写点什么

ATT&CK V11 版本发布,新增结构化检测内容

作者:青藤云安全
  • 2022 年 5 月 13 日
  • 本文字数:1228 字

    阅读完需:约 4 分钟

ATT&CK V11版本发布,新增结构化检测内容

近日,ATT&CK 发布了 V11 版本!按照其发展路线图,ATT&CK 会在 2022 年会更新两个版本:在 4 月份更新 V11 版本,并在 10 月份更新 V12 版本。本次更新的 V11 版本,最大的变化是对“检测”内容进行重组,将“检测”与 ATT&CK for Enterprise 中的数据源和数据组件对象关联起来,ATT&CK for Mobile 增加子技术测试版、ATT&CK for ICS 添加到了 MITRE ATT&CK 的官网(attack.mitre.org)上。V12 版本预计会增加行动内容(Campaigns)元素。


多年来,青藤不断增强对 ATT&CK 研究,形成了系统化的研究内容。5 月 19 日 19:30,青藤安全运营专家/高级咨询顾问黄亮将围绕 ATT&CK,与大家线上探讨如何利用 ATT&CK 帮助企业落地实战化、自动化的安全运营能力。

扫码预约直播


增强结构化检测

过去几年里,MITRE ATT&CK 反复研究如何各种可操作的 ATT&CK 字段转化为可管理的对象。在 V5 版本中,ATT&CK 将缓解措施(Mitigations)转换为对象,以提高缓解措施的价值和可用性。将缓解措施转化为对象之后,用户可以根据缓解措施找到预防相关攻击技术的不同措施。在 V10 版本中,ATT&CK 把数据源转换为对象,实现了类似的透视和分析功能。


最新发布的 V11 版本采用了类似的方法处理 ATT&CK for Enterprise 中的“检测”内容。以前,“检测”是在“技术”页面上用文本进行描述的,V11 版本对此进行了改进,将“检测”合并到与数据源有关的描述中。这样,针对每项攻击技术的检测,用户就可以明确地知道需要收集哪些信息作为输入信息(数据源),以及通过如何分析这些数据来识别特定的攻击技术(检测)。


在“T1197 BITS 作业”页面的检测信息


在“数据源”页面上,也有检测信息,并与“数据组件”下列出的每项技术进行了关联,这样用户就能够清晰地知道这些数据源可以用于检测哪些攻击技术。


数据源“容器”页面的检测信息


Mobile 子技术测试版上线

2020 年,ATT&CK for Enterprise 中增加了多项子技术,这些子技术广受好评,解决了 Enterprise 矩阵不断变大过程中遇到的一些问题。在 V11 版本中,ATT&CK for Mobile 也增加了子技术(测试版),预计今年夏天会正式发布 ATT&CK for Mobile 及其子技术。


ICS 矩阵在官网上线

此前,ATT&CK for ICS 是在 MediaWiki 网站上推出的,呈现方式与其官网类似,现已在官网正式上线。该版本的不同之处在于,合并了攻击组织和软件,将 ICS 技术添加到攻击组织和软件页面中,并在描述中做出相应的更新;此外,还整合了 ATT&CK for ICS 的数据源和数据组件。由于 ATT&CK for ICS 和 ATT&CK for Enterprise 二者之间存在一定的重叠,因此,增加了一个过滤器,可以看到只针对 ATT&CK for ICS 的数据源和数据组件,只针对 ATT&CK for Enterprise 的数据源和数据组件,以及二者通用的数据源和数据组件。


写在最后

最近几年,ATT&CK 框架发展日趋完善,而且备受欢迎,得到了安全行业的广泛采用。青藤通过多年对 ATT&CK 的研究探索,积累了大量较为成熟和系统化的研究材料。未来,青藤将持续关注 ATT&CK 的发展,为大家介绍 ATT&CK 发展的最新动态与最佳实践。5 月 19 日 19:30,青藤安全运营专家/高级咨询顾问黄亮与您共话 ATT&CK。



用户头像

还未添加个人签名 2021.11.03 加入

还未添加个人简介

评论

发布
暂无评论
ATT&CK V11版本发布,新增结构化检测内容_青藤云安全_InfoQ写作社区