ATTCK(一)之为什么要学习ATTCK

news2024/12/27 13:48:33

ATT&CK

简介

本系列旨在介绍网络红蓝对抗领域最好的ATT&CK矩阵模型,以期帮助有意愿深耕在红蓝对抗领域的人员能系统性的掌握红蓝对抗领域的知识和经验。本系列将详细ATT&CK的起源、发展历史,ATT&CK矩阵相对其他High-Level红蓝对抗模型的优势,ATT&CK在红蓝对抗领域的作用,ATT&CK囊括的战术技术的组织逻辑和应用场景,以及需要动手实操学习的ATT&CK最活跃的子项目AtomRedTeam。

网络攻防痛点

现如今大量的APT(A: Advanced Targeted, Coordinated, Purposeful,P: Persistent Month after Month, Year after Year,T: Threat Person(s) with Intent, Opportunity, and Capability)攻击层出不穷,数据泄露事件频发,各类恶意软件大肆横行,企业与机构在这样的态势下越发显得疲于应对。

首先,单一的攻击手段逐渐已经失去了有效性。在实际的生产应用环境中,基本已经很难利用某一基础通用漏洞对重要的业务资产产生影响,大多数企业已经初具安全意识,这当然是一个非常好的发展趋势,但这却在无形中增加了信息安全人才培养的难度。

如何有效的描述网络攻击所使用的技战法,以及为什么会使用这些技战法,是一个非常复杂的问题。但是这个问题如果不描述清楚,则没有很好的输入给到防御方,以便能够比较系统的建设安全防御方案。防御更是一个系统工程,没有模型或者理论指导,很难有效的起到防御的作用。

同时,网络安全作为计算机中的一个特殊分支,学习的内容广而杂,非常容易迷失方向。而传统的基于目标实践的培养方式在过去很好的激发了一代又一代网安人的成长,他们常常利用所学到的为数不多的知识就能发动一次有效的攻击(比如曾经的SQL漏洞满天飞,3389跑远控,MSF打内网),而这对于现阶段的网络环境已经变得不切实际了。因此非常需要这样一个类似于指导方案的框架出现,使学习者能够明白学习目标是什么,所需的知识是什么。

结合这两个痛点,我们开始今天的内容,即为什么要学习ATT&CK矩阵

在这里插入图片描述

攻击方视角

  • 在实际的生产应用环境中,基本已经很难利用某一基础通用漏洞对重要的业务资产产生影响
  • 大多数企业已经初具安全意识,安全对抗是网络攻防的必然工作
  • 如何比较系统、成体系训练掌握攻击手段,构建攻击链路比较难

防御方视角

  • 如何描述网络攻击手法所使用的技战法,以及为什么会使用这些技战法,是一个非常的复杂的问题
  • 这个问题如果不描述清楚,则没有很好的输入给到防御方,以便能够比较系统的建设安全方案
  • 防御是一个系统工程,没有模型或者理论指导,很难有效起到防御的作用

High-Level的攻击路径模型

在这里插入图片描述

一是网络必须可达,否则网络攻击无从谈起;二是必须有网络攻击手段,包括漏洞、弱口令、现有访问凭据利用、现有功能利用等

在这里插入图片描述

这个模型的优点在于从业务层描述网络攻击,上层领导能够快速理解网络攻击,所以能有利于分析重点,例如从攻击者视角,可以分析优先攻击哪些资产,需要准备哪些资源;从防御者视角,可以分析哪些资产是关键的防御对象,追踪恶意攻击溯源时,从哪些点上更大概率会找到痕迹,还原攻击路径

缺点是缺少技术细节,尤其是如何描述复杂多样的技术细节,以及为什么要使用这些技术、而不是哪些技术等等,以及为什么要使用这些攻击手法(战术)

在这里插入图片描述

High-Level的杀伤链Cyber-Kill-Chain模型

在这里插入图片描述

Cyber-Kill-Chain刚面世的时候,是被称为入侵杀伤链,后续才更名为网络杀伤链。在2011年,为了描述网络攻防,洛克希德·马丁公司的计算机科学家,提出一种"入侵杀伤链(Instrusion Kill Chain)"用于保持计算机网络,入侵杀伤链中提出,攻击可能会分阶段发生,并且可以通过在每个阶段建立的控制来破坏

在这里插入图片描述

CKC将攻击共划分为如下7个阶段:

  1. 侦察Reconnaissance:指通过各种信息来源(如github、空间扫描、社工等)方式,收集可访问的攻击入口
  2. 武器化Weaponization:指攻击者利用漏洞信息,提前制作攻击武器,以便在攻击过程中能快速完成突破。所谓工欲善其事,必先利其器说的就是这个道理。
  3. 投递 Delivery:指通过钓鱼邮件、web访问、USB外设等途径,向目标企业网络投递攻击武器。
  4. 漏洞利用 Exploitation:当武器(恶意软件)触及到目标系统或终端时,会通过漏洞等方式,控制受害者的终端或业务系统服务器。
  5. 安装 Installation:恶意软件安装一个新的后门或新的木马程序,以提升入侵者的访问权限,能接触到更多系统
  6. 命令与控制 Command and Control:通过前述各类攻击武器,攻击者可以进行命令控制操作,比如说发起进一步的嗅探、攻击等
  7. 目标行动Actions on Objective:当攻击者接触到既定攻击目标时,可以对其进行各种既定行动(如盗窃机密数据、破坏/加密数据进行勒索等)

