美国网络安全与基础设施安全局：ATTCK框架映射最佳实践指南 最近，美国 CISA 宣布为网络威胁情报专家发布 MITRE ATTCK 框架的新指南，以便更好的利用此框架进行技术实践。 编者按 最近，美国 CISA 宣布为网络威胁情报专家发布 MITRE ATTCK 框架的新指南，以便更好的利用此框架进行技术实践。小编为大家编译了此指南，如大家觉得有用欢迎转发。 指南背景 2018 年，MITRE 发布了ATTCK，这是一个全球可访问的基于现实世界观察的对手战术和技术的知识库。网络威胁分析师使用 ATTCK 知识库来开发私营部门、政府以及网络安全产品和服务社区的特定威胁模型和方法。 MITRE ATTCK 评估服务，评估端点检测和响应产品，检测高级威胁的能力。 尽管效率很高，但许多网络安全专家并未充分利用该框架的潜力，因此，CISA 决定分享一些有关使用 ATTCK 进行威胁情报的指南。 “很大一部分企业没有关联来自云、网络和端点的事件来调查威胁：只有 39% 的企业在调查威胁时合并了来自所有三种环境（云、网络和端点）的事件。 ”其中一项研究写道。 CISA与国土安全系统工程与发展研究所研发中心共同创建了名为“MITRE ATTCK 映射的最佳实践”的指南。 该指南旨在帮助网络威胁分析师将攻击者的 TTP 映射到相关的 ATTCK 技术。 MITRE ATTCK 映射指南的最佳实践提供分步说明，以在分析网络安全威胁时优化 MITRE ATTCK 的使用。该指南还旨在提高防御者主动检测对手行为和共享其行为情报的能力。 “作为网络威胁情报 (CTI) 的一部分，CISA提供此指南以帮助分析师准确、一致地将对手行为映射到相关的ATTCK 技术——无论分析师是希望将 ATTCK 纳入网络安全出版物还是对原始数据的分析。ATTCK 的成功应用将产生一组准确且一致的映射，可用于开发对手概况、进行活动趋势分析，并纳入报告以进行检测、响应和缓解。” 指南正文 简介 对于网络安全和基础设施安全局 (CISA) 而言，了解对手的行为通常是保护网络和数据的第一步。网络防御者在检测方面能否成功缓解网络攻击就取决于这种理解。MITRE ATTCK? 框架是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATTCK 提供 100 多个威胁参与者组的详细信息，包括他们已知使用的技术和软件。ATTCK 可用于识别防御漏洞、评估安全工具功能、组织检测、寻找威胁、参与红队活动或验证缓解措施。CISA 使用 ATTCK 作为识别和分析对手行为的重要工具。CISA 与国土安全系统工程与开发研究所? (HSSEDI) 共同创建了本指南，该研究所是国土安全部拥有的联邦政府资助的研发中心 (FFRDC)，与 MITRE ATTCK 团队合作。 ATTCK级别 ATTCK 描述了整个对手生命周期的行为，通常称为战术、技术和程序 (TTP)。在 ATTCK 中，这些行为对应于四个日益细化的级别： 战术。表示ATTCK 技术或程序的“什么”和“为什么”。它们是对手的技术目标、执行操作的原因。例如，攻击者可能希望获得凭证访问权限以访问目标网络。每种策略都包含一系列技术，网络防御者观察到这些技术被威胁行为者在实际攻击中的应用。注意：ATTCK 框架并不是线性的——对手以直线（即从左到右）通过策略来实现他们的目标。此外，对手不需要使用所有 ATTCK 策略来实现其攻击目标。 技术。表示对手“如何”通过执行行动来实现战术目标。例如，对手可能会转储凭据以实现凭据访问。技术也可以代表对手通过执行行动获得的收益。技术是实现目标的特定行为，通常是旨在完成对手整体任务的一系列活动中的一个步骤。注意：ATTCK 中的许多技术包括可用于恶意目的的合法系统功能。 子技术。提供更细粒度的技术描述。例如，操作系统凭据转储 [T1003] 技术下的行为描述了执行该技术的特定方法，例如访问 LSASS 内存 [T1003.001]、安全帐户管理器 [T1003.002] 或 /etc/passwd 和/etc/shadow [TT1003.008]。程序通常（但不总是）特定于操作系统或平台。并非所有技术都有子技术。 程序是如何使用技术或子技术的特定实例。它们可用于通过对手模拟重现事件以及有关如何检测正在使用的实例的细节。 ATTCK的技术领域 ATTCK 被组织在一系列“技术领域”中——对手在其中运作的生态系统。以下是已开发或正在开发的特定领域的 ATTCK 知识库： MITRE ATTCK - 企业： 基于平台：Windows、Linux 和 MacOS 环境 云矩阵：AWS（亚马逊网络服务）、GCP（谷歌云平台）、Azure、Office 365、Azure AD、软件即服务 (SaaS) 平台