【网安】MITRE ATT&CK威胁框架

概述：ATT&CK 框架说明

相关链接

参考文章：

• 一文说清楚MITRE ATT&CK威胁框架 - 先知社区 - 阅力值 ⭐⭐⭐

MITRE

在说 ATT&CK 框架之前，还是先简单介绍一下开发和维护 ATT&CK 的 MITRE 公司。

MITRE（The MITRE Corporation）是一家非营利性的美国研究和技术组织，成立于1958年，最初从麻省理工学院林肯实验室分离出来。该组织在众多关键领域为美国政府提供系统工程、研究开发和信息技术支持服务，尤其以网络安全、国防技术、航空系统、医疗保健、生物识别技术和公共政策分析等方面的研究与应用闻名。

• 在网络安全领域，MITRE创建并维护了Common Vulnerabilities and Exposures (CVE) 编号系统，这是一个国际标准，用于标识已知的安全漏洞和 exp。
• MITRE还开发了ATT&CK（Adversarial Tactics, Techniques & Common Knowledge）框架，这是一种行业广泛采用的方法，用于描述对手在网络攻击中的战术、技术和过程（TTPs）

ATT&CK威胁框架

简介

ATT&CK 框架是由 MITRE 公司开发并维护的一个全球可访问的知识库，用于描述和分类网络攻击者的行为。其全称为 Adversarial Tactics, Techniques, and Common Knowledge，即对抗战术、技术和常识。该框架基于真实世界的攻击事件，以攻击者的视角构建，旨在帮助安全团队更好地理解和应对网络攻击。

官方网站：MITRE ATT&CK®

核心组成部分

• 战术（Tactics）：指攻击者想要实现的目标，例如初始访问、执行、持久化、权限提升、防御绕过、发现、横向移动、收集、命令与控制、影响等。
• 技术（Techniques）：展示了攻击者实现战术目标的具体方法和手段，如利用漏洞、钓鱼邮件、创建账号等。
• 子技术（Sub-techniques）：对技术的更具体或更低层次的描述，进一步细化了攻击行为。

技术领域

ATT&CK框架包含三个主要的技术领域：

• 企业（Enterprise）：涵盖传统企业IT网络和云服务。
• 移动（Mobile）：针对移动端设备。
• 工业控制系统（ICS）：用于工业控制系统。

应用场景

• 检测和分析：帮助网络防御者分析攻击者行为，检测对手使用的技术。
• 威胁情报：为分析人员提供通用语言，用于构建、比较、分析威胁情报。
• 对手仿真和红队行动：红队可使用该框架模拟特定威胁并规划行动。
• 提升安全运营成熟度：评估现有安全运营实践和技术措施，指导SOC成熟度评估，提高安全运营中心的成熟度。
• 威胁狩猎：为安全分析师提供已知技术，帮助确定狩猎范围、检测盲点、扩大狩猎范围等。
• 入侵和攻击模拟：借助BAS工具模拟攻击，全面了解整体安全性。

特点

• 基于真实观察数据：内容来源于真实世界的攻击事件。
• 公开免费、全球可访问：任何个人或组织均可免费使用。
• 提供通用语言：为蓝方和红队提供沟通交流的通用语言。
• 社区驱动发展：由社区共同参与更新和完善。