1. 引入
通过学习MITRE ATT&CK,能快速对安全领域做一个全面的了解。
本文只是对MITRE ATT&CK做一个初步介绍,更深入的内容后续还会再写。
2. MITRE是什么
从wikipedia[1]上可以看到介绍:
The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an American not-for-profit organization based in Bedford, Massachusetts, and McLean, Virginia. It manages federally funded research and development centers (FFRDCs) supporting several U.S. government agencies.
所以,MITRE是一个公司,这个公司是一个非盈利组织,它管理联邦政府资助的研发中心(FFRDCs),支持几个美国政府机构。
大名鼎鼎的CVE(漏洞数据库) - Common Vulnerabilities and Exposures (CVE),就是由MITRE维护的[2]。
补充:CVE无疑是个伟大的概念:公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。
3. MITRE ATT&CK
网上一些文章认为MITRE ATT&CK是一个工具[4],或者是一个框架[5]。
但从MITRE ATT&CK的介绍[3]来看,它是一个攻击者(adversary)策略(tactic)知识库(knowledge base of adversary tactics and techniques)。
MITRE ATT&CK作为一个知识库,必然是对相关领域的总结与描述,这个知识库细致到什么程度呢,看如下MITRE总结的一个表格就能知道:
表格很大,我这里并没有把完整的表格截图。表格中的每个项目都有链接,点进去都有非常详细的说明。看这些详细的文字,就能对安全领域有比较全面的认识。
4. 如何理解MITRE ATT&CK
要看懂这个表格,需要知道两个重要的概念:
- tactic,策略,也就是指攻击者常用的攻击策略,或者恶意软件的恶意行为。
- technique,技术,也就是实现某种策略的具体技术。一个tactic可以对应多种technique
MITRE ATT&CK中会大量的用到这两个单词。
表格中的表头一行,就是指tactic。
表格中,每一列指的就是相应tactic对应的technique。
举个具体的例子来说明:
- 表格中第一列,
Initial Access
是一种tactic,这个tactic指的是“攻击者在网络中获得初始的立足之地”[6] - 第一列中的其他行内容,比如
Drive-by Compromise
,Exploit Public-Facing Application
,External Remote Services
等都是实现Initial Access
这个tactic的techniqueDrive-by Compromise
这种technique[7],指的是“当用户在浏览器访问网站时,攻击者获取了系统的访问权限”- 可以通过在网站上挂上漏洞利用代码,来获取访问该网站的用户系统权限
- [7]中的examples中还给出了很多能实现这个technique的方法,比如“水坑攻击”[8]
5. 参考
- [1] https://en.wikipedia.org/wiki/Mitre_Corporation
- [2] https://zhuanlan.zhihu.com/p/27891196
- [3] https://attack.mitre.org/
- [4] https://www.secrss.com/articles/9239
- [5] https://www.aqniu.com/vendor/44748.html
- [6] https://attack.mitre.org/tactics/TA0001/
- [7] https://attack.mitre.org/techniques/T1189/
- [8] https://baike.baidu.com/item/%E6%B0%B4%E5%9D%91%E6%94%BB%E5%87%BB/17644830?fr=aladdin