ATT&CK模型
ATT&CK是分析攻擊者行為(即TTPs)的威脅分析框架。ATT&CK框架核心就是以矩陣形式展現的TTPs,即Tactics, Techniques and Procedures(戰術、技術及步驟),是指攻擊者從踩點到獲取數據以及這一過程中的每一步是“如何”完成任務的。
ATT&CK模型分為三部分,分別是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。
目前只學習ATT&CK for Enterprise部分。
ATT&CK導航器 https://mitre-attack.github.io/attack-navigator/enterpris
其中,該框架囊括12類戰術。
Initial Access 初始訪問
Execution 執行
Persistence 持久化
Privilege Escalation 權限提升
Defense Evasion 防御逃逸
Credential Access 憑證獲取
Discovery 發現
Lateral Movement 橫向移動
Collection 收集
Command and Control 命令與控制
Exfiltration 數據滲出
Impact 影響
除了12種戰術,還包括330種在相應戰術中應用的具體技術。框架中的戰術使用沒有嚴格的順序,實際中,可靈活組合,基於此框架自定義攻擊者入侵的行為模型。
橫軸是戰術(Tactic),攻擊行為的目標。
縱軸是技術(Technique),為完成戰術目標使用的具體手法 。
過程(Procedure),完成技術手法的具體實現。
關於技術細節的描述:
https://attack.mitre.org/techniques/enterprise/
參考鏈接:
https://attack.mitre.org/matrices/pre/
https://mitre-attack.github.io/attack-navigator/enterprise/
https://www.anquanke.com/post/id/187998
https://mp.weixin.qq.com/s/qfthyNQ3E_TruEbREcIJzg