Cyber-Kill-Chain解决了如何描述攻击战术的各个阶段的问题,能让大家更好地理解攻击过程。但是CKC存在如下关键问题:

在这里插入图片描述

  1. 抽象程度较高,不同的攻方、守方针对同一个攻击事件,也会给出不同的描述,缺乏统一的描述机制和原语支撑
  2. 随着网络世界的复杂化,攻防不对称程度持续深化。针对同一个阶段,攻击方有无数种技术、方法可以使用,而防守方却无法清晰描述和知晓自身的安全防护能力的全景实况,难以持续提升攻防对抗能力。

:网络世界的复杂化是指,比如说操作系统种类越来越多(windows,mac,linux,android,ios等),开发语言越来越多(c/c++、python/ruby、golang等),中间件越来越多(IIS,apache,nginx等)、服务框架、业务系统数量都越来越多,这些复杂化,会增加大量的漏洞、攻击技术、攻击方法

缺少一个比较通用的模型,可以从High-Level和Low-Level同时描述攻击过程,以便安全防御人员能够快速、直观地理解这个攻击过程,以及所使用的技战术等,从而能够针对性的制定追踪溯源方案、安全防御方案

在这里插入图片描述

ATT&CK矩阵

在这里插入图片描述

ATT&CK是由MITRE机构开发的攻击模型框架,其全称为Adversarial Tactics, Techniques, and Common Knowledge(对抗性战术,技术以及公共知识库),是一个基于现实世界所观察到的攻击向量所组成的一个公开的对抗性战术和技术知识库,其可被用于私营机构、政府部门、网络安全产品和服务社区作为特定威胁模型和方法的开发基础

战术是攻击者执行某项行动的战术目标。战术提供了各项技术的环境类别,并涵盖了攻击者在攻击时执行活动的标准、高级标记,例如持久化、信息发现、横向移动、文件执行和数据泄露

在这里插入图片描述

技术(Techniques)代表攻击者通过执行动作来实现战术目标的“方式”。例如,攻击者可能会转储凭据,以便访问网络中的有用凭据,之后可能会使用这些凭据进行横向移动。技术也可以表示攻击者通过执行一个动作要获取“内容”。这与“发现”战术有明显的区别,因为技术侧重的是攻击者采取特定动作是为了获取什么类型的信息

通过战术、技术,用于描述攻击行动的整个过程,也就是我们常说的攻击链

面对复杂的网络攻击, ATT&CK的出现正有利于这一问题的解决,通过从宏观到微观的角度,使用通用语言对各种攻击环节与行为进行具体描述,方便企业与机构据此对自身资产进行一个完整有效的安全评估,隔绝各种可能的入侵风险,这对于整个信息产业的发展都起着弥足轻重的作用

同时,最近威胁情报这一概念也逐渐进入了人们的视野,ATT&CK通过使用定义结构化语言也为动态情报系统的发展奠定了基础

在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/693347.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Redis7【② Key通用命令 十大数据类型】

1 Key的通用命令 redis命令不区分大小写,但是key是区分大小写的。没有返回值的命令执行成功会返回1,失败返回0。 1. KEYS 查看所有的key,返回值是一个数组 2. EXISTS EXISTS key [key ...]:返回给定的key中已存在的个数&#xf…

前端Vue自定义验证码密码登录切换tabs选项卡标签栏标题栏 验证码登录模版 密码登录模版

前端Vue自定义验证码密码登录切换tabs选项卡标签栏标题栏 验证码登录模版 密码登录模版, 请访问uni-app插件市场地址:https://ext.dcloud.net.cn/plugin?id13221 效果图如下: 实现代码如下: # cc-selectBox #### 使用方法 使…

【计算机网络】可靠传输的实现机制

1、停止-等待协议SW 信道利用率 题目 小结 2.回退N帧协议GBN Go-Back-N 题目 小结

设计模式3:单例模式:JMM与volatile和synchronized的关系

本文目录 JMM简介Java 内部内存模型(The Internal Java Memory Model)硬件内存架构(Hardware Memory Architecture)弥合 Java 内存模型和硬件内存架构之间的差距(Bridging The Gap Between The Java Memory Model And The Hardware Memory Architecture)1.共享对象的可见性2.竞…

OpenStack(T版)——计算(Nova)服务介绍与安装

文章目录 OpenStack(T版)——计算(Nova)服务介绍与安装安装与配置(controller)准备(1)创建数据库(2)加载环境变量(3)创建认证服务凭据(4)创建Nova计算服务组件的API endpoint 安装和配置Nova计算服务组件(1)安装软件包(2)编辑/etc/nova/nova.conf 完成以下操作(3)同步数据库验证…

