初识ATT&CK框架
前言:
ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上,接下来的三期内容,美创安全实验室将为大家带来ATT&CK模型的独家解读,好了,废话不多说Let‘s go!
但是要是想完全弄懂ATT&CK模型到底是什么,那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。
什么是威胁情报?
威胁情报又称IOC(Indicator of compromise)。一般为网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹,例如某某病毒的Hash值、C&C服务器的IP地址等等。简单来说,威胁情报就像是当计算机被入侵时所表现出来的某种特征,我们将这些威胁情报搜集起来整理成库,当计算机再次表现出库中的某些特征的时候我们就可确定计算机已经被入侵了,这样我们可以制定更好的安全策略来规避以上问题。
那么是不是只要有足够的 IOC,我们就可以规避所有风险?
众所周知,在网络安全领域中白帽子相比于黑帽子来说是处于弱势的一方,那么造成这种“安全难做”情况的根本原因在于攻守双方的信息不对称。但是当白帽子掌握了足够多的IOC之后是否能守住黑客的所有攻击呢,答案当然是不可能的。即使白客拥有某黑客之前攻击产生的所有IOC,但是当黑客随便更改一下IP地址或者域名就可以产生新的IOC,