概述

MITRE在2013年推出了ATT&CK模型，它是根據(jù)真實(shí)的觀察數(shù)據(jù)來描述和分類對(duì)抗行為。

目標(biāo)是創(chuàng)建網(wǎng)絡(luò)攻擊中使用的已知對(duì)抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。

此列表相當(dāng)全面地呈現(xiàn)了攻擊者在攻擊網(wǎng)絡(luò)時(shí)所采用的行為，因此對(duì)于各種進(jìn)攻性和防御性度量、表示和其他機(jī)制都非常有用。

ATT＆CK矩陣頂部為攻擊戰(zhàn)術(shù)，每列包含多項(xiàng)技術(shù)

綜述

ATT&CK將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式（STIX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）來表示。

ATT&CK是MITRE提供的“對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)”框架，是由攻擊者在攻擊企業(yè)時(shí)會(huì)利用的12種戰(zhàn)術(shù)和244種企業(yè)技術(shù)組成的精選知識(shí)庫(kù)。

詳細(xì)介紹每一種技術(shù)的利用方式，以及為什么了解這項(xiàng)技術(shù)對(duì)于防御者來說很重要

企業(yè)組織采用兩種方法。首先是盤點(diǎn)其安全工具，讓安全廠商提供一份對(duì)照ATT&CK覆蓋范圍的映射圖。盡管這是最簡(jiǎn)單、最快速的方法，但供應(yīng)商提供的覆蓋范圍可能與企業(yè)實(shí)際部署工具的方式并不匹配。此外，也有些企業(yè)組織在按照戰(zhàn)術(shù)逐項(xiàng)進(jìn)行評(píng)估企業(yè)安全能力。以持久化戰(zhàn)術(shù)為例，這些技術(shù)可能非常復(fù)雜，而且，僅僅緩解其中一部分技術(shù)，并不意味著攻擊者無法以其它方式濫用這項(xiàng)技術(shù)。

對(duì)標(biāo)kill chain

ATT&CK模型分為三部分，分別是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。

PRE-ATT&CK覆蓋Kill Chain模型的前兩個(gè)階段，包含了與攻擊者在嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。

ATT&CK for Enterprise覆蓋Kill Chain的后五個(gè)階段

ATT&CK for Enterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術(shù)和戰(zhàn)術(shù)部分

ATT&CK for Mobile包含適用于移動(dòng)設(shè)備的戰(zhàn)術(shù)和技術(shù)

12種戰(zhàn)術(shù)

01、初始訪問

初始訪問是攻擊者在企業(yè)環(huán)境中的立足點(diǎn)

使用不同技術(shù)來實(shí)現(xiàn)初始訪問技術(shù)

將ATT&CK和CIS控制措施相結(jié)合

三項(xiàng)CIS控制措施能發(fā)揮極大作用

（1）控制措施4：控制管理員權(quán)限的使用。如果攻擊者可以成功使用有效帳戶或讓管理員打開spearphishing附件，后續(xù)攻擊將變得更加輕松。

（2）控制措施7：電子郵件和Web瀏覽器保護(hù)。由于這些技術(shù)中的許多技術(shù)都涉及電子郵件和、Web瀏覽器的使用，因此，控制措施7中的子控制措施將非常有用。

（3）控制措施16：帳戶監(jiān)視和控制。充分了解帳戶應(yīng)執(zhí)行的操作并鎖定權(quán)限，不僅有助于限制數(shù)據(jù)泄露造成的損害，還可以發(fā)揮檢測(cè)網(wǎng)絡(luò)中有效帳戶濫用的功能。

02、執(zhí)行

攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時(shí)，他們都會(huì)選擇“執(zhí)行”。由于惡意軟件必須運(yùn)行，因此防御者就有機(jī)會(huì)阻止或檢測(cè)到它。

命令行界面或PowerShell對(duì)于攻擊者而言非常有用。許多無文件惡意軟件都專門利用了其中一種技術(shù)或綜合使用這兩種技術(shù)。

ATT&CK中的緩解控制措施甚至聲明了，這些控制措施也無法刪除上述技術(shù)，只能對(duì)其進(jìn)行審計(jì)。

應(yīng)用白名單是緩解惡意軟件攻擊時(shí)最有用的控制措施。

該戰(zhàn)術(shù)與控制措施2——已授權(quán)和未授權(quán)軟件清單非常匹配。

企業(yè)不僅需要深入了解已安裝的應(yīng)用程序。還要清楚內(nèi)置工具或附加組件會(huì)給企業(yè)組織帶來的額外風(fēng)險(xiǎn)。

