtomicRedTeam 是一个 PowerShell 模块,用于执行在Red Canary 的 Atomic Red Team 项目的atomics 文件夹中定义的测试。“atomics”包含由MITRE ATT&CK™ 框架定义的每个技术的文件夹。在每个“T#”文件夹中,您会找到一个yaml文档,该文件定义了每个原子测试的攻击过程以及相同数据的更易于阅读的Markdown文档建议设置一个测试机器来执行类似于您环境中的构建的原子测试执行。
ATT&CK(对抗性战术,技术和公共知识库)
一智哇的博客
03-23 5743
ATT&CK
攻防演练学习之浅析ATT&CK和Cyber Kill Chain
ZL_1618的博客
08-01 2176
以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号(非典型产品经理笔记)上写的原创内容,挑一部分发一下。后续新内容会考虑同步在freebuf上发送。本系列当前共14篇。理解事物从描述开始。要理解一件事情,首先要能描述它,不可描述的事情,显然很难被解析、被应对,难以发展和演进。网络攻防因其抽象性,更是如此。下图为洛克希德·马丁公司官网(
vue3使用pnpm运行项目但是运行不起来
最新发布
一个努力不被优化的程序员
08-12 170
重新创建项目,将老项目的package.json,vite.config.ts,src等文件拖拽替换。删除node_modules重新下:文字编译乱码,utf-8可能解析处理问题。(如果哪位知道为什么会这样或者怎么解决麻烦留言下)运行项目的时候发现根本运行不起来了。删除node_modules重新下。尝试过创建.npmr文件。创建.npmr:不管用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值