一、ATT&CK官網
ATT&CK, Adversarial Tactics, Techniques, and Common Knowledge,對抗戰術、技術與通用知識。
二、ATT&CK說了什么
想要看懂ATT&CK說了什么,首先要做兩件事,第一件是看懂網站的各個主題說了什么,第二件是看懂各個主題之間的關系。
2.1 各個主題說了什么
Matrices ---- 滲透測試步驟(Tactics)和滲透測試手法(Techniques)的矩陣表。
Tactics ---- 滲透測試步驟集合; 亦即tactic,戰術,編號TAxxxx。
Techniques ---- 攻擊手法集合; 亦即technique,技術,編號Txxxx。並列舉各technique對應的攻擊案例(Procedure Examples)、防御措施(Mitigations)和檢測措施(Detection)。
Data Sources ---- 要采集用以分析的數據的集合,這里等同Detection,編號DSxxxx。
Mitigations ---- 防御措施集合,編號Mxxxx。
Groups ---- 黑客組織集合,編號Gxxxx。
Software ---- 黑客軟件集合,編號Sxxxx。
2.2 各主題的關系
Matrices列出了Tactics和Techniques的關系
Techniques給出了關聯的攻擊案例(Procedure Examples)、防御措施(Mitigations)和檢測措施(Detection/Data Sources)
Procedure Examples中含有相關的Groups和Software
2.3 ATT&CK說了什么
經過以上分析我們可以得到以下結論
對於攻擊方,att&ck給出了滲透測試步驟(Tactics)和滲透測試手法(Techniques)。
對於防守方,att&ck給出了攻擊手法相對應的緩解措施(Mitigations)和檢測方法(Detection/Data Sources); 或者叫安全防護體系。
三、如何依照ATT&CK建設安全體系
3.1 攻擊方
學習att&ck給出的滲透測試步驟(Tactics)和滲透測試手法(Techniques),並依此滲透測試步驟和滲透測試手法進行攻擊。
3.2 防守方
實施att&ck給出了攻擊手法相對應的緩解措施(Mitigations)和檢測方法(Detection/Data Sources)。
3.3 存在的問題
一是,Tactics、Techniques、Mitigations、Detection/Data Sources完整性依賴於人,而不是與人無關的理論。
二是,沒有體現Mitigations、Detection/Data Sources之間的關聯性。
三是,沒有體現Mitigations、Detection/Data Sources左移右移的必要性。