前言
「知己知彼,百戰不殆」是兵法最為眾人所熟知的一則,看似簡單卻有著不容置疑的重要性。而在資安世界中也是一樣,想要擋下攻擊就必須收集各種敵人的策略和手段,才能在真正面對威脅時做出最適合的對應。今天要介紹的ATT&CK框架就是為此而誕生的。
ATT&CK是什麼?
ATT&CK的全稱是Adversarial Tactics, Techniques, and Common Knowledge,由MITRE公司提出,是一個站在攻擊者的角度來描述攻擊各階段中會用的技術的模型,也整合了現有的入侵策略,讓防守方可以更容易理解駭客的思維,進而做出相對的防禦。簡單來說,ATT&CK就是記載了所有已知攻擊的細節的超齊全百科全書。
核心結構
ATT&CK的重點是TTP,分別是戰術(Tactic),技術(Technique)跟程序 (Procedure)。攻擊者通常會有一個戰略性目標,例如入侵內網並埋下惡意程式,並在不同的入侵階段使用不同的戰術進行攻擊,每個階段也會運用一些技術手法來達成目的。在官網中我們可以從Tactic中尋找想要了解的類型,並查看不同階段會使用的Techniques,進而尋找更詳細的步驟及流程等,如下圖所示:
優勢
- 提供一種攻擊者活動的共通語言
ATT&CK的最大價值在於透過系統化的歸納資訊,讓各家資安業者在說明網路攻擊鏈(Cyber Kill Chain)時,有統一的標準去參考,而企業也可以透過這個工具更方便的找出須優先改善的安全措施,並選擇適合的工具。
- 記錄各種APT組織
透過對駭客組織的側寫,不但能得知攻擊手法,還能用來進行攻防測試–建立一個模擬的紅隊,並檢視防禦工具能否捕捉到這些攻擊。MITRE公司發起的ATT&CK評估計劃就是運用特定組織的攻擊手法,來測試業者防護能力的表現。
結語
ATT&CK框架可以說是過去人們所遇到的問題的彙總,懂得如何運用的話就好比站在巨人的肩膀上,十分的舒適。大家也可以去官網瀏覽看看,試著站在攻擊者的角度來看世界!
參考來源