What is MITRE ATT&CK Framework?

MITRE ATT & CK 框架是 MITRE 公司創建的工具,將網絡攻擊生命週期分為其組件階段,並提供有關如何完成每個階段的深入信息。 安全團隊可以透過多種方式利用這些資訊,以改善威脅偵測和回應 (TDR)。

申請示範 MITRE Engenuity ATT&CK 評估

What is MITRE ATT&CK Framework?

米特爾自動化工具 & CK 框架

MITRE ATT & CK 框架旨在培養對網絡攻擊如何運作的意識和理解。 為了實現這一目標,它將資訊組織成階層,包括:

  • 戰術:MITRE ATT & CK 戰術是攻擊者可能希望在網絡攻擊期間實現的高級目標。 這包括攻擊的各個階段,例如獲得系統的初始存取權限、洩漏使用者帳戶以及透過網路橫向移動。
  • 技巧:對於每個高級戰術,MITRE ATT & CK 定義了多種實現目標的技術。 例如,攻擊者可透過暴力猜測攻擊、從作業系統中竊取使用者憑證,以及其他方法來取得使用者憑證的存取權限。
  • 子技術:一些 MITRE ATT & CK 技術可以通過其他各種方式實現(稱為子技術)。 例如,暴力密碼攻擊可以通過破解密碼哈希、憑證填充或其他方法來完成。

MITRE ATT & CK 的戰術、技術和子技巧將攻擊者可以通過特定方式實現目標。 對於這些技術中,MITRE ATT & CK 包含攻擊的描述,以及以下內容:

  • 程序:程序描述使用技術的特定示例。 這包括惡意軟體、駭客工具和已知使用該特定技術的威脅行為者。
  • 檢測:對於給定的技術,MITRE ATT & CK 推薦檢測技術的方法。 本節對於設計網路安全防禦方面非常寶貴,因為它概述了需要收集以偵測特定攻擊的資訊類型。
  • 緩解措施:緩解部分說明組織可以採取的步驟來防止或減少特定技術的影響。 例如,使用多重身份驗證 (MFA) 是旨在實現對使用者帳戶的存取的技術的常見緩解措施。

利用 MITRE ATT & CK 進行網絡防禦

MITRE ATT & CK 框架旨在做為一種工具,而不僅僅是信息存儲庫。 安全操作中心 (SOC) 團隊可以通過多種方式操作 MITRE ATT & CK 矩陣,包括:

  • 設計防禦:MITRE ATT & Ck 框架概述了檢測和緩解不同網絡攻擊技術的方法。 此資訊可用於確保組織擁有適當的防禦,並且正在收集偵測特定威脅所需的資訊。 威脅情報可用於確定組織重點關注的技術的優先順序。
  • 事件偵測:MITRE ATT & CK 架構描述了偵測特定威脅的方式。 此資訊應用於開發安全資訊與事件管理(安全資訊與事件管理)解決方案、次世代防火牆(NGFW)和其他安全解決方案中的偵測規則。
  • 事件調查: MITRE ATT&CK 框架描述了特定攻擊的工作原理以及使用某些技術的惡意軟體。 這些信息對事件調查是無價的,因為它允許調查員識別正在使用中的 MITRE ATT & CK 技術,並利用框架提供的其他數據。
  • 感染修復: MITRE ATT&CK 框架描述了特定技術的實施方式以及不同惡意軟體樣本和威脅參與者的功能。 這可以幫助修復工作,因為它概述了攻擊者所採取的動作,並且必須修復才能移除感染。
  • 報告:通過標準化術語,MITRE ATT & CK 框架使報告變得更簡單。 工具和分析師可以產生引用框架中特定技術的報告,如果需要,可提供其他詳細信息和緩解步驟。
  • 威脅搜捕MITRE ATT & CK 中提供的描述和檢測信息對於威脅狩獵非常寶貴。 通過執行 MITRE ATT & CK 評估並使用框架中描述的每種技術,威脅獵人可以判斷使用特定技術是否被攻擊者目標,以及現有的安全解決方案是否能夠偵測和防止這些攻擊。

Check Point和 MITRE ATT&CK

The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.

這為 SOC 分析師提供了許多優勢。 分析特定攻擊時,使用 MITRE ATT & CK 可讓您輕鬆了解每個階段中的根本原因、攻擊流程和攻擊者的意圖。 通過了解攻擊者正在嘗試實現的目標以及如何,SOC 團隊可以輕鬆了解攻擊的範圍、任何必要的補救措施,以及如何改善未來的防禦力。

By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明