att&ack学习笔记6

att&ck

攻击能力和防御能力的可量化可衡量的标准，
是否防得住，是否检测的了，和同行的对比

攻击行为（网络威胁分析，研究，行业报告）-----》ATT&CK（对抗模型，对抗流程细分，回答怎么做和为什么）------》防御（数据源，分析，优先排序，缓解）

ATT&CK是一个对抗行为知识库，该知识库
是基于真实观察数据创建的
提供了一个沟通交流的通用语言
是公开免费的，全球可访问的
是由社区驱动的

ATT&CK的核心概念（Tactic）  12个战术/阶段（包括整个攻防的所有内容，这些内容是高度抽象的，和具体的系统无关）

    初始访问（钓鱼，物理接入，用来打第一个点）

    执行（到底用什么方式执行我的恶意程序，后门）

    持久化（如何保持你的权限，如何在系统中留下后门，几乎把方法已经列全了）

    提升权限（从一个低权限的账号升级一个高权限的账号）

    防御绕过（）

    凭据访问（当我获得高权限的，把这个系统上的可以作为横向扩展的凭据，可以用来登录的凭据）

    发现（在复杂的网络，发现核心的资产）

    横向移动（攻击一个点后，如何实现扩展到其他的点）

    收集（尽可能收集下对我有用的数据，比如视频文件）

    命令和控制（可以在机器上执行某些命令，来达到某些目的）

    数据渗透（把拿到的数据如何拿出去）

    影响（对这个系统产生更进一步的影响和操作，比如关机，掉电，勒索等）

ATT&CK的核心概念（Technique）300多种攻击技术
    以通用方式应用多个平台的通用技术（例如混淆的文件和信息）
    以特定方式应用于多个平台的常规技术（例如进程注入）

    仅仅适用于一种平台的特定技术

使用场景
    1、检测分析
    a、选择攻击技术
    b、查阅检测该技术所需的数据源
    c、完成检测脚本和命令
    d、收集数据
    e、分析收集到的数据源是否可行
    f、收集到数据后进行正式分析（是否真实发生了攻击，是否漏报 误报）
    g、判断误报的特征，然后修改检测脚本和命令

2、威胁情报
    level  依赖att&ck的情报
    例如 在att&ck搜索框查找所在行业经常遇到atp组织，了解其涉及的技术以及缓解措施
    level2  
    将apt的攻击情况映射到att&ck框架中，这些威胁情报报告既可以来源于内部的输出，也可以来源外面的渠道
    level3 自己生产威胁情报
    将更多的内部和外部的信息都映射到att&ck框架中，包括事件的响应数据，威胁订阅报告，实时警报和组织的历史信息等

情报团队追踪atp的工具，获取最新的威胁情报，然后和事件响应团队需要打破隔离，自动化的平台可以确保团队之间的连续性

3、差距评估，拿一把同样的尺子，做衡量，需要选择一种战术，然后做回放，再看检测率。在ack&ck出来之前是没有任何办法去做衡量（Atomic Thread Coverage项目整理一套真实的攻击技巧，
Dett&ct项目，分析/评估数据源的覆盖度，是否足以对所有的攻击检测做分析）
    评估覆盖的范围
    引申att&ck，评估主机在应对攻击防御技术

    确定差距的优先级顺序
    确定当前阶段优先级最高的缺口

    调整防御方案
    修改防御策略或采用新的防御手段，解决这些缺口

4、攻击模拟（Atomic Red Tead项目，Tools项目）
越来越高级的
风险扫描----》渗透测试----》红队----》攻击模拟

ATT&CK的威胁捕获实践（）
被动的安全检测技术
    Firewall防火墙                    
    IPDS的入侵监测系统                 
    AV杀毒软件
    沙箱
    SIEM

已经存在的威胁
基于告警
    
主动安全检测技术
    Thread Hunting威胁捕获系统
依托细粒度的数据
基于假设-分析验证

创建假设---》调研所需要的工具和技术----》发现新模式与TTPS----》通知并丰富分析结果----在循环创建假设

att&ck技术所涉及到的数据

文件监控

进程监控

远程命令监控

异构数据源的联合分析QSL

在线连接各类异构的数据源
无需费时集成数据，快速调查