【转】ATT&CK模型解读
攻防最前线:ATT&CK模型解读 | 极牛网 (geeknb.com)
所谓 EDR 即 Endpoint Detection and Response (终端探测与响应)。EDR 和市场上常见的EPP( Endpoint Protection Platform)不同,EDR 更注重“探测”和“响应”。真实的网络攻击并不是一蹴而就的,往往伴随着多次不同的攻击,最后才能突破防御达成攻击目的。入侵一定会有痕迹,EDR 希望在最终灾难发生之前,通过对入侵方法的探测和及时高效的安全响应(警报、隔离等多种方式),将安全事故发生的几率降到最低。
谈起 EDR ,必然将谈起 Mitre公司所提出的 ATT&CK的概念,本文将简述 ATT&CK 知识。
Mitre 官方由抽象层次高低举例了三种网络攻击模型:
高抽象模型:Lockheed Martin 的 Cyber Kill Chain 模型、Microsft 的 STRIDE 模型等
中抽象模型:Mitre 的 ATT&CK 模型
低抽象模型:漏洞数据集、恶意软件数据集等
高抽象模型普遍对网络攻击的抽象程度较高,无法更好地服务与 EDR 所需要的“探测”和“响应”的要求,无法形成正对性的指导。以 Cyber Kill Chain 模型为例,其将攻击行为拆解为:Reconnaissance(侦查)→Weaponization(武器化)→ Delivery(传输)→Exploitation(挖掘)→ Installation(植入)→ C2 : Command & Control(命令和控制)→ Actions on Objectives(操作目标)。这一模型对于高纬度理解网络攻击有一定意义,但无法形成有效的攻击路线,无法说明每一次攻击行为之间的联系。
低抽象模型由于太注重于细枝末节,如漏洞数据集、恶意软件数据集等,反而无法看透攻击者的攻击目的和攻击全貌。所谓“管中窥豹,可见一斑”。
Mitre 对网络攻击进行了一个中等级别的抽象,让 ATT&CK 模型能够更好地服务于以下方面的问题:
每次攻击行为之间的联系连续的攻击行为背后的攻击目标每次攻击行为如何与数据源、防御、配置和其他被用在一个平台/技术域之间的措施想联系。
ATT&CK 的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。ATT&CK 模型初步分为了两个技术领域,分别是 Enterprise 和 Mobile,每个领域对应不同的平台。EDR 主要用于企业市场,其 ATT&CK 模型主要是围绕 ATT&CK Matrix for Enterprise( ATT&CK 矩阵)进行的。
我们可以看到,Enterprise 领域主要面向的平台为 Linux、MacOSI 和 Windows。
由 ATT&CK 模型的全称可以看出,ATT&CK模型主要围绕两个方面展开 —— Tactics(策略)和 Techniques(技术)。
ATT & CK Matrix for Enterprise 部分
ATT&CK 模型中有四个关键对象,除了 Tactics、Techniques 还有Groups 和 Software。
Tactics(ID:TAXXXX)
Tactics 被译做“攻击策略”可能更合适。它反映了网络攻击的基本策略。Mitre 将每种 Tactics 分配了 ID(以 TA 作为开头,后面接数字) ,方便信息安全工作者进行查询。
如,Initial Access(ID : TA 0001) 表示攻击者试图接入被攻击者的网络, Execution(ID : TA 0002)表示攻击者试图运行恶意代码。
Techniques(ID:TXXXX)
Techniques 即完成某个 Tactics(攻击策略)所涉及到的技术。Mitre 将每种 Technique 也分配了 ID(以 T 作为开头,后面接数字) 。每一种 Tactics 下有多种 Technique,每个 Technique 可以为多种 Tactics 服务。
如,Persistence(ID : TA 0003) 策略涉及到了Accessibility Features(ID : T1015) 、AppCert DLLs(ID : T1098) 和 AppInit DLLs(ID : T1103) 等多种 Technique。而 AppInit DLLs 这种技术又可以在 Privilege Escalation(ID : TA 0004) 策略中使用。
同样的 Technique 在多种 Tactics 中都可以看到。
ATT&CK 模型为特定的 Technique 对象提供了相关参数,如:Name、ID、Tactic 和 Description 等。方便更好的让 Technique 与 Tactics 等相联系。
例.Applnit DLLs 的参数
Group(ID:GXXXX)
Mitre 同样也整理了一些世界上著名的黑客组织(Groups),也提供了这些 Groups 的相关参数,包括 Group 的基本描述、别名、历史攻击所用到的技术及软件等。
参数:Name、ID、Aliases、Description、Alias Description、Techniques Used、Software。
94个Groups 部分列表
Software(ID:SXXXX)
Software即攻击者经常用的软件,包括工具、组件和恶意软件。其参数包括:Name、ID、Aliases、Type、Platform、Description、Alias Description、Techniques Used、Groups。
Software:cmd
对象联系 Relationships
根据 ATT&CK 模型给出的四个关键对象,这四个关键对象的关系可以用下图表示。
- Groups 用 Technique 和 Software 去完成 Tactic。
- Software 是实现 Technique 的手段。
ATT & CK Model Relationships
以 APT28 用 Mimikatz(一款windows密码抓取神器)和 Credential Dumping 技术去完成 Credential Access 的关系模型如下。
ATT & CK Model Relationships Example
ATT&CK 模型的使用
我们用 ATT&CK 模型干什么?Mitre 给出的答案如下:
- Detections and Analytics(检测和分析):帮助网络防御者开发分析程序,以检测对手使用的技术。
- Threat Intelligence(威胁情报):为分析人员提供了一种通用语言来构造,比较和分析威胁情报。
- Adversary Emulation and Red Teaming(攻击模拟):提供了一种通用语言和框架,攻击模拟团队可以使用该语言和框架来模拟特定威胁并计划其行动。
- Assessment and Engineering(评估与工程化):可用于评估组织的能力并推动工程决策。
总结
ATT&CK 模型主要整合了历史的黑客组织和攻击事件,以攻击策略为线索将不同攻击策略所对应的攻击技术和软件相联系。为信息安全从业者提供了一个可执行的中等抽象化的模型。
【转】ATT&CK模型解读相关推荐
- 「模型解读」从2D卷积到3D卷积,都有什么不一样
https://www.toutiao.com/a6711317983035130371/ 接着模型解读系列,在中国科幻作家刘慈欣的科幻小说<三体Ⅲ·死神永生>中,首次提出了降维打击这个概 ...
