基于ATT&CK提高安全检测能力的开发实践

发布时间：2021-11-13 13:14 所属栏目：53 来源：互联网

导读：ATTCK是一个基于黑客攻击实战结果建立的网络攻击战术和技术的知识体系，它描述了网络攻击的行为模型，反映出整个攻击周期的各个阶段。 ATTCK包含三个核心部分，即战术、技术和过程(TTPs)，战术表示攻击者的目标，技术表示攻击者达成战术目标的方法与手段，过

ATT&CK是一个基于黑客攻击实战结果建立的网络攻击战术和技术的知识体系，它描述了网络攻击的行为模型，反映出整个攻击周期的各个阶段。

ATT&CK包含三个核心部分，即战术、技术和过程(TTPs)，战术表示攻击者的目标，技术表示攻击者达成战术目标的方法与手段，过程显示攻击者如何执行某项技术。今年7月，技术中新增了“子技术”概念，表示比技术低一级别、达成目标的特定方法。

上图的表格里共有12个战术目标、156项技术和272项子技术。随着人工智能、机器学习等新技术的发展，ATT&CK会越来越庞杂。

这是著名的痛苦金字塔，每一层表示不同类型的攻击指标。它可以用来检测攻击活动与指标之间的关系，以及拒绝这些指标时给攻击者带来的痛苦程度。越接近金字塔尖，攻击者的痛苦指数越大。

最顶层的TTPs反映了攻击者的行为，调整TTPs需要付出很高的时间和金钱成本。当我们在这一级别检测和响应时，就是在直接操作攻击者的行为，而不是针对他们的工具。利用ATT&CK检测攻击者的行为习惯，迫使他们重新学习训练新的行为，能够极大提高攻击门槛。

总体来说，ATT&CK模型是在洛马公司提出的KillChain模型的基础上，构建的一套更细粒度、更易共享的知识模型和框架。

从上图可以看出，PRE-ATT&CK覆盖了侦查跟踪和武器构建两个阶段。攻击者进行攻击之前，必须先侦查网络，根据特定环境定制对应的武器。Enterprise ATT&CK覆盖了载荷投递、漏洞利用、安装植入、命令与控制和目标达成五个阶段，主要关注攻击者怎样入侵网络及入侵后他们会做什么。

以往，业界关注较多的是边界防护，认为只要在边界部署防火墙就可以阻止攻击者的进入。但随着物联网、工业互联网、云计算的发展，更进一步打破了物理边界的概念。我们需要监控并检测攻击过程的整个生命周期，甚至假设攻击者已经入侵内部网络。

ATT&CK有哪些具体的应用场景?我们可以怎样更好地在各个场景中使用它呢?

第一个场景是攻击模拟，可用于验证对特定攻击的检测能力。ATT&CK作为工具来创造攻击场景，以测试和验证对通用攻击技术的防御能力。

第二个是红队/渗透测试，用ATT&CK作为攻击来设计红队计划，以及在操作过程中避过安全监控和防御措施。

第三个是威胁情报增强，ATT&CK有助于从行为角度理解和记录攻击者的策略，防御者更容易获取共有的威胁行为特征。

（编辑：ASP站长网）

基于ATT&amp;CK提高安全检测能力的开发实践

基于ATT&CK提高安全检测能力的开发实践