03、持久化

攻擊者希望盡可能減少工作量，持久化仍然可以讓計(jì)算機(jī)再次感染病毒或維護(hù)其現(xiàn)有連接。

還有使用“鏡像劫持（IFEO）注入”等技術(shù)來修改文件的打開方式，在注冊(cè)表中創(chuàng)建一個(gè)輔助功能的注冊(cè)表項(xiàng)，并根據(jù)鏡像劫持的原理添加鍵值，實(shí)現(xiàn)系統(tǒng)在未登錄狀態(tài)下，通過快捷鍵運(yùn)行自己的程序。

如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除，很有可能它還會(huì)重新出現(xiàn)。這可能是因?yàn)橛新┒催€未修補(bǔ)，但也可能是因?yàn)楣粽咭呀?jīng)在此或網(wǎng)絡(luò)上的其它地方建立了持久化。

04、提升權(quán)限

利用系統(tǒng)漏洞達(dá)到root級(jí)訪問權(quán)是攻擊者核心目標(biāo)之一。

應(yīng)重點(diǎn)防止對(duì)抗工具在活動(dòng)鏈中的早期階段運(yùn)行，并重點(diǎn)識(shí)別隨后的惡意行為。

利用縱深防御來防止感染病毒，例如終端的外圍防御或應(yīng)用白名單。

對(duì)于超出ATT&CK建議范圍之外的權(quán)限升級(jí)，一種良好的防止方式是在終端上使用加固基線。例如CIS基線提供了詳細(xì)的分步指南，指導(dǎo)企業(yè)如何加固系統(tǒng)，抵御攻擊。

應(yīng)對(duì)此類攻擊戰(zhàn)術(shù)另一個(gè)辦法是審計(jì)日志記錄。

針對(duì)主機(jī)側(cè)的審計(jì)，記錄服務(wù)器的所有運(yùn)維命令，進(jìn)行存證以及實(shí)時(shí)審計(jì)。

05、防御繞過

該戰(zhàn)術(shù)所擁有的技術(shù)是MITRE ATT&CK框架所述戰(zhàn)術(shù)中最多的。該戰(zhàn)術(shù)的一個(gè)有趣之處是某些惡意軟件，例如勒索軟件，對(duì)防御繞過毫不在乎。他們的唯一目標(biāo)是在設(shè)備上執(zhí)行一次，然后盡快被發(fā)現(xiàn)。

防御者可以通過監(jiān)視終端上的更改并收集關(guān)鍵系統(tǒng)的日志將會(huì)讓入侵無處遁形

06、憑據(jù)訪問

攻擊者最想要的憑據(jù)，尤其是管理憑據(jù)。

任何攻擊者進(jìn)入企業(yè)都希望保持一定程度的隱身。他們將希望竊取盡可能多的憑據(jù)。

攻擊者入侵一個(gè)系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見。

應(yīng)對(duì)憑據(jù)訪問最簡(jiǎn)單辦法就是采用復(fù)雜密碼。

最后一步就是監(jiān)視有效帳戶的使用情況。在很多情況下，是通過有效賬戶發(fā)生的數(shù)據(jù)泄露。

最穩(wěn)妥辦法辦法就是啟用多因素驗(yàn)證。

07、發(fā)現(xiàn)

“發(fā)現(xiàn)”戰(zhàn)術(shù)是一種難以防御的策略。

與洛克希德·馬丁網(wǎng)絡(luò)Kill Chain的偵察階段有很多相似之處

最常用的是應(yīng)用白名單，可以解決大多數(shù)惡意軟件。此外，欺騙防御也是一個(gè)很好方法。

理解哪些操作屬于正?，F(xiàn)象，并為預(yù)期行為設(shè)定基準(zhǔn)時(shí)，會(huì)在嘗試使用這一戰(zhàn)術(shù)時(shí)有所幫助。

在各種干擾中篩選出惡意活動(dòng)

08、橫向移動(dòng)

攻擊者在利用單個(gè)系統(tǒng)漏洞后，通常會(huì)嘗試在網(wǎng)絡(luò)內(nèi)進(jìn)行橫向移動(dòng)。

攻擊者通常會(huì)先尋找一個(gè)落腳點(diǎn)，然后開始在各個(gè)系統(tǒng)中移動(dòng)，尋找更高的訪問權(quán)限，以期達(dá)成最終目標(biāo)。

