ATT&CK - 入门

最新推荐文章于 2024-04-18 18:08:37 发布
最新推荐文章于 2024-04-18 18:08:37 发布
阅读量6k 收藏 10
点赞数 3
分类专栏: 安全研究 - 材料阅读 安全研究 - 威胁情报 文章标签: 威胁情报 ATTCK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011698800/article/details/108723567
版权

20200922 -

0. 引言

这篇文章记录ATT&CK的一些材料阅读,不过题目没有非常明确。因为这部分仅仅是记录了一篇文章,不过这篇文章是一系列文章的第一小节,大题目就是Getting Started的部分,所以,这篇文章就命名为入门。

1. ATT & CK在威胁情报的应用

本部分内容参考学习了文章《Getting Started with ATT&CK: Threat Intelligence[1]》。现在众多的安全团队在使用威胁情报(CTI,Cyber Threat Intelligence》来辅助安全防御,但威胁情报绝不仅仅是找几个IOC作为黑名单就完事的问题。情报应该是一套完整的信息链,例如一条APT组织行动的情报,就应该包括其所使用的战术,技术,攻击的目标,甚至于最终的决策建议等。文章[1]简单介绍了如何利用ATT&CK针对不同的团队在威胁情报上进行应用,其按照团队的规模分为了三个层次。

1.1 Level1

在较小的威胁情报团队上,可以针对自己公司的性质,例如金融,政府等类别,搜索相关的APT组织,然后定位他们在APT攻击行动中所使用的战术及技术,通过定位他所使用的技术来进行定向的防御。本质上,威胁情报辅助安全人员能够了解对抗方所使用的技术,来辅助提高安全决策的能力。

1.2 Level2

在有一定基础的威胁情报团队上,可以自行按照(公开的)应急相应报告或者其他安全报告将其映射至ATT&CK矩阵,而不是使用其他人已经形成的报告。通过这种方式,能够让团队更清晰自己公司的要求和定位。

1.3 Level3

在比较成熟或者高级的团队上,可以将自己公司的信息映射到ATT&CK矩阵上,让自己的防护团队更明确防护的目标。

1.4 小节

其实我觉得,Level2和Level3是很像的,都是利用相应的信息映射到ATT&CK矩阵上,只不过是成熟程度的问题。本篇文章主要就是介绍了ATT&CK在威胁情报上的应用,但实际上,我还是没有非常明确的体会到ATT&CK的重要性。就是因为这部分内容本质上没有什么非得说利用ATT&CK的过程,从中体会更深的,应该是ATT&CK提供了一套体系化的框架来使用,使具体的步骤,具体的门类更清晰的一个过程,所以这部分可能还得更具体得来学习。

2. 利用ATT&CK做检测与分析

本小节将关注文章《Getting Started with ATT&CK: Detection and Analytics[2]》,本篇文章将重点分析在自己系统中采集的数据来和ATT&CK中的内容进行比对分析。与前文一致,本部分也是按照三个等级来进行区分。

2.1 Level1

进行检测的第一个步骤,应该考虑的是,你的团队具备怎么样的数据存储和搜索能力,这部分涉及到数据源的问题。在以往的分析过程中,因为我是做流量出身,所以大部分时候我考虑的都是流量,其实还有很多内容,特别是主机上的内容,例如进程信息,注册表信息等。下面列举几个相关的工具和数据源:

  • 进程和进程命令行参数等信息,在windows主机上,这部分信息可以使用sysmon,windows event logs和很多EDR平台采集
  • 文件和注册表监控,前面的采集方法一致
  • 认证日志,主要由windows event logs采集
  • 数据包采集,其实我的想法是,如果在出入口部分部署了全流量采集的相关工具,那么完全可以仅采集进程等信息然后进行对准即可。

有了能力进行日志或者相关的信息采集之后,那么后续的研究就必须将数据整合起来,那么本质上这就是一个SIEM平台了,完全可以使用ELK来实现。
注:在前期实验过程中,可以使用一些开源的数据弥补数据的空白,具体见文章。
在进行分析的过程中,就比如使用一些工具来进行搜索,这个搜索能力就是ELK提供的,对于某些日志,可以使用一些工具,文章列举了一个工具叫做sigma。

