首次覆盖“人的因素”,MITRE ATT&CK v14发布
MITRE在万圣节期间发布了MITRE ATT&CK v14,这是流行的ATT&CK框架的一次重大版本更新,范围首次扩大到针对“人类漏洞”的非技术攻击。
ATT&CK是流行的事件调查框架和对手TTPs知识库,每六个月发布一个新版本。其目标是对现实世界网络攻击中对手的行为进行编目和分类。该框架不断进行调整,以包含攻击者与设备、系统和网络交互的最新技术、方法和流程。
MITRE ATT&CK包括以下三大矩阵:
- 企业版,涵盖用于针对Windows、macOS、Linux、PRE、云平台(AzureAD、Office365、GoogleWorkspace、SaaS、IaaS)、网络设备和容器的策略和技术
- 移动设备(安卓、iOS)
- ICS(工业控制系统)
首次覆盖针对人员的非技术攻击
MITRE高级网络安全工程师AmyL.Robertson表示:“随着攻击者不断发展对人类漏洞的利用,ATT&CK在此版本中扩大了其范围,涵盖了更多邻近但会导致直接网络交互或影响的活动。”
“新增的范围覆盖了可能没有直接技术成分的欺骗行为和社会工程技术,包括金融盗窃、冒充和鱼叉式网络钓鱼。”
MITRE ATT&CK v14的其他重大更新:
- 增强的检测注释可帮助防御者在分析网络流量时检测对手行为的迹象
- 增强检测、数据源和缓解措施之间的关系
- ICS矩阵中包含的新资产(设备和系统)
- 更广泛的移动矩阵(添加了新的网络钓鱼向量,包括quishing)和结构化检测
- 新软件、攻击组织和记录的活动
实施MITRE ATT&CK需要循序渐进
MITRE ATT&CK项目负责人Adam Pennington指出:“ATT&CK最初是一个识别对手及其策略的Excel电子表格,现在已经转变为一个被世界各地用户引用和贡献的框架。”
企业可以使用ATT&CK框架打磨其威胁模型、评估供应商能力、映射检测以简化分析师的工作、进行员工培训等。
企业应该从小范围小规模开始,循序渐进地实施ATT&CK框架。
“该框架分为多种技术,因此组织可以从与其系统相关的单个策略开始。例如,如果您关心身份管理,可以深入研究对手如何窃取密码并识别他们行为之间的重叠。一旦达到这些优先级点,就可部署针对性的保护措施。”Pennington建议道。
MITRE还致力于开发D3FEND框架,一个针对常见进攻技术的防御技术知识库,也是一个供网络安全专业人员针对特定网络威胁定制防御的框架,D3FEND与侧重对手知识库的ATT&CK框架形成互补。