將關(guān)鍵系統(tǒng)放置在一個(gè)子網(wǎng)中，將通用用戶放置在另一個(gè)子網(wǎng)中，將系統(tǒng)管理員放置在第三個(gè)子網(wǎng)中，有助于快速隔離較小網(wǎng)絡(luò)中的橫向移動(dòng)。

在終端和交換機(jī)級(jí)別都設(shè)置防火墻也將有助于限制橫向移動(dòng)。

遵循CIS 控制措施 14——基于需要了解受控訪問是一個(gè)很好的切入點(diǎn)。

遵循控制措施4——控制管理員權(quán)限的使用。

攻擊者尋求的是管理員憑據(jù)

記錄管理憑據(jù)的使用情況

發(fā)現(xiàn)異常行為可能表明攻擊者正在濫用有效憑據(jù)。

除了監(jiān)視身份驗(yàn)證日志外，審計(jì)日志也很重要。

域控制器上的事件ID 4769表示，Kerberos黃金票證密碼已重置兩次，這可能表明存在票據(jù)傳遞攻擊。

09、收集

概述了攻擊者為了發(fā)現(xiàn)和收集實(shí)現(xiàn)目標(biāo)所需的數(shù)據(jù)而采取的技術(shù)。

企業(yè)可以使用該戰(zhàn)術(shù)中的各種技術(shù)，了解更多有關(guān)惡意軟件是如何處理組織機(jī)構(gòu)中數(shù)據(jù)的信息。

遵循CIS控制措施14——基于需要了解受控訪問,可以幫助防止數(shù)據(jù)落入敵手。

了解企業(yè)存儲(chǔ)敏感數(shù)據(jù)的位置，并采用適當(dāng)?shù)目刂拼胧┘右员Ｗo(hù)。

10、命令和控制

大多數(shù)惡意軟件都有一定程度的命令和控制權(quán)。黑客可以通過命令和控制權(quán)來滲透數(shù)據(jù)、告訴惡意軟件下一步執(zhí)行什么指令。對(duì)于每種命令和控制，攻擊者都是從遠(yuǎn)程位置訪問網(wǎng)絡(luò)。

因此了解網(wǎng)絡(luò)上發(fā)生的事情對(duì)于解決這些技術(shù)至關(guān)重要。

一、正確配置防火墻可以起到一定作用。

二、將防火墻或邊界日志發(fā)送到日志服務(wù)處理中心，安全引擎服務(wù)器可以對(duì)該級(jí)別數(shù)據(jù)進(jìn)行深入分析。

11、數(shù)據(jù)滲漏

攻擊者獲得訪問權(quán)限后，會(huì)四處搜尋相關(guān)數(shù)據(jù)，然后開始著手?jǐn)?shù)據(jù)滲透。

與“收集”戰(zhàn)術(shù)一樣，該戰(zhàn)術(shù)對(duì)于如何緩解攻擊者獲取公司數(shù)據(jù)，幾乎沒有提供指導(dǎo)意見。

在數(shù)據(jù)通過網(wǎng)絡(luò)滲漏的情況下，建立網(wǎng)絡(luò)入侵檢測(cè)或預(yù)防系統(tǒng)有助于識(shí)別何時(shí)傳輸數(shù)據(jù)，尤其是在攻擊者竊取大量數(shù)據(jù)（如客戶數(shù)據(jù)庫(kù)）的情況下。

DLP可以確定敏感數(shù)據(jù)何時(shí)會(huì)泄露出去。IDS、IPS和DLP都不是100%準(zhǔn)確的，所以部署一個(gè)縱深防御體系結(jié)構(gòu)以確保機(jī)密數(shù)據(jù)保持機(jī)密。

如果企業(yè)組織機(jī)構(gòu)要處理高度敏感的數(shù)據(jù)，那么應(yīng)重點(diǎn)關(guān)注限制外部驅(qū)動(dòng)器的訪問權(quán)限

要正確地解決這個(gè)戰(zhàn)術(shù)，首先需要知道組織機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)所在的位置。

