ATT&CK
简介
ATT&CK框架是近年来流行的网络安全框架,用于描述攻击者的战术、技术和过程。
框架包含多种技术和概念,旨在帮助安全专业人员更好地理解网络攻击的本质。
威胁情报(IOC)是观察到的计算机被入侵的痕迹,如病毒哈希值或控制服务器的IP地址。
威胁情报的收集和整理有助于制定更有效的安全策略,防范未来的攻击。
网络安全攻防不对称性
- 网络安全领域中,白帽子(防御方)相对于黑帽子(攻击方)处于弱势。
- 攻击者和防御者之间的信息不对称是永久存在的,难以消除。
- 掌握足够的威胁情报不能保证完全抵御所有攻击,因为攻击者可以低成本地更改攻击手段。
ATT&CK框架的应用与局限
- ATT&CK框架通过分类建模的方式,帮助理解攻击者的战术、技术和通用知识库。
- 框架包含12种战术和244种企业技术,提供了对攻击者行为的深入理解。
- 尽管ATT&CK框架有助于制定安全策略,但不能单独依赖它来防御所有攻击。
ATT&CK模型概述
- ATT&CK模型不是单一技术,而是战术技术和知识的集合,可视为底层知识库。
- 涵盖攻击者在操作期间所做事情的标准和高级表示,是更高层次的框架。
- 模型设计旨在理解攻击者的行动战术目标和技术实现方式。
ATT&CK模型组成部分
- ATT&CK模型由三个部分组成:pre-attack(攻击前准备)、enterprise(企业攻击)、mobile(移动端攻击)。
- 每个部分针对不同的攻击场景,如企业网络攻击和移动端攻击,包含已知的攻击手段和技术。
ATT&CK框架概述
- ATT&CK框架包含12项战术,按照逻辑分布放在多个矩阵中,包括初始访问、执行持久化提权、防御绕过、凭证访问发现、横向移动收集、命令控制、数据泄露、产生影响等。
- 每一项战术下有不同的技术,每种技术具有唯一ID号码
- 攻击者不会使用所有12项战术,但战术的顺序是固定的,攻击行为可预测。
初始访问战术详解
· 初始访问战术包括利用条目向量在网络中获得立足点的技术,如网络钓鱼、利用面向公众的WEB服务器漏洞等。
· 通过初始访问,攻击者可获得进一步访问的立足点,如通过漏洞打点获得服务器的shell权限。
执行与技术匹配
· 执行战术涉及在本地或远程系统上运行恶意代码的技术,如使用远程访问工具运行power shell脚本。
· 运行恶意代码的技术需与其他策略和技术匹配,以实现更广泛的目标,如搜索局域网或窃取数据。
防御绕过与凭证访问
· 防御绕过战术包括避免被防御措施发现的技术,如卸载或禁用安全软件、加密数据等。
· 凭证访问战术包括窃取用户名和密码的技术,以及利用合法凭证进行伪装登录的方法。
内网发现与横向移动
· 内网发现战术用于获取系统和内部网络的知识,帮助攻击者定位自己并探索可控制资源。
· 横向移动战术用于进入和控制网络上的远程系统,涉及探测网络、寻找目标并获得访问权限。
命令与控制战术
· 命令与控制战术涉及发出命令和控制对方系统的技术,包括建立加密通道、使用网络服务或远程访问软件进行通信。
· 攻击者通常试图模仿正常流量以避免被监测,并通过多种方式建立隐身指挥和控制体系。
ATT&CK框架的应用场景
- 渗透测试:描述整个工具或网络杀链的周期流程。
- 防御检测评估:提供反杀链思路,用于评估防守能力。
- 安全运营中心成熟度评估:作为标准判断安全运营的优点和防御处理响应速度。
- 情报收集:用标准方式描述对抗行为,根据已知技术跟踪攻击者。
ATTACK框架的使用方法
- 明确资产建立威胁建模,确定相应战术。
- 选择对应战术中的技术,了解攻击成本。
- 确定数据源,选择合适工具整合数据。
火眼攻击生命周期
- 火眼提出攻击生命周期,包含八个阶段:侦查、立足点、建立据点、提权、内部侦查、横向移动、持续控制、完成目标。
- 火眼在某个国家布置的防御体系中表现出色,国内攻击队都会绕开走,显示了其牛逼之处。
- 火眼的攻击生命周期与ATTACK框架逻辑相似,强调了攻击思维的建立,对于理解攻击行为和防御策略具有重要意义。
扫一扫
375
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
