一、什么是ATT&CK
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
二、ATT&CK 发展历史
-
1996年:美空军参谋长罗纳德ž福格尔曼在空军协会研讨会上提出F2T2EA“杀伤链”概念。
-
2011年1月:洛马公司提出使用网空“杀伤链”模型来描述入侵的阶段。
-
2013年9月:MITRE推出了ATT&CK模型,根据网空观察数据来描述和分类敌手行为。
-
2015年5月:ATT&CK模型公开发布,其中包括9种战术下的96种技术。
-
2018年:ATT&CK获得爆发式关注,众多安全厂商开始在产品中增加针对ATT&CK的支持。
-
2019年3月:RSA大会上,有10多个议题讨论ATT&CK的应用。
-
2019年6月:Gartner Security & Risk Management Summit会上,ATT&CK被评为十大关注热点。
-
2020年1月:MITRE公布了针对工业控制系统的ATT&CK知识库ATT&CK for ICS。
-
2021年4月:ATT&CK for Enterprise V9进行了数据源重构,将数据源与攻击行为的检测相关联。
-
2021年8月:ISC 2021设立“ATT&CK安全能力衡量论坛”,聚焦ATT&CK安全能力建设的衡量讨论。
-
2021年10月:ATT&CK v10发布,包括 14 个战术,188 个技术, 和 379 个子技术,129 个组织、638 个软件。这个版本,一共包括 38 类数据源。
三、ATT&CK 应用场景
ATT&CK在各种日常环境中都很有价值。开展任何防御活动时,可以应用ATT&CK分类法,参考攻击者及其行为。ATT&CK不仅为网络防御者提供通用技术库,还为渗透测试和红队提供了基础。常见的主要应用场景如下:
1) 恶意文件分析
ATT&CK知识库的总结来源之一有APT对抗,并有大量涉及终端的操作,有较多的研究在针对恶意文件的检测与分析中使用了ATT&CK。
2) 威胁检测
“杀伤链”模型较为粗粒度,自定义的威胁模型跟实际威胁的检测需求存在差异,ATT&CK的体系性有助于多维度的威胁检测关联和实际需求映射。
3) 攻击模拟和防御评估
ATT&CK作为攻击知识库,天然地能提供攻击模拟的指导,通过战术阶段提供对攻击过程的宏观认识,也为风险评估研究提供了可参考的风险模型。ATT&CK可用于创建攻击模拟场景,红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT&CK,以便防御者和报告接收者以及其内部之间有一个通用语言。
ATT&CK可以测试和验证针对常见攻击技术的防御方案,ATT&CK可用于构建和测试行为分析方案,以检测环境中的攻击行为。
4) 攻击归因与攻击者画像
攻击溯源与取证是还原攻击过程的重要基础,也有助于完成攻击者的刻画,基于低层级IOC的溯源取证容易被攻击者规避,而ATT&CK层次的攻击手法则反映了攻击者长期且较为本质的特征。
5) 漏洞挖掘与漏洞分析
对漏洞利用的检测、利用方法和造成影响研究分析的话,基于现有CVE和CWE的方法较少体现攻击与防御的联动视角,通过与ATT&CK技战术关联,可丰富漏洞的利用路径、造成影响等上下文。
6) SOC成熟度评估
ATT&CK可用作一种度量,确定SOC在检测、分析和响应入侵方面的有效性。SOC团队可以参考ATT&CK已检测到或未涵盖的技术和战术。这有助于了解防御优势和劣势在哪里,并验证缓解和检测控制措施,并可以发现配置错误和其他操作问题。
四、2021 ATT&CK v10版本更新说明
2021 年 10 月,MITRE ATT&CK 发布了最新版本 V10,包括对 ATT&CK for Enterprise,ATT&CK for Mobile、ATT&CK for ICS 相关的攻击技术、组织、软件的更新。这个版本最大的改变有以下几点:
1. 在 ATT&CK for Enterprise 中新增了一套数据源与数据组件对象,以对 v9 版本发布的数据源更新进行补充。
2. 重命名了 T1185