MITRE ATT&CK 框架 (MITRE ATT&CK) 是一个可普遍访问且持续更新的知识库,用于根据网络犯罪分子的已知对抗行为模拟、检测、防范和打击网络安全威胁。(MITRE ATT&CK 中的 ATT&CK 表示对抗策略、技术和常识。)
MITRE ATT&CK 将网络攻击生命周期的每个阶段的网络犯罪分子策略、技术和程序 (TTP) 编入目录,包括攻击者的最初信息收集和计划行为以及最终执行攻击。MITRE ATT&CK 中的信息可以帮助安全团队
准确模拟网络攻击以测试网络防御
制订更有效的安全策略、安全控制和事件响应计划
选择和配置安全技术,以更好地检测、防范和缓解网络威胁
此外,MITRE ATT&CK 对对手策略、技术和子技术进行分类(见下文)以确定一种通用语言,安全专业人员可以使用该语言分享有关网络威胁的信息,以及在威胁防范方面进行协作。
MITRE ATT&CK 本身并不是软件。但很多企业安全软件解决方案可以集成 MITRE ATT&CK 的威胁信息,以更新他们的威胁信息并提升威胁检测和响应能力,这些解决方案包括用户和实体行为分析 (UEBA)、扩展检测和响应 (XDR)、安全编排、自动化和响应 (SOAR) 以及安全信息和事件管理 (SIEM) 等。
MITRE ATT&CK 由非营利组织 MITRE Corporation 开发,并由 MITRE 根据全球网络安全专业人员社区的意见进行维护。
MITRE ATT&CK 将对手策略和技术(和子技术)划分到一些矩阵中。每个矩阵包含的策略和技术与针对特定领域的攻击相对应:
企业矩阵包含在针对企业基础架构的攻击中使用的所有对手技术。该矩阵包括 Windows、MacOS 和 Linux 平台以及网络基础架构、云平台和容器技术的子矩阵。它还包括在攻击之前使用的准备技术的准备矩阵。
移动矩阵包含在针对移动设备的直接攻击中使用的技术,以及在不需要访问移动设备的基于网络的移动攻击中使用的技术。该矩阵包括 iOS 和 Android 移动平台的子矩阵。
ICX 矩阵包含针对工业控制系统的攻击中使用的技术,特别是用于控制或自动化工厂、公用事业、交通系统和其他关键服务提供商运营的机械、设备、传感器和网络。
每个 MITRE ATT&CK 策略表示特定的对抗目标,即,攻击者希望在特定时间实现的目标。ATT&CK 策略与网络攻击阶段密切相关。例如,企业矩阵涵盖的 ATT&CK 策略包括:
搜索:收集信息以计划攻击
资源开发:获取资源以支持攻击行动
初始访问:渗透目标系统或网络
执行:在入侵的系统上运行恶意软件或恶意代码
持久性:保持访问入侵的系统(在关闭或重新配置时)
特权升级:获得更高级别的权限或访问权限(例如,从用户访问权限升级到管理员访问权限)
防御规避:在进入系统后规避检测
凭证访问:窃取用户名、密码和其他登录凭证
发现:研究目标环境,从而了解可以访问或控制哪些资源以支持计划的攻击
横向移动:访问系统中的其他资源
收集:收集与攻击目标相关的数据(例如,勒索软件攻击期间加密和/或泄露的数据)
指挥和控制:建立隐蔽/检测不到的通信,以使攻击者能够控制系统
泄露:从系统中窃取数据
影响:中断、损坏、禁用或破坏数据或业务流程。
同样,策略和技术因矩阵(和子矩阵)而异。例如,移动矩阵不包含搜索和资源开发策略,但包含企业矩阵中没有的其他策略(网络影响和远程服务影响)。
如果 MITRE ATT&CK 策略表示攻击者要实现的目标,则 MITRE ATT&CK 技术表示他们如何尝试实现该目标。例如,偷渡式入侵和鱼叉式网络钓鱼是初始访问技术类型;使用无文件存储是一个防御规避技术例子。
知识库为每种技术提供以下信息:
该技术的描述和概述。
与该技术相关的任何已知子技术。例如,网络钓鱼的子技术包括鱼叉式网络钓鱼附件、鱼叉式网络钓鱼链接以及通过服务的鱼叉式网络钓鱼。在撰写本文时,MITRE ATT&CK 记录了 196 种单独的技术以及 411 种子技术。
相关的程序示例。这些程序可能包括攻击团伙使用该技术的方式,或者用于执行该技术的恶意软件类型。
缓解措施 - 可以阻止或应对该技术的安全做法(例如用户培训)或软件(例如防病毒软件、入侵防御系统)。
检测方法。通常,这些是安全团队或安全软件可以监视的日志数据或系统数据源,从而收集该技术的证据。
MITRE ATT&CK 提供了一些其他方法以查看和使用知识库。用户可以根据以下内容研究特定的策略和技术,而不是通过矩阵进行研究:
