什么是斜接丙氨酸&CK框架?
斜接丙氨酸&CK框架是一个收集攻击者战术文档的全局索引, 技术, 和程序(TTPs), all based on real-world observations. 丙氨酸&CK st和s for "Adversarial Tactics, Techniques, & 常识."
由 主教法冠 in 2013, 该指数随着威胁形势的发展而不断发展,并已成为业界了解攻击者模型的知名知识库, 方法, 和缓解.
全面的 威胁检测 和 attack mitigation requires underst和ing common adversary 技术, especially those that pose a threat to a security operations center (SOC). 话虽如此, 攻击策略的数量和广度使得任何一个组织几乎不可能监视和分类每一种攻击类型.
丙氨酸&CK的对手战术和技术的知识库被索引和分解成细节, noting attacker steps 和 methods. To go a step further, 主教法冠 also incorporates cyber-threat intelligence that documents adversary group behavior profiles.
的攻击力&CK matrix structure is similar to a periodic table, 列标题列出了攻击链的各个阶段——从“初始访问”一直到“影响”.”
斜接丙氨酸&CK框架vs. 网络杀伤链
两者都是斜接丙氨酸&CK框架 和 the 网络杀伤链 focus on helping organizations 了解攻击者的行为,并采取措施尽快关闭攻击. Let’s first discuss some background on the latter concept.
网络杀伤链框架由国防承包商洛克希德·马丁公司开发,用于识别漏洞和破坏, examine the effectiveness of existing controls, 并精确指出对手必须采取的行动,以实现他们为自己或组织定义的任何目标.
The fundamental difference between the 斜接丙氨酸&CK框架和网络杀伤链的区别在于前者是一个知识库——包含大量针对特定平台的攻击者方法——而后者本质上是一系列更广义的预定义步骤,不建议偏离. 网络杀伤链由七个阶段组成,通常被认为是一种简化的——也是非常有效的——阻止攻击的方法.
A third kill-chain methodology is known as the Unified Kill Chain. 它试图解决斜接丙氨酸的范围限制和时间不可知论性质&CK 和 the 网络杀伤链, respectively. 统一杀伤链的最大好处之一是,它可以更准确地捕捉攻击者的细微行为. The Unified Kill Chain details a whopping 18 specific attack phases, so it might be a bit much depending on the user 和 the use case.
斜接丙氨酸的历史&CK框架
该框架创建于2013年,旨在帮助企业及其安全组织更好地了解攻击者的方法, 从而在对抗世界各地的威胁行为者方面取得进展. According to the 斜接丙氨酸&CK网站:
主教法冠开始说&CK in 2013 to document common tactics, 技术, 以及针对Windows企业网络的高级持续威胁程序(TTPs). 它是出于记录对手行为的需要而创建的,用于主教法冠的一个名为FMX的研究项目. The objective of FMX was to investigate use of 端点 遥测数据和分析,以改善在企业网络中操作的对手的入侵后检测. 丙氨酸&CK被用作测试FMX下传感器和分析效果的基础,并作为进攻和防守双方可以随着时间的推移而改进的共同语言.”
主教法冠为单个用例提供了一个索引或矩阵,如下所示:
- Industrial controls systems (ICS) matrix攻击者用以破坏工业控制系统的策略.
- 企业矩阵: The tactics by which an attacker could breach enterprise systems.
- 移动矩阵: The tactics by which an attacker could breach mobile devices.
斜接丙氨酸&CK矩阵
Let's dive a little deeper into what exactly constitutes a 斜接丙氨酸&CK“矩阵.在前面讨论的用例中描述攻击者标准是很有帮助的. 该矩阵基本上对ttp进行了分类,并通过操作系统或企业软件平台等特定平台方便地对它们进行索引.
According to the 斜接丙氨酸&在CK网站上,攻击者试图实现其目标的常见策略有14种:
- "侦察对手正试图收集他们可以用来计划未来行动的信息.
- 资源开发对手正试图建立他们可以用来支持行动的资源.
- 首次访问: The adversary is trying to get into your network.
- 执行: The adversary is trying to run malicious code.
- 持久性: The adversary is trying to maintain their foothold.
- 特权升级: The adversary is trying to gain higher-level permissions.
- 国防逃税: The adversary is trying to avoid being detected.
- 凭据访问: The adversary is trying to steal account names 和 passwords.
- 发现: The adversary is trying to figure out your environment.
- 横向移动t: The adversary is trying to move through your environment.
- 集合: The adversary is trying to gather data of interest to their goal.
- 指挥与控制攻击者试图与被破坏的系统通信以控制它们.
- 漏出: The adversary is trying to steal data.
- 影响攻击者正试图操纵、中断或破坏你的系统和数据."
斜接丙氨酸&CK框架用例
斜接丙氨酸&CK框架被广泛认为是理解攻击者对组织使用的行为和技术的权威. 它不仅消除了歧义,而且为战斗讨论和协作提供了通用词汇, but also provides practical applications for security teams.
Prioritize 检测s Based on a Unique Environment
即使是资源最充足的团队也无法平等地防御所有攻击向量. 的攻击力&CK框架可以为团队提供一个蓝图,告诉他们在哪里集中他们的检测工作. 例如,许多团队可能会在攻击链中较早地确定威胁的优先级. 其他团队可能希望根据攻击组使用的技术对特定检测进行优先级排序,这些技术在他们各自的行业中特别普遍.
By exploring the 技术, 目标平台, 和风险, teams can educate themselves to help inform their security plan, then leverage the 斜接丙氨酸&CK framework to track progress over time.
评估当前防御措施
该框架在评估当前工具和围绕关键攻击技术的覆盖深度方面也很有价值. 有不同级别的遥测技术可能适用于每个检测. 在一些地区, teams may decide they need high confidence in depth of detection, while a lower level of detection may be acceptable in other areas.
By defining 和 prioritizing threats to the organization, teams can evaluate how their current coverage stacks up. This can also be useful in 渗透测试 (渗透测试)活动,然后在测试期间和之后作为计分卡.
跟踪攻击者组
许多组织可能希望优先跟踪他们知道对其行业或垂直行业构成特定威胁的特定对手群体行为. 的攻击力&CK framework is not a static document, as 主教法冠 continues to evolve the framework as threats emerge 和 evolve. 这个过程使其成为跟踪和了解攻击者组织的活动及其使用的技术的有用的真相来源.