MITRE ATT&CK 如何改進、適應和發展?
MITRE ATT&CK 的演進,顯示出該組織致力於不斷改善和調整威脅情報,以協助安全性團隊對抗網路攻擊。ATT&CK 矩陣越來越多地被用作網路安全的知識庫,以及識別攻擊者和戰術的常用資源,這充分說明了它在強化組織安全勢態方面的價值。
ATT&CK 是 Adversarial Tactics、Techniques 和 Common Knowledge 的縮寫,概括了其作為瞭解和對抗網路威脅工具的角色。該架構的命名突顯了其在網路安全方面提供深入、可行情報的承諾。
作為一個全面的網路安全架構,MITRE ATT&CK 針對網路威脅群的步伐不斷地演進與調整,提供有效的威脅偵測與對策。MITRE ATT&CK 提供有關網路對手不斷變化的戰術、技術和共享知識 (程序相關資訊) 的真實世界資訊,以實現快速有效的防禦。
MITRE ATT&CK 框架的三個主要組成部分是什麼?
ATT&CK 框架由三個相互關聯的元素組成:戰術、技巧和程序 (TTP)。它有多個 ATT&CK 矩陣,每個都針對不同的環境。其中包括企業、行動、雲端和工業控制系統 (ICS) 矩陣。MITRE 矩陣可讓安全性團隊透徹了解威脅行為者所使用的網路威脅和 TTP,並依據弱點分類。
在每個矩陣中,欄位代表策略,行代表技術,而單元格則提供補充細節,例如程序、群組、軟體,以及每個特定技術的相關緩解措施。
MITRE 架構會定期更新,以配合瞬息萬變的網路威脅現況,是網路安全專業人員的重要資產。它可增強威脅情報、偵測和應變能力。
MITRE ATT&CK 架構以三個主要元件為中心,這些元件可支援多種嚴重性使用個案,包括敵人行為洞察與事件回應。
戰術
策略概括了潛在網路威脅希望達成的策略目標,包括取得初始存取、執行、持續介入、權限升級、逃避防禦、憑證存取、發現、橫向移動、資料蒐集、外洩、權限升級,以及建立指揮與控制。
技術
技術」詳細說明威脅行為者為達成戰術目標所採用的獨特方法。每種技術都能讓您深入瞭解對手將如何努力完成特定戰術。
舉例來說,在偵察策略下,矩陣中包含的幾種技術有:主動掃描(例如,為初始存取做準備,子技術-掃描 IP 區塊)、收集受害者身份資訊(例如,用於魚叉式網路釣魚,子技術-電子郵件地址)和資訊釣魚(例如,憑證釣魚,子技術-魚叉式網路釣魚連結)。
程序
程序指的是對手為了達到戰術目的,在執行技術時所採取的行動或步驟。不同的威脅行為者所採用的程序各異,展現出他們所使用的工具、指令和勒索軟體 (例如:勒索軟體)。
MITRE ATT&CK 框架的歷史
MITRE ATT&CK 從一開始就由社群驅動,最初是以 MITRE 的 Fort Meade Experiment (FMX) 的 wiki 方式推出。在這項實驗中,網路安全研究人員模擬了敵方 (紅隊) 和守方 (藍隊) 的行為,以瞭解如何更好地防禦網路威脅。這項實驗有助於框架的形成,以及其對真實世界可觀測性的著重,包括敵人偵測。
第一版包含九種戰術,反映出敵人網路攻擊生命週期的各個階段。隨著時間的推移,此架構不斷演進與擴充,成為全球可存取的對手策略與新網路攻擊技術的知識庫。
MITRE ATT&CK 架構提供了一種共同語言,可消除安全性團隊與其他網路利害關係人之間的隔閡。
MITRE ATT&CK 簡要年表
- 2013: MITRE ATT&CK:網路安全框架提供了進階持續威脅用來攻擊 Windows 企業網路的常見戰術、技術和程序 (TTP)。
- 2015: 企業級 ATT&CK:第一版的 ATT&CK 企業矩陣正式發行。它提供了一個結構化、有組織的方式,讓我們了解用來攻擊企業環境的敵對策略和技術。
- 2017: 斜切預先ATT&CK:MITRE PRE-ATT&CK 框架可解決社區對於網路敵人在取得存取權之前所做的事的疑慮。它詳細說明了對手用於選擇目標、獲取資訊和發動攻擊的戰術、技術和程序 (TTP)。
- 2017: MITRE ATT&CK for Mobile Matrix:MITRE Mobile Matrix 旨在涵蓋涉及裝置存取的技術,以及敵人在沒有裝置存取的情況下,也能使用的基於網路的效果。自此之後,它已經更新了好幾次,以反映用來偵測試圖入侵 iOS 和 Android 行動裝置的網路敵人的不斷演進的 TTP。
- 2019: MITRE ATT&CK Matrix for 雲端矩陣; 透過 MITRE 雲端矩陣,安全性團隊獲得了提供有組織且全面的了解威脅行為者針對雲端環境所採用的各種 TTPs。矩陣包含 Azure Active Directory、Office 365、Google Workspace、SaaS 和 IaaS 資訊。
- 2019: MITRE ATT&CK 子技術:含子技術的 MITRE ATT&CK Beta 版本已公開提供。子技術提供更細緻的詳細程度,透過將技術細分為特定的變種或方法,讓我們更仔細地瞭解對手如何運作。
- 2019: MITRE Engenuity ATT&CK 評估:MITRE Engenuity ATT&CK Evaluations 提供了結構化的流程和框架,用以評估網路安全產品和解決方案在真實世界中偵測和緩解敵人策略和技術的效能。透過 ATT&CK 評估,供應商能夠展示其安全產品在特定威脅情況下的能力。
- 2021: MITRE 新增 macOS 及更多資料類型:為回應社群的意見,MITRE 增加了對影響 Apple macOS 和容器的威脅資訊的支援。它也允許更多的資料來源和關係。
MITRE ATT&CK 架構不斷地演進,以因應網路威脅性質的變化。定期更新、新矩陣和額外功能的推出,都是為了強化該框架對網路安全社群的相關性和實用性。
MITRE ATT&CK 與雲端安全
擴展 MITRE ATT&CK 架構以納入雲端安全,是因應不斷轉變的網路安全環境所做的重要調整。這種演進證明 MITRE ATT&CK 有能力在面對新興技術和威脅時保持相關性和有效性。
MITRE ATT&CK 在雲端安全中的角色
MITRE ATT&CK 已納入特定雲端矩陣,概述攻擊者針對雲端服務所利用的策略和技術。這項新增功能對於協助組織識別及防禦雲端基礎架構特有的威脅,例如 API 攻擊、雲端服務設定錯誤及跨租戶攻擊,至關重要。
該架構的雲端適應性可讓網路安全專家針對錯綜複雜的雲端環境量身打造防禦機制,提供更強大且更有針對性的安全方法。
MITRE ATT&CK 的挑戰與未來
隨著數位環境的演進,MITRE ATT&CK 等架構也面臨挑戰。這些挑戰對於塑造該架構的不斷發展和有效性至關重要。
當前挑戰
要跟上威脅行為者快速演進且複雜的策略,仍然是一項重大的挑戰。此架構必須不斷地更新,以反映新的技術和對策。
另一項挑戰在於如何維持其全球適用性,以確保它在各行各業和 IT 環境中都能保持相關性。結合內部部署、雲端和行動基礎架構的混合環境日益複雜,使這項任務更加複雜。
MITRE ATT&CK 常見問題的演變
