公司新闻

青藤云安全:ATT&CK框架迎来重大变革,“子技术”正式出炉

日期:2020-07-23

近来,ATT&CK团队发布了新的笼统概念:子k8凯发真人娱乐手机技能,而且对ATT&CK结构全体做了更新。曩昔ATT&CK结构针对不同技能存在笼统程度纷歧的问题,例如某些技能十分具体,某些技能则十分归纳,有些技能仅仅某种技能具体类型。现在,跟着子技能的呈现彻底解决技能笼统等级的问题。

新版本ATT&CK结构

新版ATT&CK(for Enterprise)包含156项技能(原来是266个技能)和272项子技能。关于旧版ATT&CK技能,有部分技能被保存下来,有部分降级为子技能,有部分与其它技能或许子技能兼并,也有部分被弃用。

何为子技能

比较技能而言,子技能是一种愈加具体的技能。这就比如,生物学上分类办法,“门纲目科属种”,分类比“种”还详尽的分法便是“亚种” 。例如,山君总共有八个亚种,包含东北虎、 华南虎、孟加拉虎等。这种分类方法能够更细粒度进行品种之间的联系建模。

以T1574技能(绑架履行流)为例,进犯者能够经过绑架操作体系运转程序来履行自己的歹意负载,然后完成耐久化、防护绕过和提权。可是进犯者能够经过多种方法绑架履行流。在新版的ATT&CK结构中,T1574技能将一些具体技能归拢到一同,该技能具有11个子技能。

T1574技能包含11个子技能

子技能编号选用形式是,将ATT&CK技能ID扩展为T[technique].[子技能]。例如,进程注入依然是T1055,可是子技能进程注入:动态链接库注入是T1055.001。

子技能编号形式

子技能特色

翻开子技能和技能具体页面,其所包含信息简直相同,包含进犯技能描绘、检测、环节、数据源等。其底子差异在于他们之间的联系,任何一个子技能都具有仅有个父技能。可是子技能与技能之间并不存在一对多联系。但关于横跨多个战术的子技能需求特别阐明下,子技能并不需求考虑其父技能归归于哪个战术。例如,进程注入(T1055)归于“防护绕过”和“提权”两个战术下面的技能,其对应的子技能进程镂空(T1055.012)是仅有的。

此外,并不是一切技能都具有子技能。尽管每一个子技能一般作用是供给更多关于父技能具体运用的信息,但依然有一些技能没有打破到子技能,或许没有必要归纳到更高等级的技能。例如,双因子身份认证阻拦便是一个比如。

子技能会承继父技能一些信息,包含缓解办法和数据源信息等。可是进犯安排和歹意软件相关实例在子技能和技能之间并不存在承继联系。例如在审阅相关要挟情报时,假如供给信息满足具体,足以将其相关到子技能,则能够映射到子技能上。假如信息是不明确的,以至于子技能不能被辨认,那么该信息将被映射到该技能。为了削减冗余联系,不应该将同一进犯实例映射到两者之上。

写在最终

ATT&CK子技能概念使得整个结构简直重构,根据ATT&CK结构规划的流程、东西等都需求做出对应调整,以及包含人们运用习气都需求一个了解进程。现在ATT&CK官网依然支撑用户能够挑选旧版本运用。

可是从长远来看,子技能利远大于弊。子技能呈现,让ATT&CK结构愈加精粹,首要表现为以下几个方面:

使整个知识库的技能笼统层次归于同一个层级

将技能的数量控制在可办理的水平,防止爆发式增加

经过快捷式新增子技能更新,来削减对技能自身修正

经过运用重复技能,简化向ATT&CK新增技能域难度,例如新增cloud、ICS等

愈加具体描绘在不同平台上检测进犯技能所触及的数据源及描绘。

延伸阅览:

  • 各地连续开工一批数据中心项目 怎样建更科学?
  • 中国电信:新建体系100%上云,存量体系三年上云
  • 印越5G自研背面 是美国的围华战略