5
近日,ATT&CK发布了V11版本!按照其发展路线图,ATT&CK会在2022年会更新两个版本:在4月份更新V11版本,并在10月份更新V12版本。本次更新的V11版本,最大的变化是对“检测”内容进行重组,将“检测”与ATT&CK for Enterprise中的数据源和数据组件对象关联起来,ATT&CK for Mobile增加子技术测试版、ATT&CK for ICS添加到了MITRE ATT&CK的官网(attack.mitre.org)上。V12版本预计会增加行动内容(Campaigns)元素。
多年来,青藤不断增强对ATT&CK研究,形成了系统化的研究内容。5月19日19:30,青藤安全运营专家/高级咨询顾问黄亮将围绕ATT&CK,与大家线上探讨如何利用ATT&CK帮助企业落地实战化、自动化的安全运营能力。
扫码预约直播
增强结构化检测
过去几年里,MITRE ATT&CK反复研究如何各种可操作的ATT&CK字段转化为可管理的对象。在V5版本中,ATT&CK将缓解措施(Mitigations)转换为对象,以提高缓解措施的价值和可用性。将缓解措施转化为对象之后,用户可以根据缓解措施找到预防相关攻击技术的不同措施。在V10版本中,ATT&CK把数据源转换为对象,实现了类似的透视和分析功能。
最新发布的V11版本采用了类似的方法处理ATT&CK for Enterprise中的“检测”内容。以前,“检测”是在“技术”页面上用文本进行描述的,V11版本对此进行了改进,将“检测”合并到与数据源有关的描述中。这样,针对每项攻击技术的检测,用户就可以明确地知道需要收集哪些信息作为输入信息(数据源),以及通过如何分析这些数据来识别特定的攻击技术(检测)。
在“T1197 BITS作业”页面的检测信息
在“数据源”页面上,也有检测信息,并与“数据组件”下列出的每项技术进行了关联,这样用户就能够清晰地知道这些数据源可以用于检测哪些攻击技术。
数据源“容器”页面的检测信息
Mobile子技术测试版上线
2020年,ATT&CK for Enterprise中增加了多项子技术,这些子技术广受好评,解决了Enterprise矩阵不断变大过程中遇到的一些问题。在V11版本中,ATT&CK for Mobile也增加了子技术(测试版),预计今年夏天会正式发布ATT&CK for Mobile及其子技术。
ICS矩阵在官网上线
此前,ATT&CK for ICS是在MediaWiki网站上推出的,呈现方式与其官网类似,现已在官网正式上线。该版本的不同之处在于,合并了攻击组织和软件,将ICS技术添加到攻击组织和软件页面中,并在描述中做出相应的更新;此外,还整合了ATT&CK for ICS的数据源和数据组件。由于ATT&CK for ICS和ATT&CK for Enterprise二者之间存在一定的重叠,因此,增加了一个过滤器,可以看到只针对ATT&CK for ICS的数据源和数据组件,只针对ATT&CK for Enterprise的数据源和数据组件,以及二者通用的数据源和数据组件。
写在最后
最近几年,ATT&CK框架发展日趋完善,而且备受欢迎,得到了安全行业的广泛采用。青藤通过多年对ATT&CK的研究探索,积累了大量较为成熟和系统化的研究材料。未来,青藤将持续关注ATT&CK的发展,为大家介绍ATT&CK发展的最新动态与最佳实践。5月19日19:30,青藤安全运营专家/高级咨询顾问黄亮与您共话ATT&CK。
发表评论
您还未登录,请先登录。
登录