MITRE ATT&CK 代表 Adversarial Tactics, Techniques, and Common Knowledge,是對攻擊者策略及技巧的公開知識庫,可用作開發特定網絡威脅模型及方法的基礎。
目錄
這個知識庫是根據以下三個概念開發:
維持攻擊者的觀點
透過案例跟進現實世界的活動
根據抽象化程度將攻擊行為與可能的防禦性結合
MITRE ATT&CK 協助業界定義及標準化描述攻擊者的方法。它收集及分類常見的攻擊策略、技巧及程序,然後將這些資料整理成一個框架。
第三概念需要具備適當的抽象層次,以便在攻擊手法與防禦方可實施的反制措施之間建立橋樑,當您理解 ATT&CK 的結構時,這一點尤其重要。資訊被安排成為具有高度抽象性的資訊,而非個人/特定資訊,例如 IP 位址、URL 及惡意程式的簽名資訊。
因素概念的基礎是根據所謂的策略、技巧及程序(TTP)來分析攻擊。主要是獲得和組織有關技術的知識。
策略:攻擊者的短期目標
技術:攻擊者達成目標的方法
程序:攻擊者使用技巧的特定方法
這個框架可以用來協助解釋對手的行為、他們嘗試做什麼,以及他們嘗試如何做。
擁有共同的語言及框架,對於盡可能有效溝通、了解及回應威脅的能力非常重要。
MITRE ATT&CK 已成為網絡防禦者的重要知識基礎,最終提升保安效率及回應時間。年度 MITRE 評估比較整個業界的創新方案,提供偵測與回應不斷演變的威脅情勢所需的方案。
MITRE ATT&CK 評估
MITRE ATT&CK 評估為顧客及現實世界的攻擊場景提供透明度。這可確保客戶能主動評估保安產品,以因應在最需要的範疇保護自己免受攻擊者的最新進展影響。評估採用攻擊者模擬,以確保客戶可對應今日的威脅。使用受攻擊者啟發的技巧、工具、方法及目標。
模擬在受控實驗室環境中執行,以確保測試公平準確。然後,攻擊者的技巧會按邏輯逐步應用,以探索 ATT&CK 覆蓋範圍的廣度。
這些評估並非競爭對手分析。因此沒有分數、排名或評級。相反,他們展示了每個廠商在 ATT&CK 知識基礎上如何進行威脅偵測。
評估可為網絡保安方案買家及客戶提供不偏不倚的選擇,根據他們最需要的範疇評估保安產品,以因應攻擊者的最新進展。
例如,在 2022 年,評估模擬了 Wizard Spider 和 Sandworm 的作業流程,模擬與這些團夥使用的類似攻擊。在執行模擬之後,結果會被處理及公開發佈,包括方法。
MITRE ATT&CK 矩陣
MITRE ATT&CK 架構分為多個矩陣,每個矩陣都針對網絡威脅運作的特定環境而度身訂造。這些矩陣將攻擊者所用的策略、技巧及程序分類,協助保安團隊強化其防禦策略。
企業矩陣
最全面的矩陣,涵蓋 Windows、macOS、Linux 及雲端環境的威脅。它包括特權升級、橫向移動及數據洩漏等技術。
流動矩陣
主要針對針對 iOS 及 Android 裝置的威脅。此矩陣詳細介紹了諸如憑證竊取、網絡漏洞攻擊及流動惡意程式等持續性攻擊技巧。
工業控制系統矩陣
解決專門針對工業環境的網絡威脅,例如 SCADA 系統。它突出了用於破壞關鍵基礎設施的技術,包括未經授權的指令執行和韌體修改。
MITRE ATT&CK 策略
ATT&CK 的基礎是一系列技巧,代表攻擊者達成目標的行動。目標被歸類為策略。
策略代表了「為何」採用某一技術。亦即是攻擊者執行行動的原因。技術是攻擊者透過執行實際行動實現目標的機制。它亦代表攻擊者想獲取「甚麼」。
將企業領域作比喻,其策略如下:
執行:在系統上執行惡意程式碼的技術,包括執行指令、腳本及利用用戶端執行。
持續能力:攻擊者在初始入侵後用於維持登入的方法,例如建立新用戶帳號、修改註冊表及排程任務。
特權升級:攻擊者獲得更高層次權限的方式,例如利用漏洞、憑證轉存及操縱登入令牌。
逃避防護:繞過保安措施的技術,包括停用保安工具、隱藏檔案及程序注入。
憑證存取:竊取憑證的方法,例如鍵盤側錄、暴力攻擊及憑證轉存。
