ATTCK(对抗性战术,技术和公共知识库)
1.网络攻击前沿:ATT&CK 模型一览:https://zhuanlan.zhihu.com/p/92581688
1.MITRE公司简介
来源文章:https://zhuanlan.zhihu.com/p/162799295
MITRE公司提出ATT&CK攻击框架,引领全球网络安全攻防潮流。然而MITRE并不是一家严格意义上的网络安全公司,网络安全仅仅是“业余爱好”。
Mitre的总部设在弗吉尼亚州麦克莱恩山顶的四座塔楼中,其研究中心聘用了一些美国领先的计算机科学家和工程师,为美国顶尖的军事安全和情报组织开发数字工具。Mitre Corp.经营着美国政府一些最隐秘低调的科学技术实验室,研发领域涵盖先进航空系统、企业现代化技术、司法工程、医疗保健、国家网络安全等,这些实验室和工程中心类似电影《007》中的M16实验室,负责研发最先进的数字武器。
2. ATT&CK
来源文章:https://www.freebuf.com/articles/network/254613.html
ATT&CK是由MITRE机构开发的攻击模型框架,全称为Adversarial Tactics, Techniques, and Common Knowledge(对抗性战术,技术和知识库),是一个基于现实世界所观察到的攻击向量所组成的一个公开的对抗性战术和技术知识库,可被用于私营机构,政府部门,网络安全产品和服务社区,作为特定威胁模型和方法开发的基础。
2.1 为什么要学习使用这一框架
在当今复杂的网络环境中,各种攻击技术与防御技术迭代而生,互相博弈,而这也逐渐显露出了两方面的问题。
首先,单一的攻击手段逐渐已经失去了有效性。在实际的生产应用环境中,基本已经很难利用某一基础通用漏洞对重要的业务资产产生影响,大多数企业已经初具安全意识,这当然是一个非常好的发展趋势,但这却在无形中增加了信息安全人才培养的难度。信安作为计算机中的一个特殊分支,学习的内容广而杂,非常容易迷失方向。而传统的基于目标实践的培养方式在过去很好的激发了一代又一代网安人的成长,他们常常利用所学到的为数不多的知识就能发动一次有效的攻击(比如曾经的SQL漏洞满天飞,3389跑远控,MSF打内网),而这对于现阶段的网络环境已经变得不切实际了。因此非常需要这样一个类似于指导方案的框架出现,使学习者能够明白学习目标是什么,所需的知识是什么,而ATT&CK框架正是提供了一个这样的索引,系统归纳总结了攻击路径中的各个宏观结构以及技术细节,具有很强的学习意义。
另一方面,现如今大量的APT攻击层出不穷,数据泄露事件频发,各类恶意软件大肆横行,企业与机构在这样的态势下越发显得疲于应对。而ATT&CK的出现正有利于这一问题的解决,通过从宏观到微观的角度,使用通用语言对各种攻击环节与行为进行具体描述,方便企业与机构据此对自身资产进行一个完整有效的安全评估,隔绝各种可能的入侵风险,这对于整个信息产业的发展都起着弥足轻重的作用。
同时,最近威胁情报这一概念也逐渐进入了人们的视野,ATT&CK通过使用定义结构化语言也为动态情报系统的发展奠定了基础,更多的相关内容可以查看文中的应用方向章节。
Mitre 官方由抽象层次高低举例了三种网络攻击模型:
高抽象模型:Lockheed Martin 的 Cyber Kill Chain 模型、Microsft 的 STRIDE 模型等
中抽象模型:Mitre 的 ATT&CK 模型
低抽象模型:漏洞数据集、恶意软件数据集等
高抽象模型普遍对网络攻击的抽象程度较高,无法更好地服务与 EDR 所需要的“探测”和“响应”的要求,无法形成正对性的指导。以 Cyber Kill Chain 模型为例,其将攻击行为拆解为:Reconnaissance(侦查)→Weaponization(武器化)→ Delivery(传输)→Exploitation(挖掘)→ Installation(植入)→ C2 : Command & Control(命令和控制)→ Actions on Objectives(操作目标)。这一模型对于高纬度理解网络攻击有一定意义,但无法形成有效的攻击路线,无法说明每一次攻击行为之间的联系。
低抽象模型由于太注重于细枝末节,如漏洞数据集、恶意软件数据集等,反而无法看透攻击者的攻击目的和攻击全貌。所谓“管中窥豹,可见一斑”。
Mitre 对网络攻击进行了一个中等级别的抽象,让 ATT&CK 模型能够更好地服务于以下方面的问题:
每次攻击行为之间的联系
连续的攻击行为背后的攻击目标
每次攻击行为如何与数据源、防御、配置和其他被用在一个平台/技术域之间的措施想联系。
v8版本 在最新的v8版本中发生的变动还是比较大的,ATT&CK变更为了3大类,PRE-ATT&CK 被合并到了ATT&CK for
Enterprise中,具体内容为:ATT&CK for Enterprise 针对企业的攻击链
ATT&CK for Mobile 针对移动平台的攻击链
ATT&CK for Industrial Control Systems 针对工控系统的攻击链
其中的许多战术名称也发生了变化,其详细内容在后文中介绍
想查看更多历史版本的相关信息可以查看此网页:https://attack.mitre.org/resources/versions/
ATTCK(对抗性战术,技术和公共知识库)相关推荐
- 爬虫技术实战 | WooYun知识库
爬虫技术实战 | WooYun知识库 爬虫技术实战 大数据分析与机器学习领域Python兵器谱-大数据邦-微头条(wtoutiao.com) 大数据分析与机器学习领域Python兵器谱
- 工业和信息化部办公厅关于公布2021年产业技术基础公共服务平台复核结果的通知
工业和信息化部办公厅关于公布2021年产业技术基础公共服务平台复核结果的通知 人工智能技术与咨询 工业和信息化部办公厅关于公布2021年产业技术基础公共服务平台复核结果的通知 工信厅科函[2021]2 ...