数据源 - 安全团队或安全软件可以监视的所有日志数据或系统数据源和数据组件的索引,从而收集尝试使用的攻击技术的证据。
缓解措施 - 知识库中引用的所有缓解措施的索引。用户可以深入了解特定缓解措施应对哪些技术。
团伙 - 对手团伙及其使用的攻击策略和技术的索引。在撰写本文时,MITRE ATT&CK 记录了 138 个团伙。
软件 - 攻击者可用来执行特定技术的恶意软件或服务(撰写本文时为 740 个)的索引。
活动 - 实质上是网络攻击或网络间谍活动的数据库,包括有关发起这些活动的团伙以及使用的任何技术和软件的信息。
MITRE ATT&CK Navigator 是一款开源工具,用于搜索、筛选、注释和呈现知识库中的数据。安全团队可以使用 MITRE ATT&CK Navigator 快速识别和比较特定威胁团伙使用的策略和技术,识别用于执行特定技术的软件,将缓解措施与特定技术相匹配,等等。
ATT&CK Navigator 可以使用 JSON、Excel 或 SVG 图形格式导出结果(用于演示)。安全团队可以在线使用该结果(托管在 GitHub 上),或者将其下载到本地计算机中。
MITRE ATT&CK 支持一些活动和技术,组织使用这些活动和技术优化其安全运营并改善整体安全状况。
警报分类;威胁检测和响应。要筛选典型企业网络上的软件和设备生成的大量安全相关警报并确定其优先级,MITRE ATT&CK 中的信息是非常有价值的。事实上,很多企业安全解决方案可以从 MITRE ATT&CK 中获取信息,使用该信息对警报进行分类,丰富来自其他来源的网络威胁情报,以及触发事件响应运行手册或自动威胁响应,这些解决方案包括 SIEM(安全信息和事件管理)、UEBA(用户和实体行为分析)、EDR(端点检测和响应)和 XDR(扩展检测和响应)。
威胁搜寻。威胁搜寻是一项主动的安全活动,在该活动中,安全分析师在其网络中搜索已绕过现有网络安全措施的威胁。有关对手策略、技术和程序的 MITRE ATT&CK 信息为开始或继续搜寻威胁提供了数百个搜寻点。
红队/对手模拟。安全团队可以使用 MITRE ATT&CK 中的信息模拟实际网络攻击。这些模拟可以测试现有安全策略、做法和解决方案的有效性,并帮助识别需要消除的漏洞。
安全差距分析和 SOC 成熟度评估。安全差距分析将组织的现有网络安全做法和技术与当前的行业标准进行比较。SOC 成熟度评估根据以下条件评估组织的安全运营中心 (SOC) 的成熟度:在极少进行人工干预或不进行人工干预的情况下,SOC 能否持续阻止或缓解网络威胁或网络攻击。在每种情况下,MITRE ATT&CK 数据可以帮助组织使用有关网络威胁策略、技术和缓解措施的最新数据进行这些评估。
与 MITRE ATT&CK 一样,洛克希德·马丁公司的网络杀伤链将网络攻击作为一系列对抗策略进行模拟。有些策略甚至具有相同的名称。但相似之处仅限于此。
网络杀伤链与其说是一个知识库,还不如说是一个描述性框架。它的详细程度远不如 MITRE ATT&CK。与 MITRE ATT&CK 的 18 种策略(包括仅限移动的策略和仅限 ICS 的策略)相比,它仅涵盖七 (7) 种策略,即,搜索、武器构建、载荷投送、漏洞利用、安装、指挥和控制、目标行动。它没有为针对移动或 ICS 平台的攻击提供离散模型。它编入目录的内容也没有 MITRE ATT&CK 中的策略、技术和程序信息那么详尽。
另一个重要区别是,网络杀伤链基于以下假设:任何网络攻击必须依次完成对抗策略才能获得成功,阻止任一策略都会“中断杀伤链”并阻止对手实现其最终目标。MITRE ATT&CK 并不采用这种方法;它专注于帮助安全专业人员在遇到任何情况时识别并阻止或缓解各种对抗策略和技术。
利用互联的现代化安全套件挫败攻击QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品具有相同的用户界面、共享的见解和互联的工作流程。
主动搜寻威胁、持续监控和深入调查威胁只是本就非常繁忙的 IT 部门面临的几个优先事项。拥有一支随时待命且值得信赖的事件响应团队可以减少您的响应时间,最大限度减少网络攻击造成的影响,并帮助您更快地进行恢复。
IBM 借助从以下内容获得的见解,从容防范和抵御现代勒索软件的威胁:800TB 的威胁活动数据、超过 1,700 万次垃圾邮件和网络钓鱼攻击的信息以及包含 2.7 亿个端点的网络中的近 100 万个恶意 IP 地址的声誉数据。