探索:用於收集系統或網絡資料的策略,例如網絡掃描及帳戶列舉。
橫向移動:跨系統移動的技術,例如遠端桌面協定及密碼攻擊。
收件:收集敏感資料的方法,包括螢幕擷取、鍵盤記錄及本機數據庫資料。
滲漏:從網絡傳輸被盜數據的方法,例如加密外傳及濫用雲端儲存。
影響:專門攻擊勒索程式部署、數據銷毀及服務拒絕攻擊等運作的技術。
MITRE ATT&CK 技術
MITRE ATT&CK 框架將整個網絡攻擊採用的技術分類。主要技術包括:
初步存取 – 網絡釣魚及利用公共應用程式進入系統的方法。
執行 - 透過指令列或腳本運行惡意程式碼。
毅力 – 透過變更登記表或安排的任務來維持存取權限。
權限升級 - 利用漏洞攻擊或憑證轉存來獲得更高權限。
防逃 - 以偽裝或停用工具來繞過保安。
橫向移動 - 透過遠端桌面協定或以入侵方式在網絡中擴散。
外洩 – 利用雲端濫用或加密傳輸竊取資料。
了解這些技巧有助機構強化保安防禦。
MITRE ATT&CK 框架剖析
策略是指攻擊者試圖實現的目標。
策略與書本的章節類似。資訊保安長可以概述一個他們希望以攻擊所用的高層次策略,然後參考這些技巧來講述他們如何完成攻擊,從而提供更多細節。
例子:以常用語言建立攻擊故事
攻擊者的目標是取得網絡的初始登入權。攻擊者利用與魚义網絡釣魚連結及可信賴關係的入侵率來取得初始登入權。
註: 該框架列出攻擊者初步登入的所有已知方式。
網絡保安方案有何幫助?
該方案將必須將產品配對至 ATT&CK 框架,展示偵測的策略及技巧,示範我們可以如何協助您對應偵測與回應威脅的挑戰。
如何預防?
預防性管控是威脅緩解策略的重要組成部分,在遭受攻擊時可加強韌性。預防性管控在最後一輪經過測試,能夠及早減低風險,讓機構有更多時間面對更嚴峻的保安問題。
MITRE ATT&CK 與網絡攻擊鏈
MITRE ATT&CK 旨在提供更深層次的細緻度,描述攻擊發生時可能發生的情況,比網絡攻擊鏈更進一步
網絡攻擊鏈共有七個步驟:
偵察
入侵
開發
執行 特權
橫向移動
混淆視聽/反鑑識
拒絕服務
滲漏
MITRE ATT&CK 使用案例
MITRE ATT&CK 讓您從攻擊者的角度組織技術,並在防禦方面提供反制對策。包括以下使用案例。
攻擊模擬
模擬攻擊者。從數據庫的群組中,發掘攻擊者所使用的技巧及場景,偵測一系列攻擊,並驗證有否針對這些攻擊的防禦措施。
紅隊演練
為網絡練習創建攻擊場景。紅隊扮演攻擊者的角色,藍隊扮演防禦角色,白隊則扮演控制與判斷的角色。
行為分析發展
取代入侵指標及已知威脅資訊,利用 ATT&CK 的知識庫,分析未知的技巧及行動模式來制定新對策。
防禦性落差評估
辨識機構現有措施的不足之處。確定投資的優先次序。
保安運作中心成熟度評估
確定保安運作中心偵測、分析及回應的成效。
網絡威脅情報強化
分析師可以深入了解攻擊團夥的行動,並作出報告。透過從數據庫檢索數據,可以清楚識別特定團夥使用的工具、技術類型及啟動攻擊時所使用的程序。
雖然它是專業領域,但 MITRE ATT&CK 網站還提供名為 ATT&CK Navigator 的應用程式,讓您根據上述目的建立矩陣。
MITRE ATT&CK 2024 企業防護結果
2024 年,MITRE Engenuity 提升了用戶體驗,模擬了迄今為止最真實的現代化攻擊技巧。形容趨勢科技簡單達成任務是一個較為保守的陳述。
在 MITRE Engenuity ATT&CK 的 2024 年評估中,趨勢科技連續第五年取得所有供應商中歷史最高得分,表現卓越。
2023 年已攔截了超過 1610 億個威脅,較 2022 年增加了 10%,因此,即使是最進階的攻擊也要主動攔截更多風險。
今年的評估集中在 DPRK、CL0P 及 LockBit 的策略、技巧及程序 (TTPs) 上,這是其中三種最精密及最危險的勒索程式威脅。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.