如果這些數(shù)據(jù)還在，可以按照CIS 控制措施14——基于需要了解受控訪問，來確保數(shù)據(jù)安全。

之后，按照CIS控制措施13——數(shù)據(jù)保護(hù)中的說明了解如何監(jiān)視試圖訪問數(shù)據(jù)的用戶。

12、影響

攻擊者試圖操縱、中斷或破壞企業(yè)的系統(tǒng)和數(shù)據(jù)。

用于影響的技術(shù)包括破壞或篡改數(shù)據(jù)。

。在某些情況下，業(yè)務(wù)流程可能看起來很好，但可能已經(jīng)更改為有利于對(duì)手的目標(biāo)。這些技術(shù)可能被對(duì)手用來完成他們的最終目標(biāo)，或者為機(jī)密泄露提供掩護(hù)。

攻擊者可能破壞特定系統(tǒng)數(shù)據(jù)和文件，從而中斷系統(tǒng)服務(wù)和網(wǎng)絡(luò)資源的可用性。

數(shù)據(jù)銷毀可能會(huì)通過覆蓋本地或遠(yuǎn)程驅(qū)動(dòng)器上的文件或數(shù)據(jù)使存儲(chǔ)的數(shù)據(jù)無法恢復(fù)。

使用場(chǎng)景

（1）對(duì)抗模擬

ATT＆CK可用于創(chuàng)建對(duì)抗性模擬場(chǎng)景，測(cè)試和驗(yàn)證針對(duì)常見對(duì)抗技術(shù)的防御方案。

（2）紅隊(duì)/滲透測(cè)試活動(dòng)

紅隊(duì)、紫隊(duì)和滲透測(cè)試活動(dòng)的規(guī)劃、執(zhí)行和報(bào)告可以使用ATT＆CK，以便防御者和報(bào)告接收者以及其內(nèi)部之間有一個(gè)通用語(yǔ)言。

（3）制定行為分析方案

ATT＆CK可用于構(gòu)建和測(cè)試行為分析方案，以檢測(cè)環(huán)境中的對(duì)抗行為。

（4）防御差距評(píng)估

ATT＆CK可以用作以行為為核心的常見對(duì)抗模型，以評(píng)估組織企業(yè)內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。

大多數(shù)安全團(tuán)隊(duì)都傾向于為Enterprise矩陣中的每種技術(shù)嘗試開發(fā)某種檢測(cè)或預(yù)防控制措施。

阻止或檢測(cè)執(zhí)行這些技術(shù)的一種方法并不一定意味著涵蓋了執(zhí)行該技術(shù)的所有可能方法。

攻擊者仍然可以成功地采用其他方式來采用該技術(shù)，但防御者卻沒有任何檢測(cè)或預(yù)防措施。

（5）SOC成熟度評(píng)估

ATT＆CK可用作一種度量，確定SOC在檢測(cè)、分析和響應(yīng)入侵方面的有效性。

SOC團(tuán)隊(duì)可以參考ATT＆CK已檢測(cè)到或未涵蓋的技術(shù)和戰(zhàn)術(shù)。

有助于了解防御優(yōu)勢(shì)和劣勢(shì)在哪里，并驗(yàn)證緩解和檢測(cè)控制措施，并可以發(fā)現(xiàn)配置錯(cuò)誤和其他操作問題。

（6）網(wǎng)絡(luò)威脅情報(bào)收集

ATT＆CK是在用一種標(biāo)準(zhǔn)方式描述對(duì)抗行為。

根據(jù)攻擊者已知利用的ATT＆CK中的技術(shù)和戰(zhàn)術(shù)來跟蹤攻擊主體。

為防御者提供了一個(gè)路線圖，讓他們可以對(duì)照他們的操作控制措施，查看對(duì)某些攻擊主體而言，他們?cè)谀男┓矫嬗腥觞c(diǎn)，在哪些方面有優(yōu)勢(shì)。

針對(duì)特定的攻擊主體，創(chuàng)建MITRE ATT＆CK 導(dǎo)航工具內(nèi)容，是一種觀察環(huán)境中對(duì)這些攻擊主體或團(tuán)體的優(yōu)勢(shì)和劣勢(shì)的好方法。

ATT＆CK還可以為STIX 和 TAXII 2.0提供內(nèi)容，從而可以很容易地將支持這些技術(shù)的現(xiàn)有工具納入中。

提供了將近70個(gè)攻擊主體和團(tuán)體的詳細(xì)信息，包括根據(jù)開放源代碼報(bào)告顯示，已知他們所使用的技術(shù)和工具。使用ATT＆CK的通用語(yǔ)言，為情報(bào)創(chuàng)建過程提供了便利。