共计 923 个字符,预计需要花费 3 分钟才能阅读完成。
近日,MITRE 发布 ATT&CK 的第十个版本,该版本最大的变化是在企业矩阵(Enterprise ATT&CK)中添加了一组新的数据源和数据组件对象,以补充 ATT&CK v9 中发布的数据源名称更改。新版 ATT&CK 企业矩阵包含 14 个战术、188 个技术、379 个子技术、129 个组和 638 个软件。
“数据源对象提供数据源的名称以及关键细节和元数据,包括 ID、定义、可以收集的位置(收集层)、可以在什么平台上找到,以及数据组件突出显示构成数据源的相关值 / 属性,”MITRE ATT&CK 内容负责人 Amy L. Robertson、网络安全工程师 Alexia Crumpton 和 Chris Ante 解释说,“这些数据源——包括可以映射到 PRE 平台的 OSINT 相关数据源,可用于包括 ATT&CK 企业矩阵在内的所有平台。”
“第十版本的重大更新还包括,实现了以前仅在 ICS 矩阵中表示的软件跨域映射,包括对 Stuxnet、Industroyer 等的映射。要知道我们的对手不会按套路出牌,也不会遵循理论界限,因此我们认为在第十版本中,以企业为中心的映射,对于更全面地检测恶意软件的所有行为至关重要。”ATT&CK 的内容负责人补充道。
ATT&CK 的 ICS 工控系统和移动矩阵的更新,侧重于将企业矩阵中当前的所有功能补充到这两个矩阵中,比如在 ICS 工控系统环境中新增了搜索功能。
关于 ATT&CK
ATT&CK 的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK),由 MITRE 公司提出,是一个站在攻击者视角描述攻击中各阶段用到技术的模型。该模型被 CISA(美国网络安全与基础设施安全局)和 FBI 以及超过 80% 的企业用于威胁调查,它对于政府或企业组织来说都非常有用,因为组织需要建立一个基于威胁的防御体系。
今年 6 月份,MITRE 发布开源工具 ATT&CK Workbench,允许政府或企业组织自定义其网络对手行为的 MITRE ATT&CK 数据库本地实例,并与其他组织分享他们的见解。此外,CISA、美国国土安全部下属安全系统工程与发展研究所(HSSEDI)和 MITRE 还发布了网络威胁情报分析师的最佳实践,以更好地利用该框架。