ATT&CK
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge,入侵者戰術、技術和共有知識庫)或MITRE ATT&CK,是以駭客的視角,針對網路攻擊入侵進行分類和說明的指南,由非營利組織MITRE所創建,在2013年提出[1]。會以表格的方式呈現,稱為ATT&CK Matrix。
此框架將網路攻擊分為十四個戰術階段,像是特權提昇(privilege escalation)及指揮控制(command and control),這也是入侵方在各階段的技術目的[2]。戰術階段會往下列入為個別的技術和子技術[2]。例如特權提昇的對應技術有13種,包括濫用高級控制機制、訪問令牌操作等。
此框架可以替代洛克希德·馬丁提出的網路殺傷鏈(cyber kill chain)[2]。
Enterprise ATT&CK
Enterprise ATT&CK是以看板工具呈現的全面性框架[3]。其中定義14類的戰術、技術和程序(TTPs),是網路犯罪者會用的方法,以及其峃關的技術和子技術。
| 分類 | 說明 | 技術數量 |
|---|---|---|
| 偵察(Reconnaissance) | 收集有關目標的資訊 | 10 |
| 資源建立(Resource Development) | 識別攻擊需要的資源,並取得資源 | 8 |
| 初步存取(Initial Access) | 開始存取系統或是網路. | 10 |
| 程式執行(Execution) | 在系統中執行惡意的程式 | 14 |
| 持久化(Persistence) | 持續的存取系統或是網路 | 20 |
| 特权提升(Privilege Escalation) | 在系統或是網路中的特權得以提昇 | 14 |
| 防御逃逸(Defense Evasion) | 停用或規避安全措施. | 43 |
| 憑證存取(Credential Access) | 獲得存取其他系統或資料的憑證 | 17 |
| 發現(Discovery) | 識別系統中的其他系統或是資訊 | 32 |
| 網路橫向移動(Lateral Movement) | 在在受感染的網路內橫向移動(移動到其他同層次的設備) | 9 |
| 收集信息(Collection) | 收集受感染系統內的資料 | 10 |
| 指揮控制(Command and Control) | 建立和受感染系統之間的通訊 | 17 |
| 数据窃取(Exfiltration) | 將從受感染系統中窃取的資料轉移到系統外 | 9 |
| 衝擊(Impact) | 採取行動,達到攻擊者的目的 | 14 |
參考資料
- ^ What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. (原始内容存档于2023-04-05) (英语).
- ^ 2.0 2.1 2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. (原始内容存档于2023-03-19) (英语).
- ^ MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].