mitre att&CK框架是MITRE在2013年制定的,目的是将实际使用的攻击者战术和技术的观察结果系统化地书面化。。随着整个威胁的加深,不断增加的索引,对于安全行业来说,它是一个知识的基础,以便掌握攻击者的模型,方法和缓解。。
威胁检测总的来说,为了取得成功,你需要了解通用的攻击技巧,特别是那些可能对你的组织造成威胁的攻击,以及如何检测和缓解攻击。。话虽如此,用于攻击的战术有无数种所以对于一个单一的组织来说,不可能监控所有的攻击类型。。如果是这样的话,就可以用建设性的方法将掌握的状况交给组织外的人来进行分类和分析。。
由于这些原因,MITRE将att&我们制定了CK框架。。att&CK的名字来源于“Adversarial Tactics, Techniques, and Common Knowledge”的首字母。。敌手的战术和技巧的知识库。。黑客使用的技术已经被索引化,并且被分类为详细和正确的步骤和方法,这样安全团队就可以很容易地了解针对特定平台的对策。。ます。此外,MITRE还建立了网络威胁情报系统,针对敌对组织的行动概况,将哪些组织使用了哪些技术进行系统的文档化。。
att&CK的矩阵结构和元素周期表很相似,攻击链的阶段是列的标题(从初始访问到攻击影响)。。每行都有详细的技巧。。战术,被滥用的平台,程序的例子,缓解和检测,你可以了解它们的技巧。。
att&CK框架现在被广泛认为是理解黑客对组织使用的行动和技巧的权威来源。。为了消除歧义,对抗敌对分子的手段,它不仅成为业界专业人士进行交流和合作的通用语言,还为安全团队提供了实际用途。。
mitre att&CK有以下使用例子。。
使用miteratt&ck Framework的基于组织特定环境的检测优先级排序
即使是资源丰富的队伍,也不可能平等地保护他们免受所有攻击向量的攻击。。 att & CK框架可以提供一个蓝图,让团队专注于检测工作。。举个例子,很多团队在攻击链的早期阶段就开始着手处理威胁的优先级。。 另一方面,该团队将能够对威胁的检测进行优先排序,这是攻击者团体所使用的方法,在各个行业中非常普遍。。 テクニック、標的のプラットフォーム、リスクを調査することにより、チームは自らを教育してセキュリティ計画を立案し、mitre att&CK框架を活用することで時間の経過とともに進捗を追跡できます。
使用MITER att & CK Framework评估防御现状
MITER att&ck框架也有助于评估当前的工具和网罗性来应对主要的攻击方法。。 有很多不同级别的远程测量可以用于检测。。 一方面,团队根据领域的不同,判断对细节的检测需要高的可靠性,另一方面,在其他领域,考虑低水平的检测也足够了。。 通过定义对组织来说最优先的威胁,团队可以评估当前的适用范围是如何累积的。。 这在红队的工作中也很有用。。 你可以使用矩阵来定义红队的练习和笔试的范围,作为测试中或测试后的评分卡。。
使用MITER att & CK Framework追踪攻击者组织
许多组织可能会优先追踪某些敌对组织的行动,因为他们知道这些敌对组织对某个行业或某个行业特别有威胁。。 att & CK框架不是静态的文档。 随着威胁的出现和进化,MITER不断地改进它的框架,因此它是唯一可靠的信息来源,可以帮助我们追踪和了解黑客组织的行动和使用的方法。。
“白板演讲日”每周星期三在YouTube上用白板对各种内容进行解说(英语)。