- 【分割模型解读】感受野与分辨率的控制术—空洞卷积
这是专栏<分割模型解读>的第3篇文章.在这里,我们将共同探索解决分割问题的主流网络结构和设计思想. 前两篇文章介绍了编解码分割结构,今天具体聊聊解码器中涉及到的空间分辨率恢复问题. 作者 ...
- 【模型解读】深度学习网络之Siamese Network网络
文章首发于微信公众号<有三AI> [模型解读]深度学习网络只能有一个输入吗 继续我们之前的专栏<模型解读>,今天说多输入网络,很久没写了因为实在是有更重要的事情. 平常我们所见 ...
- 【模型解读】浅析RNN到LSTM
卷积神经网络使用固定大小的矩阵作为输入(比如一张图片),然后输出一个固定大小的向量(比如不同分类的概率),适合于图像分类,目标检测,图像分割等.但是除了图像外,还有非常多的信息是非固定长度或者大小的, ...
- 【模型解读】从2D卷积到3D卷积,都有什么不一样
接着模型解读系列,在中国科幻作家刘慈欣的科幻小说<三体Ⅲ·死神永生>中,首次提出了降维打击这个概念,这是本质上区别于同一维度的攻击,破坏性也更大. 而现在我们要说的是从二维卷积升级到三维卷 ...
- 【模型解读】深度学习网络只能有一个输入吗
继续我们之前的专栏<模型解读>,今天说多输入网络,很久没写了因为实在是有更重要的事情. 平常我们所见的深度学习模型,都是输入一个图像或者视频序列,输出分类,分割,目标检测等结果,但是还有一 ...
- 【模型解读】“不正经”的卷积神经网络
文章首发于微信公众号<与有三学AI> [模型解读]"不正经"的卷积神经网络 这是深度学习模型解读第7篇,本篇我们将介绍不规则形状的卷积. 作者&编辑 | 言有三 ...
- 【模型解读】“全连接”的卷积网络,有什么好?
[模型解读]"全连接"的卷积网络,有什么好? 这是深度学习模型解读第8篇,本篇我们简单介绍Densenet. 作者&编辑 | 言有三 1 从skip connect到den ...
- 【模型解读】resnet中的残差连接,你确定真的看懂了?
文章首发于微信公众号<与有三学AI> [模型解读]resnet中的残差连接,你确定真的看懂了? 这是深度学习模型解读第6篇,本篇我们将介绍深度学习模型中的残差连接. 作者&编辑 | ...
最新文章
- java spring注解教程,spring注解
- SAP MM 采购附加费计入物料成本之二
- Bootstrap框架的基本使用
- 用python将xml文件转换为txt文件_python代码xml转txt实例
- linux环境将python程序做成可执行
- CodeForces - 1484D Playlist(循环链表+bfs)
- Mac中Finder是什么?怎么打开?
- python logging模块简单使用
- vb.net 读写文件
- python函数对变量的作用_Python 包、模块、函数、变量作用域
- 弱鸡儿长乐爆零旅Day4
- python 数据结构包括三方面_python数据结构
- Google Map API运行提示Installation error: INSTALL_FAILED_MISSING_SHARED_LIBRARY
- 你(wo)不注意的和数据类型有关的小细节
- anaconda 清华源挂了 怎么办 上交源ok
- ZKUI中文编码以及以docker方式运行的问题
- 2018世界杯最帅射手-C罗,嗯,没得跑了!
- 教你用Python爬图虫网图片
- WPS表格中,找出两张表(格式相同,数据部分不同)不同之处并用红色标记
- docker-comose入门到实战
热门文章
- 基于Vue+element表格删除最后一页的最后一条数据后回显数据为空解决
- 章鱼网络 2022 ETHDenver 之旅收官|奖励1.5万美金共建多链未来
- 大数据和云计算技术周报(第83期)
- 喜马拉雅7天VIP!领取秒到账
- 相机的内参会改变吗_相机内参外参及成像过程
- android:绘图 (android.graphics包)
- 使用RMAN传输数据_复制数据库
- Wsl与Windows互相访问
- Javascript防抖函数节流函数的介绍(最详细)、彻底搞懂防抖节流的区别以及使用第三方库的防抖节流函数
- byyl - 【词法分析】正规式