什么是斜接丙氨酸&CK框架?

斜接丙氨酸&CK框架是一个收集攻击者战术文档的全局索引, 技术, 和程序(TTPs), 所有这些都是基于现实世界的观察. 丙氨酸&CK代表“对抗战术,技巧, & 常识."

主教法冠 in 2013, 该指数随着威胁形势的发展而不断发展,并已成为业界了解攻击者模型的知名知识库, 方法, 和缓解. 

全面的 威胁检测 缓解攻击需要了解常见的对手技术, 尤其是那些对 安全运营中心(SOC). 话虽如此, 攻击策略的数量和广度使得任何一个组织几乎不可能监视和分类每一种攻击类型. 

丙氨酸&CK的对手战术和技术的知识库被索引和分解成细节, 注意攻击者的步骤和方法. 为了更进一步,主教法冠还结合了 网络威胁情报 记录对手群体行为的档案. 

的攻击力&CK矩阵结构类似于元素周期表, 列标题列出了攻击链的各个阶段——从“初始访问”一直到“影响”.” 

斜接丙氨酸&CK框架vs. 网络杀伤链

两者都是斜接丙氨酸&CK框架和网络杀伤链专注于帮助组织 了解攻击者的行为,并采取措施尽快关闭攻击. 让我们首先讨论一下后一个概念的一些背景.

网络杀伤链框架由国防承包商洛克希德·马丁公司开发,用于识别漏洞和破坏, 检查现有控制措施的有效性, 并精确指出对手必须采取的行动,以实现他们为自己或组织定义的任何目标.

斜接丙氨酸之间的根本区别&CK框架和网络杀伤链的区别在于前者是一个知识库——包含大量针对特定平台的攻击者方法——而后者本质上是一系列更广义的预定义步骤,不建议偏离. 网络杀伤链由七个阶段组成,通常被认为是一种简化的——也是非常有效的——阻止攻击的方法.

第三种杀伤链方法被称为统一杀伤链. 它试图解决斜接丙氨酸的范围限制和时间不可知论性质&分别是CK和网络杀伤链. 统一杀伤链的最大好处之一是,它可以更准确地捕捉攻击者的细微行为. 统一杀伤链详细说明了18个特定的攻击阶段, 因此,这可能有点依赖于用户和用例.

斜接丙氨酸的历史&CK框架

该框架创建于2013年,旨在帮助企业及其安全组织更好地了解攻击者的方法, 从而取得进展,对抗 威胁的演员 世界各地. 根据斜接丙氨酸&CK网站:

主教法冠开始说&在2013年的CK中记录了常见的策略, 技术, 以及针对Windows企业网络的高级持续威胁程序(TTPs). 它是出于记录对手行为的需要而创建的,用于主教法冠的一个名为FMX的研究项目. FMX的目的是调查使用 端点 遥测数据和分析,以改善在企业网络中操作的对手的入侵后检测. 丙氨酸&CK被用作测试FMX下传感器和分析效果的基础,并作为进攻和防守双方可以随着时间的推移而改进的共同语言.”

主教法冠为单个用例提供了一个索引或矩阵,如下所示: 

  • 工业控制系统(ICS)矩阵攻击者用以破坏工业控制系统的策略. 
  • 企业矩阵攻击者用以破坏企业系统的策略. 
  • 移动矩阵:攻击者入侵移动设备的策略. 

斜接丙氨酸&CK矩阵 

让我们更深入地了解一下斜接丙氨酸的具体构成&CK“矩阵.在前面讨论的用例中描述攻击者标准是很有帮助的. 该矩阵基本上对ttp进行了分类,并通过操作系统或企业软件平台等特定平台方便地对它们进行索引.

根据斜接丙氨酸&在CK网站上,攻击者试图实现其目标的常见策略有14种:

  • "侦察对手正试图收集他们可以用来计划未来行动的信息. 
  • 资源开发对手正试图建立他们可以用来支持行动的资源. 
  • 首次访问敌人正试图进入你的网络. 
  • 执行攻击者正在试图运行恶意代码. 
  • 持久性敌人正试图维持他们的立足点. 
  • 特权升级攻击者试图获得更高级别的权限. 
  • 国防逃税敌人正试图避免被发现. 
  • 凭据访问攻击者正在试图窃取帐户名和密码. 
  • 发现对手正在试图弄清楚你的环境. 
  • 横向移动t:对手正试图穿过你的环境. 
  • 集合对手正试图收集与他们的目标有关的数据. 
  • 指挥与控制攻击者试图与被破坏的系统通信以控制它们. 
  • 漏出敌人正在试图窃取数据. 
  • 影响攻击者正试图操纵、中断或破坏你的系统和数据." 

Mitre攻击矩阵崩溃

斜接丙氨酸&CK框架用例

斜接丙氨酸&CK框架被广泛认为是理解攻击者对组织使用的行为和技术的权威. 它不仅消除了歧义,而且为战斗讨论和协作提供了通用词汇, 同时也为安全团队提供了实际应用.

基于独特环境的检测优先级

即使是资源最充足的团队也无法平等地防御所有攻击向量. 的攻击力&CK框架可以为团队提供一个蓝图,告诉他们在哪里集中他们的检测工作. 例如,许多团队可能会在攻击链中较早地确定威胁的优先级. 其他团队可能希望根据攻击组使用的技术对特定检测进行优先级排序,这些技术在他们各自的行业中特别普遍.

通过探索技术, 目标平台, 和风险, 团队可以自我教育,以帮助告知他们的安全计划, 然后利用斜接丙氨酸&跟踪进度的CK框架.

评估当前防御措施

该框架在评估当前工具和围绕关键攻击技术的覆盖深度方面也很有价值. 有不同级别的遥测技术可能适用于每个检测. 在一些地区, 团队可能会决定他们需要对探测深度有很高的信心, 而较低的检测水平在其他领域是可以接受的.

通过定义对组织的威胁并确定其优先级, 团队可以评估他们当前的覆盖率. 这在 渗透测试 (渗透测试)活动,然后在测试期间和之后作为计分卡. 

跟踪攻击者组

许多组织可能希望优先跟踪他们知道对其行业或垂直行业构成特定威胁的特定对手群体行为. 的攻击力&CK框架不是一个静态的文档, 随着威胁的出现和发展,主教法冠将继续发展框架. 这个过程使其成为跟踪和了解攻击者组织的活动及其使用的技术的有用的真相来源.

继续学习斜接丙氨酸&CK

斜接丙氨酸&CK框架:最新的Rapid7博客文章