2.2 Level2

在能够搜索数据之后,在这个步骤应该是能够按照相应的规则,或者自己的需求来进行自己编写规则进行分析。

2.3 Level3

最后一步,应该是能够形成一个闭环,让自己团队的红队进行相应的攻击,然后根据这部分内容实现检测,检测之后,告诉红队让他们进行升级再次逃避,如此往复循环下去。

2.4 小节

其实这部分内容,我没有看的很清楚。比较重要的是利用日志采集的功能实现数据汇总。这个步骤有两个点很重要,1)日志的采集;2)日志的搜索。也就是说,需要一个平台能够支持数据的灵活搜索,只有这样才能满足后续的分析过程。在日志的采集部分,因为平时的时候一直以来都是关注的流量,对windows的内容没怎么关注过,这部分我觉得注册表很重要。

最后多说几句,气质本质上,我觉来越觉得,ATT&CK仅仅是一个形式化的框架,在这部分其实我都没有太大感受到ATT&CK在其中的作用。感觉它就是一个参考,让我能对自己整体的能力有所了解。这部分还是需要更深入来体会。

参考

[1]Getting Started with ATT&CK: Threat Intelligence
[2]Getting Started with ATT&CK: Detection and Analytics

V丶Chao
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
attack-navigator:Web应用程序,提供ATTCK矩阵的基本导航和注释
04-28
ATTCK:registered:导航器 ATTCK导航器旨在提供矩阵的基本导航和注释,这是当今人们已经在诸如Excel之类的工具中进行的操作。 我们将其设计为简单而通用-您可以使用导航器来可视化您的防御覆盖范围,红色/蓝色团队计划,检测到的技术的频率或您想要执行的其他任何操作。 导航器不在乎-它仅允许您操作矩阵中的单元格(颜色编码,添加注释,分配数值等)。 我们认为拥有一个每个人都可以用来可视化矩阵的简单工具将有助于简化ATTCK的使用。 导航器的主要功能是用户可以定义层的能力-ATTCK知识库的自定义视图-例如仅显示用于特定平台的那些技术或突出显示已知使用的特定对手的技术。 可以在导航器中以交互方式创建图层,也可以以编程方式生成图层,然后通过导航器将其可视化。 用法 ATTCK Navigator通过GitHub Pages进行实时托管。 。 ATTCK导航器的4.0版在应用程序的单个实例中
ATT&CK框架
热门推荐
qq_40216188的博客
02-28 2万+
ATT&CK框架一、ATT&CK框架1.1、侦查Reconnaissance-包含10项技术1.2、资源开发Resource Development-包含6项技术1.3、初始访问Initial Access-包含9项技术 一、ATT&CK框架 序号 战术 战术功能 1 侦察 信息收集 2 资源开发 建立攻击者行动所需资源 3 初始访问 进入目标网络,获取一个入口 4 执行 运行恶意代码 5 持久化 保持攻击立足点 6 权限提升 获取最高权限 7
ATT&CK的理解与应用场景
最新发布
weixin_44983560的博客
04-18 197
本文将ATT&CK的概念以及其应用场景,如:情报分析、威胁检测、模拟攻击、安全评估。
十大最常见的ATT&CK战术及技术
xnxqwzy的博客
08-01 1481
ATT&CK框架是一个网络安全综合性知识库,通过对攻击生命周期各阶段的实际观察,从而对攻击者行为进行理解与分类,已成为研究威胁模型和方法的基础工具。随着厂商及企业对该框架的广泛采用,ATT&CK知识库已公认成为了解攻击者的行为模型与技术权威。Picus研究人员从各种来源收集了超过二十万真实世界威胁样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进行了分类,所有样本超过180万种ATT&CK技术。PicusLabs针对此研究发布了Red。
网络安全框架:ATT&CK框架介绍、结构、应用和未来发展趋势
SteveRocket's-Blog
05-12 1953
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架是一种用于描述和分类攻击者行为的结构化方法。该框架由MITRE公司开发,旨在帮助安全团队更好地理解和应对威胁行为。本文将详细介绍ATT&CK框架的起源、结构、应用和未来发展趋势。” ATT&CK框架的起源 ATT&CK框架最初由美国国防部的研究人员在2001年开发,用于描述和分类网络攻击的方式和技术。随着时间的推移,该框架逐渐被广泛使用,并在2013年由MITRE公司接管管理
ATT&CK框架简介 已知攻击技术汇总
whatday的专栏
03-10 1万+
一、ATT&CK框架背景介绍 MITRE是美国政府资助的一家研究机构,该公司于1958年从MIT分离出来,并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所(NIST)的资助下从事了大量的网络安全实践。 MITRE在2013年推出了ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。AT...
MITRE ATT&CK实践入门1
08-04
