Security+ 学习笔记48 攻击框架

一、MITRE ATT&CK

外部框架帮助我们更好地理解我们所面临的威胁环境。其中一个被广泛使用的框架是MITRE的ATT&CK框架。MITRE公司是一个非营利性的智囊团，在各种公共和私人伙伴关系中进行研究和开发。网络安全是他们的重点领域之一。

几十年来，MITRE在推动我们领域的技术水平方面一直发挥着作用。他们的研究工作之一是开发Adversarial Tactics, Techniques & Common Knowledge或ATT&CK框架。这个ATT&CK框架是多年来从现实世界的组织中收集的关于攻击者的知识。如下是这个框架的内容。https://attack.mitre.org/

该框架中最容易识别这个攻击技术表。表中的每一列都代表了攻击者的一种攻击方式和战术。正如我们所看到的，这些战术包括初始访问、执行、持久性、权限升级、防御规避、凭证访问、发现、横向移动、收集、指挥和控制、渗透和影响。在每一种战术之下，都有攻击者可以用来实现该目标的具体技术。当我们想更好地了解威胁环境和不同攻击者群体使用的具体技术时，ATT&CK框架是一个非常有用的工具。

二、入侵分析的钻石模型(Diamond Model of Intrusion Analysis)

入侵分析的钻石模型为我们提供了一个理解入侵事件的分析框架。该模型是指导入侵分析工作的一个非常有用的工具，确保我们已经收集了所有的相关信息，并从不同角度进行了思考。在钻石模型中，入侵事件有四个核心特征：

1. 攻击者(Adversary) 是试图破坏我们的信息或信息系统的人或团体，其可能是外部威胁，如黑客组织，也可能是内部威胁，如恶意的内部人员；
2. 受害者(Victim) 是被攻击的组织。根据入侵事件的性质，受害者可能被描述为一个广泛的组织或一个特定的系统;
3. 攻击者拥有他们用来参与攻击的手段(Capablility)。我们可以把这些能力看作是我们之前讨论的MITRE ATT&CK矩阵中的元素。操纵访问令牌，冒充服务台工作人员，或注入SQL代码都是手段的例子。
4. 第四部分基础设施(Infrastructure) 是攻击者可以用来发动攻击的物理和虚拟资源。这可能包括他们自己的资源或从其他组织窃取的资源。基础设施可能包括系统、网络、电子邮件账户、IP地址或任何其攻击者用来部署其能力以对付受害者的手段。在任何入侵中，攻击者都会利用基础设施和不适当的手段来针对受害者。

上面这图上的线条构成了钻石模型的钻石，它们描述了分析师在剖析一个事件时可能遵循的不同类型的关系。通常情况下，受害者看到的是基础设施和手段的要素，他们可以利用这些信息来了解攻击者的更多情况。除了这四个核心特征外，还有一些事件的元特征（Meta feature），有助于我们分析。它们不是核心的一部分，所以它们没有被画在钻石图上。

这些包括活动的时间，活动的阶段，网络杀伤链(time of the activity, the phase of the activity, and the cyber kill chain),而结果是另一个元特征。我们想知道，攻击是否成功。攻击的方向性（ Directionality of the attack） 告诉我们攻击是如何发生的。例如，攻击者在他们自己的基础设施中触发了一个针对受害者的事件。方向性是指从基础设施到受害者。另一方面，如果攻击者欺骗了受害者，让他们进入基础设施开始攻击。方向性是受害者到基础设施。攻击的方法(Methodology of an attack)通常与攻击载体（Attack vector） 相对应，而资源包括进行攻击所需的信息、软件、硬件、资金、设施和通道。这些元特征和四个核心特征共同提供了一个有用的方法来剖析攻击和进行全面分析。

三、网络杀伤链分析(Cyber kill chain analysis)

我们要研究的最后一个攻击框架是网络杀伤链。来自Lockheed Martin’。相比于其他框架，MITRE攻击框架试图对单个攻击技术进行分类，而Diamond模型试图剖析攻击的特征，网络杀伤链的重点则有点不同，其目的是试图对攻击的各个阶段进行建模。网络杀伤链的重点是复杂的攻击者的活动，被称为高级持续性威胁或APTs。网络杀伤链将APT所做的工作描述为一系列的七个阶段，这对寻求重建入侵的分析人员非常有用。

如下网站上https://lockeedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html的这张图带我们了解了这个过程的各个步骤：

1. 攻击的第一步是进行侦察(reconnaissance)，目的是收集关于目标的足够信息，以便在进行攻击时发挥作用；
2. 接下来，攻击者进入武器化(Weaponization) 阶段，他们创造一种武器，目的在针对受害者环境中的特定漏洞；
3. 然后，他们通过一些攻击载体，如电子邮件、受感染的网站或受感染的存储媒体，将这种攻击传递给受害者；
4. 一旦恶意的有效载荷被送到受害者手中，它就会主动利用目标漏洞，为攻击者提供对系统本身的访问；
5. 有了这个权限，攻击者就会在目标系统上安装恶意软件；
6. 恶意软件通常这允许对被攻击的资源进行远程指挥和控制；
7. 最后，攻击者拥有了目标网络上的资源，并可以利用它对其原来的目标采取行动。

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601