MITRE ATT&CK 框架

什么是 MITRE ATT&CK 框架?

MITRE 是一家由政府支持的非营利组织,开展由联邦政府资助的网络安全研究,为包括政府机构和国防承包商在内的所有部门提供防御性 IT 安全支持。 

MITRE ATT&CK®(对抗战术、技术和常识)是一个免费开放的网络安全信息知识库,于 2018 年首次发布。ATT&CK 旨在帮助网络安全分析师和其他人员获得网络威胁情报(CTI)见解,以规划和设计网络防御计划,并通过提供通用参考词汇促进交流。 

MITRE ATT&CK 战术

MITRE ATT&CK 矩阵

完整的 MITRE ATT&CK 框架分为三个主要变体,每个变体都包含适用于特定目标 IT 环境的 TTP 子集。每个变体被称为"矩阵"。 

ATT&CK 框架中的三个主要矩阵是企业矩阵、移动矩阵和 ICS(工业控制系统)矩阵。企业矩阵和移动矩阵进一步细分为子矩阵,子矩阵经过过滤,只包含与每个环境相关的战术、技术和程序 (TTP)。

企业 ATT&CK 矩阵

企业 ATT&CK 矩阵包含 14 种战术,适用于针对企业基础设施的网络攻击。企业矩阵可进一步限制为 7 个子矩阵。这些子矩阵侧重于攻击前活动(PRE 矩阵)、针对特定操作系统的攻击(Windows、Linux 和 macOS 矩阵)、网络基础设施攻击(网络矩阵)、云基础设施攻击(云矩阵)和针对容器的攻击(容器矩阵)。

移动 ATT&CK 矩阵

移动 ATT&CK 矩阵包含 14 种战术,但与企业矩阵略有不同,"侦察 "和 "资源开发 "战术被 "网络效应 "和 "远程服务效应 "所取代。移动矩阵侧重于目标移动操作系统(iOS 和 Android)。新增的移动专用战术强调了通过 WiFi 连接拦截和篡改传输中数据的潜力,以及通过破坏移动应用程序和服务实现目标的能力。

工业控制系统 (ICS) ATT&CK 矩阵

ICS ATT&CK 矩阵包含 12 种适用于针对 ICS 的网络攻击的策略。它不包括 "凭证访问 "或 "渗透 "策略,而是包含企业或移动矩阵中没有的两种独特策略:"抑制响应功能 "和 "破坏过程控制"。独特的 ICS 战术包括敌对活动,如抑制安全、保护、质量保证或操作员干预功能,或更改配置参数或固件,以损害过程控制并对物理基础设施造成破坏。

ATT&CK 战术、技巧和程序

一场完整的进攻性网络战役由多个阶段组成,需要结合多种战术才能实现目标。MITRE ATT&CK 使用 TTP 视角将网络安全知识组织成一个分层框架。战术是 ATT&CK 层次结构中最高级别的类别,与攻击者在攻击各阶段试图实现的具体目标相对应。 

ATT&CK 战术

  • 侦察(企业、ICS)
  • 资源开发(企业、ICS)
  • 初始访问
  • 执行
  • 坚持不懈
  • 权限升级
  • 防御回避
  • 凭证访问(企业、移动)
  • 发现
  • 横向运动
  • 收藏品
  • 指挥与控制
  • 渗透(企业、移动)
  • 影响 
  • 网络效应(仅限手机)
  • 网络服务效果(仅限手机)
  • 抑制响应功能(仅限 ICS)
  • 损害过程控制(仅限 ICS)
每个战术都包含多个技术,每个技术都定义了实现战术目标的战略方法。ATT&CK 框架的最底层包括每种技术的详细 "程序",如工具、协议和实际网络攻击中观察到的恶意软件菌株。最底层的 ATT&CK 信息还包括其他常识,如已知哪些敌对组织使用每种技术。

MITRE D3FEND

MITRE D3FEND是一个知识库,MITRE 将其定义为 "知识图谱",是一个防御性网络安全对策、组件及其关联和能力库。它是 MITRE ATT&CK 网络罪犯战术、技术和程序 (TTP) 框架的补充。

