MITRE ATT&CK评估
MITRE公司是美国一家技术创新导向的非盈利公司多年来一直在为美国军方做威胁建模,其于2015年发布了ATT&CKQ矩阵。此后,几乎所有的安全社区与红蓝对抗场景都使用ATT&CK来进行练习、测试和评估,以得出网络安全覆盖和产品功能方面的不足之处。ATT&CK矩阵对测试是大有益处的,其使用已知的威胁进行测试,并提供一个可视化的计分卡来量化评估结果。
ATT&CK
ATT&CK的全称是Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。
从视觉角度来看,MITRE ATT&CK矩阵按照一种容易理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部,每列下面列出了单独的技术。一个攻击序列按照战术,至少包含一个技术,并且通过从左侧(初始访问)向右侧(影响)移动,就构建了一个完整的攻击序列。一种战术可能使用多种技术。
ATT&CK 导航工具是一个很有用的工具,可用于映射针对ATT&CK技术的控制措施。可以添加不同的层,来显示特定的检测控制措施、预防控制措施甚至观察到的行为。导航工具可以在线使用,快速搭建模型或场景,也可以下载下来,进行内部设置,作为一个持久化的解决方案。
无论是否是非盈利公司,几乎都将ATT&CK视为一种识别安全工具量化效益的方式。这些公司要求供应商将他们的产品能力使用ATT&CK映射结果进行比较,同时供应商也使用ATT&CK映射作为一种比较产品能力的通用标准。
为了进行评估,MITRE公司会使用信用记录良好的APT组(主要是APT3、APT29等),创建一系列技术链,根据APT组的活动和特征来显示逻辑攻击的执行情况。之后采用一个红队来评估每个供应商的解决方案,使用APT配置文件来确定每个供应商在检测组面前的表现是什么水平。
APT29评估
APT29是一个被安全界归于俄罗斯政府情报组织的黑客组织,据公开资料显示,APT29的主要攻击目标为美国和东欧的一些国家,攻击目的是为了获取国家机密和相关政治利益,包括但不限于政党内机密文件,操控选举等。据分析,该组织一般通过一系列恶意软件来实现安全攻击,经常通过定制编译的二进制文件和其他方法来实现目标的执行方法,如PowerShell和WMI等,许多组件均通过伪造的Intel和AMD数字证书进行签名。它还会根据受害者的攻击价值和感染方法,采用不同的攻击方式(暴力破解或者缓慢渗透)。
总结
MITRE公司并不根据ATT&CK测试得出任何结论,评估也不是为了给产品提高竞争性。事实上,它不给任何参与者评分、排名,而是仅公开展示每个供应商如何处理威胁检测的数据。官方给出的ATT&CK的用途是:提升检测、评估与工程化、威胁情报与APT模拟。因此,任何人都可以使用这些数据来进行技术研究、产品比对、安全审查或其他用途。
来源:freebuf.com 2020-09-09 15:10:49 by: 黑豹cyd0
请登录后发表评论
注册