MITRE ATT&CK(对抗性战术、技术和常识)是 MITRE 公司于 2018 年首次发布的一个免费开放的网络安全信息知识库。ATT&CK 旨在帮助网络安全分析师和其他利益相关者获得网络威胁情报(CTI)见解,以规划和设计网络安全计划,并通过提供通用网络安全参考词汇促进交流。
MITRE ATT&CK 采用战术、技术和程序 (TTP) 的视角,将网络安全知识组织成一个层次分明的框架。每个战术都包含多个技术,每个技术都定义了实现战术目标的战略方法。ATT&CK 框架的最底层包括每种技术的详细程序,如工具、协议和实际网络攻击中观察到的恶意软件菌株。ATT&CK 的最底层信息包括相关知识,如已知哪些敌对组织使用每种技术。
MITRE ATT&CK 战术
- 侦察(企业、ICS)
- 资源开发(企业、ICS)
- 初始访问
- 执行
- 坚持不懈
- 权限升级
- 防御回避
- 凭证访问(企业、移动)
- 发现
- 横向运动
- 收藏品
- 指挥与控制
- 渗透(企业、移动)
- 影响
- 网络效应(仅限手机)
- 网络服务效果(仅限手机)
- 抑制响应功能(仅限 ICS)
- 损害过程控制(仅限 ICS)
MITRE ATT&CK 与网络杀伤链的区别
网络杀伤链 "与 MITRE ATT&CK 框架有本质区别,因为它声称所有网络攻击都必须遵循特定的攻击战术序列才能取得成功--MITRE ATT&CK 并没有这样的说法。网络杀伤链 "是网络攻击各阶段的基本序列,与一般防御安全公理相结合,即 "破坏""杀伤链 "的任何阶段都将阻止攻击者成功实现其目标。
MITRE ATT&CK 不仅仅是一系列攻击战术。它是一个深度知识库,按照战术、技术、程序和其他常识(如归属于特定敌对团体)的层次,将特定环境下的网络安全信息关联起来。
哪个更好?MITRE ATT&CK 还是 Cyber Kill Chain?
作为对网络攻击行为的基本介绍,"网络杀人链 "的简洁性提供了对网络攻击过程的基础性理解,不应该让新学习者感到不知所措。但是,它在这方面的优势也是它在另一方面的弱点,因为它无法深入揭示攻击者的程序,从而限制了它的实用性。
此外,"网络杀伤链 "经常被批评为只关注外围安全,其核心公理--防止攻击者攻击过程中的一个阶段就能使攻击失效--是否是一种现实的网络安全方法还值得商榷。以风险为导向的实用网络安全方法要求根据背景风险应用资源;试图通过优先考虑攻击的早期阶段来防止安全漏洞的方法是不够的。
MITRE ATT&CK 框架代表了一个更全面的恶意行为库(TTP 和常识),并提供了一个更深入的可操作网络威胁情报 (CTI) 库。由于 ATT&CK 是一个全面的网络攻击信息知识库,因此它可以作为攻击者方法和目标的核对表,证明安全控制措施的合理性,并确保这些控制措施是全面的,能在一定程度上抵御现实世界网络攻击的各个方面。
ATT&CK 对威胁猎手、红队人员以及设计和实施安全策略和控制的人员(如安全和网络架构师和管理员)更有帮助。它还可以通过提供一套更全面的术语和定义,使利益相关者之间的网络安全交流正常化。
BlackBerry在 MITRE ATT&CK 2022 年的评估中,该公司的Cylance 网络安全解决方案套件在任何破坏发生之前,就已成功阻止了 Wizard Spider 和 Sandworm 攻击仿真。
BlackBerry's CylancePROTECT®和 CylanceOPTICS®和 ® 解决方案提供了对单个攻击技术的高置信度综合检测,有助于减少因误报而浪费的资源。