MITRE ATT&CK 与网络杀伤链的对比

网络杀伤链®是洛克希德-马丁公司于 2011 年发布的网络攻击框架。与 MITRE ATT&CK 一样,"网络杀伤链 "将所有网络攻击行为归类为顺序战术。

网络杀手链的 7 个阶段

  1. 侦察
  2. 武器化
  3. 送货 
  4. 剥削
  5. 安装
  6. 指挥与控制
  7. 目标行动

网络杀伤链 "与 MITRE ATT&CK 框架有本质区别,因为它声称所有网络攻击都必须遵循特定的战术序列才能取得成功;而 MITRE ATT&CK 没有这样的说法。这两个框架的另一个区别是,"网络杀伤链 "本质上是网络攻击的一系列阶段,并结合了一般防御安全公理,即 "打破""杀伤链 "的任何阶段都将阻止攻击者成功实现其目标,从而为防御者提供保护。 

MITRE ATT&CK 不仅仅是一系列攻击战术。它是一个深度知识库,按照战术、技术、程序和其他常识(如归属于特定敌对团体)的层次,将特定环境下的网络安全信息关联起来。

如何使用 MITRE ATT&CK 框架

由于 ATT&CK 包括广阔的高层视角和细粒度的低层信息,安全团队可以利用它跨越不同网络攻击目标和低层信息之间的知识鸿沟。这使它成为网络安全教育和企业安全计划规划的有力工具。

MITRE ATT&CK 使用案例

威胁猎手、红队人员和防御人员可利用 ATT&CK 深入了解网络攻击和标准分类系统,该系统可在制定企业网络安全计划时作为利益相关者之间交流的参考。

由于 ATT&CK 是一个全面的网络攻击信息知识库,因此可作为攻击目标和方法的核对表。您可以利用这份清单来证明实施安全控制的合理性,确保这些控制措施是全面的,并能在一定程度上抵御现实世界中网络攻击的所有因素。

渗透测试人员、红色团队和安全产品测试人员也可以使用 ATT&CK 来模拟真实的网络攻击。ATT&CK 可让模拟对手了解攻击情况,并采用与真实世界攻击者相同的战术和技术。

常见问题

MITRE ATT&CK 是什么意思?

ATT&CK 代表对抗性战术、技巧和常识。

什么是 MITRE ATT&CK 框架?

MITRE ATT&CK 是一个免费开放的网络攻击策略和相关信息的知识库,旨在帮助网络安全分析师和其他利益相关者深入了解网络威胁情报 (CTI),并促进有关进攻性和防御性网络安全的交流。

什么是 MITRE ATT&CK 矩阵?

MITRE ATT&CK 矩阵是一个攻击战术和技术的分级框架,由网络犯罪分子的个人目标和战略组成。有三个主要的 ATT&CK 矩阵,分别针对不同的环境:企业、移动和工业控制系统。

BlackBerry 网络安全在 MITRE ATT&CK 仿真中被证明 100% 有效

BlackBerry在 MITRE ATT&CK 2022 年的评估中,该公司的Cylance 网络安全解决方案套件在任何破坏发生之前,就已成功阻止了 Wizard Spider 和 Sandworm 攻击仿真。 

BlackBerry's CylancePROTECT®CylanceOPTICS®和 ® 解决方案提供了对单个攻击技术的高置信度综合检测,有助于减少因误报而浪费的资源。

了解更多

相关资源:

资源图标 数据丢失防护(DLP) 资源图标 端点安全 资源图标 端点防护平台(EPP) 资源图标 端点检测和响应 (EDR) 资源图标 扩展检测和响应 (XDR) 资源图标 身份和访问管理(IAM) 资源图标 托管检测和响应 资源图标 托管 XDR 资源图标 MITRE ATT&CK 框架 资源图标 移动威胁防御(MTD) 资源图标 用户和实体行为分析 (UEBA) 资源图标 零信任架构 资源图标 零信任网络接入(ZTNA) 资源图标 零信任安全 资源图标 安全信息与事件管理(SIEM) 资源图标 安全接入服务边缘 (SASE)
更多资源