ATT&CK是什么

一、ATT&CK官网

ATT&CK, Adversarial Tactics, Techniques, and Common Knowledge,对抗战术、技术与通用知识。

官网:https://attack.mitre.org/

ATT&CK是什么

 

二、ATT&CK说了什么

想要看懂ATT&CK说了什么,首先要做两件事,第一件是看懂网站的各个主题说了什么,第二件是看懂各个主题之间的关系。

 

2.1 各个主题说了什么

Matrices ---- 渗透测试步骤(Tactics)和渗透测试手法(Techniques)的矩阵表。

Tactics ---- 渗透测试步骤集合; 亦即tactic,战术,编号TAxxxx。

Techniques ---- 攻击手法集合; 亦即technique,技术,编号Txxxx。并列举各technique对应的攻击案例(Procedure Examples)、防御措施(Mitigations)和检测措施(Detection)。

Data Sources ---- 要采集用以分析的数据的集合,这里等同Detection,编号DSxxxx。

Mitigations ---- 防御措施集合,编号Mxxxx。

Groups ---- 黑客组织集合,编号Gxxxx。

Software ---- 黑客软件集合,编号Sxxxx。

 

2.2 各主题的关系

Matrices列出了Tactics和Techniques的关系

Techniques给出了关联的攻击案例(Procedure Examples)、防御措施(Mitigations)和检测措施(Detection/Data Sources)

Procedure Examples中含有相关的Groups和Software

 

2.3 ATT&CK说了什么

经过以上分析我们可以得到以下结论

对于攻击方,att&ck给出了渗透测试步骤(Tactics)和渗透测试手法(Techniques)。

对于防守方,att&ck给出了攻击手法相对应的缓解措施(Mitigations)和检测方法(Detection/Data Sources); 或者叫安全防护体系。

 

三、如何依照ATT&CK建设安全体系

3.1 攻击方

学习att&ck给出的渗透测试步骤(Tactics)和渗透测试手法(Techniques),并依此渗透测试步骤和渗透测试手法进行攻击。

 

3.2 防守方

实施att&ck给出了攻击手法相对应的缓解措施(Mitigations)和检测方法(Detection/Data Sources)。

 

3.3 存在的问题

一是,Tactics、Techniques、Mitigations、Detection/Data Sources完整性依赖于人,而不是与人无关的理论。

二是,没有体现Mitigations、Detection/Data Sources之间的关联性。

三是,没有体现Mitigations、Detection/Data Sources左移右移的必要性。

上一篇:ATT&CK_mac持久化学习


下一篇:一次sql优化和业务场景优化的记录