本课题有关的 ATT&CK 相关基础知识扫盲

[c4pr1c3]

官方的 ATT&CK beta 版更新简介

• beta 版正式发布预计在 2020.7
• beta 版的核心变化是引入「sub-techniques」（子技术，或「技术分支」），当前的正式版已经停止接收新贡献，所有变更都将加入到「sub-techniques」版本
  • Any new content to ATT&CK will only be added to the sub-technique version since it will be too difficult to maintain two different versions of ATT&CK. If you are contributing groups or software entries, we’d ask you to leverage the sub-technique version of ATT&CK.

ATT&CK 官方的贡献指南

• 「发邮件」给官方邮箱是目前唯一的「贡献渠道」，人工撰写「描述文本」是目前唯一的「贡献手段」
• 「描述文本」撰写规范需要参考 ATT&CK 设计理念 (2020.3)
  • CAPEC 和 CWE 是「攻击向量」穷举理论模型 ，ATT&CK 是基于「公开事件报告」的「实战知识库模型」

构建攻击观光生态（ATT&CK 知识库在各行各业的应用过程和效果数据收集）

• ATT&CK 知识库的构建离不开「社区」参与，所有技术均要求来自于 公开报告 的 真实事件 。由于并没有「所有」安全事件都会被报告或公开披露，因此，并不是「所有」真实技术都能被收录。知识库的构建过程是耗时和存在时效性延迟的。
  • We use intel reporting to show fact-of use of techniques in the wild.
  • This isn’t exhaustive since not everything can or does get reported.
  • We also make every effort to get useful public reports indexed into ATT&CK, but it does take some time.
• 常见的社区报告「偏差」
  • 创新性偏差。只有包含「全新、有趣或新团伙使用的老技术」的安全事件报告会被接受，其他只包含频繁被使用技术的报告则不被接受。
  • 视角偏差。组织发布的威胁情报可能存在某些技术语焉不详的问题。对于事件响应来说，救火和在灰烬中搜索会有截然不同的视角和看法。对于在事件发生期间和之后的技术描述，视角可能会有所不同。
  • 生产者偏差。某些组织会发布很多报告，但由于他们的客户类型或视角差异导致他们的报告不能代表更广泛的行业或世界。
  • 受害者偏差。某些类型的受害者组织可能会更倾向于报告安全事件或成为安全事件报告中的主角。
  • 可用性偏差。容易被想到的技术更容易出现在安全事件报告中。
• ATT&CK Sightings 目前处于「试点计划（Pilot Program）」阶段，制定了基于 ATT&CK 知识库的「安全事件」分享报告的规范。
  • 遵循 NDA（Non-Disclosure Agreement） 原则
  • 如果当前「试点计划」执行效果可观，ATT&CK 开发小组将继续推进「自动化规范工作流」
    • Initial Ops：目标是对数据的首次公开发布。遵循提交者授权协议发布数据。
    • Mature Ops：数据处理规范化，提交自动化。
• ATT&CK Sightings 计划 要解决的问题：不同水平、不同行业、不同时间入门 ATT&CK 的用户，如何「针对性」快速上手 ATT&CK 的问题
  • How do I know which techniques to start with first?
  • As a company in the finance sector, do the attackers I face use different tactics from those facing retail or healthcare?
  • How are attacks trending over time? Are older forms of attacks still in use?

ATT&CK 理念和实战宣讲 PPT

• ATT&CK™ is a globally-accessible knowledge base of adversary tactics and techniques, developed by MITRE based on real-world observations of adversaries’ operations.
  • 开放的知识库
  • 聚焦于 tactics 和 techniques 知识（分享）而不是 IoC
  • MITRE 主导开发
  • 源于真实安全事件报告
• ATT&CK 构建于 TTP 和「杀伤链」模型之上
  • Tactics（What）攻击（阶段）目标
  • Techniques（How）攻击目标达成手段
• 核心使用场景
  • 检测（规则）
  • 威胁情报
  • 评估和工程化
  • 攻击模拟
• 该报告聚焦于「理解检测能力差距」：SOC 评估

ATT&CK Navigator Tools (beta)

• 可视化：安全事件、安全能力
• 可分享：安全事件、安全能力
• 可量化：安全事件、安全能力、安全事件影响力

相关研究进展

• https://github.com/nshalabi/ATTACK-Tools
  • ATT&CK 的「关系型数据模型」，可以转为 SQL 文件用于数据库表结构设计
  • 基于 ATT&CK 的攻击模拟可视化「规划设计」工具