现今的网络威胁不断地演化,攻击的类型和数量每年都在急剧增长。越来越多的企业和组织发生了被黑客侵入的事件。

每当被入侵以后,组织或企业的安全管理员都会问,“攻击者是怎么进来的”?“他们又是怎么把计算机病毒从一台内网主机传播到另外一台的?”等类似的问题。组织或企业都希望理解更多和入侵相关的漏洞和攻击的技术,以便于事后去修复其网络安全基础设施中存在的问题。

MITRE ATT&CK框架旨在通过提供一种通用的攻击技术及其缓解方法的描述来帮助企业和组织回答这些问题。组织或企业可以利用MITRE ATT&CK框架来识别防御中的漏洞,并根据MITREATT&CK定义的风险等级,对修复工作进行优先级排序。

一、MITRE ATT&CK框架介绍

MITRE ATT&CK框架是一个攻击行为和分类的知识库。它比较全面地覆盖了已知地的攻击行为。该框架是开放的,任何个人或组织都可以免费使用;因此,它吸引了大批受众一起研究更有效的网络安全解决办法。很多网络安全厂商将MITRE ATT&CK框架集成到他们的网络防御产品中,包括SIEM、EDR、沙箱等产品。

针对企业的ATT&CK矩阵将攻击行为分为14大战术(tactics):

● 侦察

● 工具开发

● 初始访问

● 执行

● 驻留

● 权限提升

● 防御规避

● 凭证获取

● 探索发现

● 横向运动

● 收集信息

● 命令与控制

● 数据渗漏

● 影响

每个战术包含多种防御和缓解技术,其中大多数还包括子技术。将网络中看到的威胁与ATT&CK框架进行映射后,运维人员可以更方面通过优化他们的安全解决方案来防御这些威胁,减缓其带来的影响。

二、沙箱集成MITRE ATT&CK框架

很多沙箱产品集成MITRE ATT&CK框架。沙箱让恶意软件在受限的虚拟环境下运行。理想情况下,沙箱可以捕获到恶意软件在整个攻击生命周期中的各种攻击技术。

MITREATT&CK框架可以帮助沙箱用户更好地识别恶意软件的攻击行为,包括恶意软件可能组合使用了一些特定技术。

案例1:隐匿技术

例如,沙箱捕获了修改ntdll.dll模块内存的行为。之前,沙箱将此行为描述为“修改内存中的DLLs(ntdll.dll)文件”

然而,这种描述方式并不是很容易被用户理解。映射到MITRE ATT&CK矩阵的战术和技术后, MITRE ATT&CK知识库中将其描述为“防御规避”和“Rootkit”。通过这种映射,攻击行为变得更容易理解和识别了。

在ATT&CK数据库中,你可以向下滚动到防御规避(the Defense Evasion)列的恶意程式使用隐匿技术(Rootkit technique)。搜索此链接(https://attack.mitre.org/techniques/T1014/),您将看到应用此技术的威胁示例,及其威胁缓解和检测技术的列表。

案例2:软件加壳

让我们看另一个例子。沙箱发现一个恶意软件试图改写内存中已存在的PE映像文件。沙箱将这种行为描述为“改写映像文件头部数据”。然而,这也不容易被理解。

将这种行为映射为MITRE ATT&CK的战术和技术后,该攻击行为将被描述为“防御规避”,采用“文件或信息混淆”的技术和“软件加壳”的子技术。与前面一样,子技术页面提供了大量关于威胁示例、威胁缓解和检测技术的信息。

正如这些例子所示,MITRE ATT&CK框架帮助管理员将沙箱日志转换为可操作的策略,以防范恶意软件的攻击行为。

山石网科智能内网威胁感知系统山石智·感(BDS),入侵防护系统(NIPS),和下一代防火墙(NGFW)均包含云沙箱功能。山石网科的云沙箱服务山石云影,是一个高级威胁检测平台,它可提供模拟执行环境并分析与恶意文件有关的所有活动,有效识别高级威胁,同时协作BDS,NIPS和NGFW产品提供更加完善的解决方案。    

如果您需要帮助,或想了解更多山石网科和ATT&CK如何帮助您的组织有效防护网络攻击,请与我们联系:400-828-6655。

硅谷来信丨一招阻击恶意软件攻击:沙箱集成MITRE ATTCK攻击框架相关推荐

  1. 阻击恶意软件--清除和保护你的网站的小技巧

    译自:StopBadware.org: Tips for cleaning & Securing Your Website 译者按: StopBadware.org是一个独立于Google的致 ...

  2. 记录-吴军《硅谷来信》有感

    吴军老师的<硅谷来信>对我的人生产生了极大的影响,今日突然想总结下这几年的实践结果,在此记录. 1.洋枪洋炮对大刀长矛思维的应用: 颠覆性的东西往往能够颠覆人的认知,例如八国联军利用工业化 ...

  3. 恶意软件Shamoon将文档变成攻击武器

    本文讲的是恶意软件Shamoon将文档变成攻击武器,IBM X-Force 事件响应与情报服务(IRIS)团队:臭名昭著的磁盘清除恶意软件Shamoon,利用启用宏的文档和PowerShell脚本感染 ...

  4. 听完“硅谷来信”的感受

    缘起 第一次听说吴军老师,是通过那本著名的<数学之美>.这本书简直可以说给我打开了新世界的大门:原来数学与计算机的结合可以产生如此美妙的化学反应!后来利用假期时间,我又陆陆续续看完了< ...

  5. 吴军,硅谷来信3,42,能否快速上手来判断一项技能是否适合自己?

    这里是吴军的<硅谷来信>第3季,又到了我们专栏的周末问答时间.这次回答三个问题,主要和自我成长.中学学习以及双减之后孩子的教育有关. 1 吴军老师,看完这封信,我是否可以理解"无 ...

  6. 吴军硅谷来信-工作效率篇+职业发展

    吴军的硅谷来信工作效率篇 不做伪工作者 问题 每天要做的事太多,总是忙不过来, 而且还因此而产生焦虑 互联网是一个迭代的过程,新问题不断的涌现,不存在清空列队的可能性 观点 不应该追求完成了百分之几/ ...

  7. 吴军--硅谷来信心得

    最近在得到专栏,订阅了吴军的硅谷来信和谷歌方法论,收获颇丰,除了对计算机行业的认识发生了改变,很多看问题的角度也发生了改变. 计算机工程化的思维 做事情粗调与精调 模块化的思想 等价性的思想

  8. 吴军《硅谷来信》思维导图笔记 - 工作篇

    2017年,在前公司领导技术经理刘总的推荐下,在得到App上订阅了吴军老师的<硅谷来信>,从此每天刷牙洗脸的时间就开始听吴军老师在大洋彼岸寄来的信件了.整个来信涵盖了职业发展.工作效率.业 ...

  9. 吴军《硅谷来信》工作篇学习总结

    [学习总结]| 作者 / Edison Zhou 这是恰童鞋骚年的第215篇原创文章 2018年在得到App上订阅了吴军老师的<硅谷来信>,从此每天的碎片时间就开始听吴军老师在大洋彼岸寄来 ...

最新文章

  1. JDK源码研究Jstack,JMap,threaddump,dumpheap的原理
  2. 比特币钱包(2) BIP32 HD钱包之生成子密钥
  3. halcon学习笔记——(1)单摄像机标定
  4. Python字节到大整数的打包与解包
  5. 使用行动列表去创造简单且可扩展的游戏AI
  6. android sqlite 查询时间,android – sqlite日期查询
  7. Ubuntu下安装Gerrit
  8. flink 三种时间机制_Flink时间系列:Event Time下如何处理迟到数据
  9. linux中求当前时间gettime,linux – 你如何在shell中获得clock_gettime(2)时钟?
  10. android之uniapp原生打包
  11. 使用directx修复工具解决缺少msvcp100.dll和运行库解决方法
  12. 【Android-File】Android文件的读写
  13. Flink中的Window计算-增量计算全量计算
  14. 黑客是什么?揭开郭盛华的神秘面纱,讲解他不为人知传奇故事
  15. 广西壮族自治区公安厅信息中心异地容灾系统(三期)项目招标
  16. 【新闻文本分类】(task4)使用gensim训练word2vec
  17. AJPFX平台:01.14日内交易策略
  18. 联想Y400怎么样在插入鼠标时自动禁用触摸板
  19. 华为云+AI+5G,点燃2020政企智能升级
  20. 洛谷P1088 火星人

热门文章

  1. 编程大佬是否能记住代码?
  2. 《宝塔面板教程5》:如何上传网站程序安装自己的网站
  3. SPHINX-孤立词语音识别
  4. CSS3 过渡-盒子切换之鼠标经过背景高亮
  5. 【行空板教程】写字板
  6. poj 3208 Apocalypse Someday(数位dp)
  7. 大数据早报:百度开源移动端深度学习框架 中国联通成立大数据公司(9.26)
  8. 互联网日报 | 华为云年交易额超10亿元;恒大汽车拟申请科创板上市;李彦宏创立生命科学公司“百图生科”...
  9. IOS 中视频和音乐合成
  10. vue3.0 引入i18n 做国际化 - 做动态语言切换