《MITRE ATT&CK实践入门指南》 MITRE ATT&CK框架是网络安全领域的一个重要工具,它通过系统地描述和分类网络攻击者的行为和技术,帮助安全团队理解和应对各种威胁。本文将围绕四个关键应用场景——网络威胁情报、...
ATT&CK实践入门1
08-04
介绍Navigator并阐述如何对比图层的视频然后我们就可以聚合这些信息,确定常用技术,帮助防御人员弄清该优先处理哪些东西。这让我们能够排序攻击技术,告知防御人
ATTCK入门:检测和分析1
08-04
ATTCK入门:检测和分析1 本资源摘要信息将对ATTCK入门:检测和分析进行详细的解释和分析,从标题、描述、标签和部分内容中提取相关知识点。 ATTCK入门 ATTCK是一种网络安全框架,旨在帮助安全团队检测和...
Invoke-ATTACKAPI:通过自己的API与MITER ATTCK框架进行交互的PowerShell脚本
04-27
一个PowerShell脚本,可通过其自己的API与MITER ATTCK框架进行交互,以收集有关MITER ATTCK团队@MITREattack提供的技术,战术,组,软件和参考的信息。 此脚本仍在使用不推荐使用的MEEDIAWIKI API。 尚未更新以...
detection-hackathon-apt29:放置在具有APT29 ATTCK评估数据集的Mordor Detection黑客马拉松事件中使用的资源的地方
03-21
存放在具有APT29 ATTCK评估数据集的Mordor Detection黑客马拉松事件中使用的资源的地方。 议程 时间 话题 会议 类型 10:00-10:10 迎接社区 一般的 现场团队活动 10:10-10:20 入门和准则 一般的 现场团队活动 10:20...
ATT&CK框架入门总结
明光札记
03-17 4085
ATT&CK框架入门简介
ATT&CK框架现有的14个战术进行了详细介绍
千寻的博客
10-19 1747
ATT&CK战术详解。
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 2016
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段。
「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 902
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个针对现实世界观察总结得到网络攻击者的战术、技术和常识知识库。它由美国网络安全公司MITRE开发,旨在帮助网络安全专业人员更好地了解和应对网络威胁。ATT&CK知识库被用作私营部门、政府以及网络安全产品和服务社区中特定威胁模型和方法的开发基础。ATT&CK当前最新版本为 v14,发布于2023年10月31,后续也会持续更新。
ATT&CK(对抗性战术,技术和公共知识库)
一智哇的博客
03-23 5699
ATT&CK
什么叫ATT&CK模型
Aevery的博客
09-06 8184
含义: ATT&CK模型由MITRE(一个美国非盈利组织,号称定义了网络安全)根据真实观察到的网络攻击数据提炼形成攻击矩阵模型。 该模型把攻击活动抽象为初始访问(Initial Access)、执行(Execution)、持久化(Persistence)、特权提升(Privilege Escalation)、躲避防御(Defence Evasion)、凭据访问(Credential Access)、发现(Discovery)、横向移动(Lateral Movement)、收集(Collectio
【转】从ATT&CK看安全如何落地
tpriwwq的专栏
03-13 431
2011年,洛马提出杀伤链(Kill Chain)将网络攻击过程模型化,定义了攻击者攻击要完成的七个阶段。但杀伤链的描述粒度仍然较粗、缺乏相应的细节也并未形成统一描述不便共享使用。2013年,MITRE在Kill Chain 的基础上,意图构建一套从攻击者视角出发、比Kill Chain粒度更细、有实际技术细节支撑的知识模型,在内部整合研发了ATT&CK 框架的雏形,后公开对外发布。
2023 ATT&CK v13版本更新指南
yy1715713348的博客
07-26 838
是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
MITRE ATT&CK
09-17
MITRE ATT&CK是一个强大且庞大的框架,用于描述和组织关于攻击者战术和技术的知识。它可以帮助安全专业人员了解攻击者可能使用的方法和技术,并提供对防御和检测措施的指导。 ATT&CK框架包括三个主要模型:ATT&CK for Enterprise、ATT&CK for Mobile和ATT&CK for ICS。ATT&CK for Enterprise适用于Windows、Linux、MacOS、云平台等技术和战术。ATT&CK for Mobile适用于移动设备的战术和技术。ATT&CK for ICS适用于工控设备的战术和技术。 ATT&CK框架使用矩阵的方式来展现攻击方的战术和技术。矩阵根据攻击者可能采取的不同行动进行分类。通过研究和理解ATT&CK矩阵,安全专业人员可以更好地了解攻击者的行为模式,并制定相应的防御策略和安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值