- 谈谈如何构建技术部门的知识库
谈谈如何构建技术部门的知识库 [作者]反骨仔 [原文]http://www.cnblogs.com/liqingwen/p/5971863.html 随着员工的退休和离职,他们手头上很多的工作资料就跟 ...
- 三维视频融合技术.在公共安全领域中的应用
北京安全技术学会.2017年学术月研讨会 (三维视频融合技术.在公共安全领域中的应用) 11月9日,北京安全技术学会2017年学术月研讨会--"三维视频融合技术在公共安全领域中的应用&quo ...
- 爬虫技术浅析 | WooYun知识库
爬虫技术浅析 | WooYun知识库 爬虫技术浅析 | WooYun知识库 爬虫技术浅析 好房通ERP | 房产中介软件最高水准领导者 undefined posted on 2015-06-22 2 ...
- AI赋能下的声纹识别技术在公共安全领域的深度应用
佳都新太科技股份有限公司 徐建明 1.声纹识别在公共安全领域的应用现状 生物特征是指每个个体所独有的.可以通过技术有效测量.甄别.鉴定与验证的某类生理上的特征或行为上的方式.从生物特征的来源进行区分, ...
- 差分GPS技术消除公共误差原理
差分GPS(DGPS)原理 根据差分GPS基准站发送的信息方式可将差分GPS定位分为三类,即:位置差分.伪距差分和相位差分.这三类差分方式的工作原理是相同的,即都是由基准站发送改正数,由用户站接收并对 ...
- 2017年DARPA战术技术办公室重点关注领域
本文摘自:王璐菲.DARPA战略技术办公室重点关注领域[J].防务视点,2017,000(010):P.62-62 URL:https://www.zhangqiaokeyan.com/academi ...
- JVM编译优化技术:公共子表达式消除。
语言无关的经典优化技术之一:公共子表达式消除. 公共子表达式消除是一个普遍应用于各种编译器的经典优化技术,他的含义是:如果一个表达式E已经计算过了,并且从先前的计算到现在E中所有变量的值都没有发生变化 ...
最新文章
- k8s服务网关ambassador部署
- 如何把HTML转换成动图,html5实现图片转圈的动画效果——让页面动起来
- linux mysql主从配置_linux下mysql主从配置
- 简单实现顶部固定,中部自适应布局
- HH SaaS电商系统的出库功能模块设计
- C#中struct和class的区别详解
- Java内部类是什么?
- zend反编译-dezender 使用
- html5坦克游戏ppt说明,HTML5制作的坦克游戏
- Java web 实战项目案例
- ie升级后必须重启计算机吗,微软迟到的补丁:升级到IE9将无需重启计算机
- word文本框文字垂直居中_如何在Microsoft Word中的页面上垂直居中放置文本
- Python OOP 项目实践:烤地瓜,搬家具
- 我的世界java版刷雪球机,我的世界怎么无限得到雪球 刷雪球机介绍
- 微信小程序--行星轨迹
- c语言 文件读取z整行操作,C语言文件操作函数之ferror feof clearerr
- 汇编语言 贪吃蛇/鱼/变色/时间周期
- java 设计模式之: 建造模式(Builder)
- 鸿蒙开发板Hi3861模拟SPI驱动JLX12864_LCD(UC1701X)_基于code-2.0
- Jest encountered an unexpected token This usually means that you are trying to import a file which J