斜接丙氨酸&CK框架

斜接丙氨酸的历史&CK框架

该框架创建于2013年，旨在帮助企业及其安全组织更好地了解攻击者的方法, 从而取得进展，对抗 威胁的演员 世界各地. 根据斜接丙氨酸&CK网站:

主教法冠开始说&在2013年的CK中记录了常见的策略, 技术, 以及针对Windows企业网络的高级持续威胁程序(TTPs). 它是出于记录对手行为的需要而创建的，用于主教法冠的一个名为FMX的研究项目. FMX的目的是调查使用 端点 遥测数据和分析，以改善在企业网络中操作的对手的入侵后检测. 丙氨酸&CK被用作测试FMX下传感器和分析效果的基础，并作为进攻和防守双方可以随着时间的推移而改进的共同语言.”

主教法冠为单个用例提供了一个索引或矩阵，如下所示: 

• 工业控制系统(ICS)矩阵攻击者用以破坏工业控制系统的策略. 
• 企业矩阵攻击者用以破坏企业系统的策略. 
• 移动矩阵:攻击者入侵移动设备的策略. 

斜接丙氨酸&CK矩阵 

让我们更深入地了解一下斜接丙氨酸的具体构成&CK“矩阵.在前面讨论的用例中描述攻击者标准是很有帮助的. 该矩阵基本上对ttp进行了分类，并通过操作系统或企业软件平台等特定平台方便地对它们进行索引.

根据斜接丙氨酸&在CK网站上，攻击者试图实现其目标的常见策略有14种:

• "侦察对手正试图收集他们可以用来计划未来行动的信息. 
• 资源开发对手正试图建立他们可以用来支持行动的资源. 
• 首次访问敌人正试图进入你的网络. 
• 执行攻击者正在试图运行恶意代码. 
• 持久性敌人正试图维持他们的立足点. 
• 特权升级攻击者试图获得更高级别的权限. 
• 国防逃税敌人正试图避免被发现. 
• 凭据访问攻击者正在试图窃取帐户名和密码. 
• 发现对手正在试图弄清楚你的环境. 
• 横向移动t:对手正试图穿过你的环境. 
• 集合对手正试图收集与他们的目标有关的数据. 
• 指挥与控制攻击者试图与被破坏的系统通信以控制它们. 
• 漏出敌人正在试图窃取数据. 
• 影响攻击者正试图操纵、中断或破坏你的系统和数据." 

斜接丙氨酸&CK框架用例

斜接丙氨酸&CK框架被广泛认为是理解攻击者对组织使用的行为和技术的权威. 它不仅消除了歧义，而且为战斗讨论和协作提供了通用词汇, 同时也为安全团队提供了实际应用.

基于独特环境的检测优先级

即使是资源最充足的团队也无法平等地防御所有攻击向量. 的攻击力&CK框架可以为团队提供一个蓝图，告诉他们在哪里集中他们的检测工作. 例如，许多团队可能会在攻击链中较早地确定威胁的优先级. 其他团队可能希望根据攻击组使用的技术对特定检测进行优先级排序，这些技术在他们各自的行业中特别普遍.

通过探索技术, 目标平台, 和风险, 团队可以自我教育，以帮助告知他们的安全计划, 然后利用斜接丙氨酸&跟踪进度的CK框架.

评估当前防御措施

该框架在评估当前工具和围绕关键攻击技术的覆盖深度方面也很有价值. 有不同级别的遥测技术可能适用于每个检测. 在一些地区, 团队可能会决定他们需要对探测深度有很高的信心, 而较低的检测水平在其他领域是可以接受的.

通过定义对组织的威胁并确定其优先级, 团队可以评估他们当前的覆盖率. 这在 渗透测试 (渗透测试)活动，然后在测试期间和之后作为计分卡. 

跟踪攻击者组

许多组织可能希望优先跟踪他们知道对其行业或垂直行业构成特定威胁的特定对手群体行为. 的攻击力&CK框架不是一个静态的文档, 随着威胁的出现和发展，主教法冠将继续发展框架. 这个过程使其成为跟踪和了解攻击者组织的活动及其使用的技术的有用的真相来源.

继续学习斜接丙氨酸&CK

斜接丙氨酸&CK框架:最新的Rapid7博客文章