云服务器Linux防火墙云锁安装部署及使用 技术支持服务器安全运维

服务器必备安全防护及运维管理SAAS解决方案,支持windows/linux服务器跨平台实时、批量、远程安全管理,有效对抗服务器入侵和网络攻击。 服务器:Redhat/CentOS/Ubuntu/SUSE/中标麒麟 64位 Web中间件:Apache/Nginx/kangle/Tomcat/W…

【软考网络管理员】2023年软考网管初级常见知识考点(26)- HTML常见属性标签、表格、表单详解

涉及知识点 Html的概念,html常见标签,html常见属性,html表格,html表单,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总。 原创于:CSDN博主-《拄杖盲学轻声码…

5-2图像处理经典案例:正弦噪声图像去噪

学习目标: 图像处理经典案例 去除噪声 1.简述 图像降噪的英文名称是Image Denoising, 图像处理中的专业术语。是指减少数字图像中噪声的过程,有时候又称为图像去噪。图像的噪声来源相对复杂,搞清楚图像噪声的成因对我们进行…

B+树

B树 B树是对B树的一种变形树,它与B树的差异在于: 非叶结点仅具有索引作用,也就是说,非叶子结点只存储key,不存储value 树的所有叶结点构成一个有序链表,可以按照key排序的次序遍历全部数据 B树存储数据 若参数M选…

使用影刀RPA拆分excel数据

首先,要使程序有一定的兼容性,即增加互动性,认为选择要拆分的文件和拆分的依据列,可以利用影刀中的‘打开选择对话框’和‘打开输入对话框’来实现,这样一来便不用考虑待拆分excel的路径问题获取1中选择的依据拆分列&a…

登录框界面之渗透测试思路总结

前言 大家都知道,渗透的过程中,遇见登录框是很常见的。下面就简单总结一下渗透中遇见登录页面的思路: 首先登录页面可能产生哪些漏洞呢? 1、弱密码与暴力破解 2、万能密码、SQL与XSS(注入) 3、登录时&…

渗透测试自动化报告脚本-----Nessus报告自动化解析--1-html解析

本专栏内容主要用于渗透测试工程师应对在工作中的自动化操作难题,高效摸鱼专用 解决问题 1、对Nessus导出的html报告进行自动化的提取操作,包括IP地址,漏洞个数,漏洞等级,漏洞描述,CVE编号等 2、由于Nes…

配置文件的优先级及maven打包和参数(port)的修改

1、配置文件的优先级 SpringBoot中支持五种配置格式:优先级:命令行参数(–xxxxxx) > java系统属性(-Dxxx xxx) > application.properties > application.yml > application.yaml 虽然springboot支持多种格式配置文件,但是在项目开发时&…

智能仓储货架的电子标签解决方案

近年来,电商和新零售行业的迅猛增长催生了仓储管理场景和运营模式的变革。企业不断寻求“低成本”和“更可靠”的解决方案,加快了仓储管理从粗放型向精细化转变的步伐。仓储管理的技术变革从机械化走向自动化,仓储数智化成为主流趋势。在这个…

chatgpt赋能python:Python语言冒泡排序-深入了解

Python语言冒泡排序 - 深入了解 冒泡排序是一种基本的排序算法,也是学习排序算法的入门算法之一。在Python中,我们可以很容易地实现冒泡排序。 冒泡排序的原理 冒泡排序的原理很简单,大概分为以下几个步骤: 比较相邻的元素&am…

Jnpf低代码开发平台

一、写在前面 低代码开发平台,一个号称能在几分钟的时间里开发出一套公司内部都可使用的应用系统开发工具。 很多人或许都隐隐听说过低代码,因为低代码不仅远名国外,国内的腾讯、阿里、华为、网易、百度等科技巨头也纷纷入局,足以…

蓝桥杯专题-试题版-【打印十字图】【剪格子】【错误票据】【翻硬币】

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例点击跳转>软考全系列点击跳转>蓝桥系列 👉关于作者 专注于Android/Unity和各种游…

【软考网络管理员】2023年软考网管初级常见知识考点(29)-进程管理与存储管理

涉及知识点 进程管理,进程状态,死锁问题,存储管理,页面置换算法,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总。 原创于:CSDN博主-《拄杖盲学轻声码》&…

高速电路设计系列分享-熟悉JESD204B(中)

目录 概要 整体架构流程 技术名词解释 技术细节 1.数据链路层 小结 概要 提示:这里可以添加技术概要 随着高速ADC跨入GSPS范围,与FPGA(定制ASIC)进行数据传输的首选接口协JESD204B。为了捕捉频率范围更高的RF频谱,需要宽带RFADC。在其推动下…

elasticsearch 明明有index但是查不出来

最近用python去query elastricsearch的data,但是我再kibana明明看到有,但是就是查不出来 因为涉及公司隐私,就不截图直接举例子了,我在 discover里面看到的是某条数据的index是 xxx-sss-a-b,但是我写query是xxx-sss-a-…