<optgroup id="gy7sm"><font id="gy7sm"></font></optgroup>
<small id="gy7sm"></small>
  • <small id="gy7sm"><dfn id="gy7sm"></dfn></small>

    青藤云安全:ATT&amp;CK框架迎來重大變革,“子技

    • 時間:
    • 瀏覽:0
    • 來源:

    近日,ATT&CK團隊發布了新的抽象概念:子技術,并且對ATT&CK框架整體做了更新。過去ATT&CK框架針對不同技術存在抽象程度不一的問題,例如某些技術非常具體,某些技術則非常概括,有些技術只是某種技術具體類型?,F在,隨著子技術的出現徹底解決技術抽象級別的問題。

     

    新版本ATT&CK框架

    新版ATT&CK(for Enterprise)包含156項技術(原來是266個技術)和272項子技術。對于舊版ATT&CK技術,有部分技術被保留下來,有部分降級為子技術,有部分與其它技術或者子技術合并,也有部分被棄用。

    何為子技術

    相比技術而言,子技術是一種更加具體的技術。這就好比,生物學上分類方法,“門綱目科屬種”,分類比“種”還細致的分法就是“亞種” 。例如,老虎總共有八個亞種,包括東北虎、 華南虎、孟加拉虎等。這種分類方式可以更細粒度進行種類之間的關系建模。

    以T1574技術(劫持執行流)為例,攻擊者可以通過劫持操作系統運行程序來執行自己的惡意負載,然后實現持久化、防御繞過和提權。但是攻擊者可以通過多種方式劫持執行流。在新版的ATT&CK框架中,T1574技術將一些具體技術歸攏到一起,該技術擁有11個子技術。

    T1574技術包含11個子技術

    子技術編號采用模式是,將ATT&CK技術ID擴展為T[technique].[子技術]。例如,進程注入仍然是T1055,但是子技術進程注入:動態鏈接庫注入是T1055.001。

    子技術編號模式

    子技術特點

    打開子技術和技術具體頁面,其所包含信息幾乎一樣,包括攻擊技術描述、檢測、環節、數據源等。其根本區別在于他們之間的關系,任何一個子技術都擁有唯一個父技術。但是子技術與技術之間并不存在一對多關系。但對于橫跨多個戰術的子技術需要特別說明下,子技術并不需要考慮其父技術歸屬于哪個戰術。例如,進程注入(T1055)屬于“防御繞過”和“提權”兩個戰術下面的技術,其對應的子技術進程鏤空(T1055.012)是唯一的。

    此外,并不是所有技術都擁有子技術。雖然每一個子技術通常作用是提供更多關于父技術具體使用的信息,但仍然有一些技術沒有突破到子技術,或者沒有必要歸納到更高級別的技術。例如,雙因子身份認證攔截就是一個例子。

    子技術會繼承父技術一些信息,包括緩解措施和數據源信息等。但是攻擊組織和惡意軟件相關實例在子技術和技術之間并不存在繼承關系。例如在審核相關威脅情報時,如果提供信息足夠詳細,足以將其關聯到子技術,則可以映射到子技術上。如果信息是不明確的,以至于子技術不能被識別,那么該信息將被映射到該技術。為了減少冗余關系,不應該將同一攻擊實例映射到兩者之上。

    寫在最后

    ATT&CK子技術概念使得整個框架幾乎重構,基于ATT&CK框架設計的流程、工具等都需要做出對應調整,以及包括人們使用習慣都需要一個熟悉過程。目前ATT&CK官網仍然支持用戶可以選擇舊版本使用。

    但是從長遠來看,子技術利遠大于弊。子技術出現,讓ATT&CK框架更加精煉,主要表現為以下幾個方面:

    使整個知識庫的技術抽象層次屬于同一個層級

    將技術的數量控制在可管理的水平,避免爆發式增長

    通過便捷式新增子技術更新,來減少對技術本身修改

    通過使用重復技術,簡化向ATT&CK新增技術域難度,例如新增cloud、ICS等

    更加詳細描述在不同平臺上檢測攻擊技術所涉及的數據源及描述。




     

    (責任編輯:mzcy898)

    街机捕鱼游戏下载