1.2 网络安全渗透测试的基本框架ATT&CK框架
1.2.1 Threat Intelligence 威胁情报
如何开始使用 ATT&CK?
旨在回答四个关键用例的问题:
威胁情报
检测和分析
对手仿真和红队
评估和工程
ATT&CK 对于任何想要转向以威胁为导向的防御的组织都非常有用,因此我们希望分享有关如何开始的想法,无论您的团队多么复杂。
我们将把这些帖子分成不同的级别:
Level 1 适用于那些刚开始可能没有很多资源的人
Level 2 中级团队开始成熟
Level 3适用于更高级的网络安全团队和资源
我们从谈论威胁情报开始,因为它是最好的用例
2018 年,我对如何使用 ATT&CK 推进网络威胁进行了高级概述
情报(CTI)。 在本章中,我将以此为基础,分享一些实用的入门建议。
LEVEL 1
网络威胁情报就是要知道你的对手做了什么并使用它的信息以改进决策。对于一个只有几个分析师想要开始使用 ATT&CK 进行威胁情报的组织,您可以开始的一种方法是选择一个您关心的小组,并按照 ATT&CK 的结构查看他们的行为。
您可以根据我们在网站上映射的组中选择一个组他们以前针对的组织。 或者,许多威胁情报订阅
供应商也映射到 ATT&CK,因此您可以使用他们的信息作为参考。
https://attack.mitre.org/groups/