基于ATT&CK提升安全检测能力的开发践行
发布时间:2022-08-04 11:50:49 所属栏目:安全 来源:互联网
导读:ATTCK是一个基于黑客攻击实战结果建立的网络攻击战术和技术的知识体系,它描述了网络攻击的行为模型,反映出整个攻击周期的各个阶段。 ATTCK包含三个核心部分,即战术、技术和过程(TTPs),战术表示攻击者的目标,技术表示攻击者达成战术目标的方法与手段,过
ATT&CK是一个基于黑客攻击实战结果建立的网络攻击战术和技术的知识体系,它描述了网络攻击的行为模型,反映出整个攻击周期的各个阶段。 ATT&CK包含三个核心部分,即战术、技术和过程(TTPs),战术表示攻击者的目标,技术表示攻击者达成战术目标的方法与手段,过程显示攻击者如何执行某项技术。今年7月,技术中新增了“子技术”概念,表示比技术低一级别、达成目标的特定方法。 最顶层的TTPs反映了攻击者的行为,调整TTPs需要付出很高的时间和金钱成本。当我们在这一级别检测和响应时,就是在直接操作攻击者的行为,而不是针对他们的工具。利用ATT&CK检测攻击者的行为习惯,迫使他们重新学习训练新的行为,能够极大提高攻击门槛。 总体来说,ATT&CK模型是在洛马公司提出的KillChain模型的基础上,构建的一套更细粒度、更易共享的知识模型和框架。 以往,业界关注较多的是边界防护,认为只要在边界部署防火墙就可以阻止攻击者的进入。但随着物联网、工业互联网、云计算的发展,更进一步打破了物理边界的概念。我们需要监控并检测攻击过程的整个生命周期,甚至假设攻击者已经入侵内部网络。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |