freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

张福:MITRE ATT&CK威胁检测框架研究心得分享
2019-11-30 11:47:15

近期,我们邀请资深安全专家在“金融业企业安全建设实践”微信群、实践2群、读者群,进行在线直播分享系列。本期我们邀请到的嘉宾是张福。如需查阅更多嘉宾分享,请关注本公众号。

提示:本文有9433字,阅读大概需要30分钟。

【活动预告】MITRE ATT&CK威胁检测框架研究心得分享

【分享嘉宾】张福

【活动时间】11月28日周四晚上20:00-21:00,60分钟

【活动形式】嘉宾通过文字形式,在“金融业企业安全建设实践”、实践2群、读者群、ATT&CK威胁检测框架 四个微信群内就“MITRE ATT&CK威胁检测框架研究心得分享”话题直播分享(约四十钟),之后是互动提问和回答,约二十分钟

请大家安排好时间,准备好问题,积极参与。

---------------------------------------------------------------

下是实录:

大家好,我是青藤云安全的CEO张福,和大家一样,我也是个安全技术爱好者。感谢君哥邀请,今天有幸能在这里给大家分享一下我们这段时间对MITRE ATT&CK的研究,希望能和大家多沟通交流,如果有什么没说到的,也欢迎大家多多提问哈。

讲MITRE ATT&CK之前,首先我们来谈一下站在攻防角度,作为一个防守方会遇到的困难。

 

由于敌暗我明,防守方始终处于一个被动地位张福

这个情况在网络安全中尤其普遍。在网络安全领域,攻击方始终拥有取之不竭、用之不尽的网络弹药,可以对组织机构随意发起攻击,而防守方则必须每次都要成功地防止攻击者攻击成功。

 

由于这种天生的劣势,防守方始终会为以下问题而困扰:

1.    我们的防御方案有效吗?

2.    我们能检测到APT攻击吗?

3.    我们收集的数据有用吗?

4.    我们的安全工具覆盖范围是否有重叠呢?

5.   这款新产品对于我们组织机构的防御有用吗?......等等

  

因为缺乏一个明确的,可衡量,可落地的标准,所以防守方对于入侵检测通常会陷入不可知和不确定的状态中,从而无法有效的弥补自己的短板。

MITRE为了解决防御者面临的困境,基于现实中发生的真实APT攻击事件,创建了一个对抗战术和技术知识库,即MITRE ATT&CK框架。由于该框架内容丰富,实战性强,最近几年发展得炙手可热,得到了业内的广泛关注。

下图显示了Google trends 对ATT&CK框架的热度发展趋势:

 

1575085351_5de1e527adbf0.jpg!small

以上是背景介绍,下面我们开始今天的主要内容,分为三个部分:

  1. MITRE与ATT&CK概念介绍;

  2. ATT&CK背后的核心设计思想;

  3. ATT&CK的四大使用场景;

一、下面是第一部分:MITRE与ATT&CK概念介绍:

首先提一下MITRE是谁:MITRE是美国NIST标准化组织选择的专注于网络安全的组织,由美国联邦政府资助。很多安全标准都MITRE制定的,比如有名的漏洞CVE编号规则以及威胁情报格式STIX。所以ATT&CK非常有影响力,而且未来能成为一个公认的标准,今年RSA大会上MITRE也在大力推广这个框架。

ATT&CK是对抗战术、技术和常识的缩写。战术(Tactics)代表了实施ATT&CK技术的“原因”。战术是攻击者执行某项行动的战术目标。战术提供了各项技术的环境类别,并涵盖了攻击者在攻击时执行活动的标准、高级标记,例如持久化、信息发现、横向移动、文件执行和数据泄露.

技术(Techniques)代表攻击者通过执行动作来实现战术目标的“方式”。例如,攻击者可能会转储凭据,以便访问网络中的有用凭据,之后可能会使用这些凭据进行横向移动。技术也可以表示攻击者通过执行一个动作要获取“内容”。这与“发现”战术有明显的区别,因为技术侧重的是攻击者采取特定动作是为了获取什么类型的信息。

1575085446_5de1e58627a53.jpg!small

由于战术代表了攻击者的战术目标,因此随着时间的推移,这些战术将会保持相对不变,因为攻击者的目标不太可能改变。战术将攻击者试图完成的任务的各方面内容与他们运行的平台和领域结合了起来。通常,不管是在哪个平台上,这些目标都是相似的,这就是为什么Enterprise ATT&CK战术在Windows、MacOS和Linux系统中基本保持一致。

下面这张图是ATT&CK里面“技术”的说明图:

1575085476_5de1e5a4463d4.jpg!small

技术是ATT&CK的基础,代表攻击者进行某个动作或攻击者通过执行某项动作而了解到的信息。每一个技术都包括唯一的名称、分类、检测方式、缓解方式、详细信息等。

那么ATT&CK和KillChain是什么关系呢?在早期,ATT&CK模型是在洛克希德-马丁公司提出的Kill Chain模型的基础上,构建了一套更细粒度、更易共享的知识模型和框架。

如下图所示,2014年ATT&CK只有8个战术,基本上和Kill Chain的7个步骤相一致。

1575085513_5de1e5c94e5e5.jpg!small

现在经过几年的发展,整个矩阵内容变得丰富,被拆分为PRE-ATT&CK和ATT&CK forEnterprise,其中PRE-ATT&CK覆盖了KillChain模型的前两个阶段,包含了与攻击者尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。ATT&CKfor Enterprise覆盖了Kill Chain的后五个阶段。

1575085535_5de1e5dfb9d12.png!small

但是,ATT&CK的战术跟洛克希德-马丁的网络杀伤链不一样,并没有遵循任何线性顺序。相反,攻击者可以随意切换战术来实现最终目标。没有一种战术比其它战术更重要。组织机构必须对当前覆盖范围进行分析,评估组织面临的风险,并采用适当措施来减小差距。

另外,除了在Kill Chain战术的基础上更加细化之外,ATT&CK还描述了可以在每个阶段使用的技术,而Kill Chain则没有这些内容。

二、下面是第二部分:ATT&CK背后的核心设计思想。

ATT&CK背后的设计思想是十分明确的,主要有三个核心思想。

1、始终从攻击角度看待问题,保持攻击者的视角。

2、不断进行实践证明,通过跟踪APT活动来更新技术。

3、进行抽象提炼,通过抽象提炼,将进攻行动与防御对策联系起来。

张福

我们先说说第1个设计思想:用攻击的视角看问题:

ATT&CK在其术语以及模型中介绍的战术和技术是从攻击者的视角出发的。相比之下,许多安全模型从防御者的视角自上而下地介绍安全目标(例如CIA模型),有的则侧重于漏洞评级(例如CVSS),有的则主要考虑风险计算(例如DREAD)。

ATT&CK使用攻击者的视角,比从纯粹的防御角度更容易理解攻击者的行动和潜在对策。对于检测,其它防御模型会向防御者显示警报,而不提供引起警报的事件的任何上下文,因此无法很好的理解攻击者的意图

第2个设计思想:不断地通过追踪真实的APT攻击,来获得最新的技术:

由于对真实的APT攻击进行了追踪和分析,提炼出了技术点,因此,能够准确地描述正在发生或可能发生的在野攻击。

通过继续不断地积累ATT&CK知识库,使得该模型是基于可能遇到的实际威胁来完善进化的,有很大的实用价值而不是理论价值。

第3个设计思想:通过“适当”的抽象,可以将进攻和防御联系起来:

ATT&CK框架对相关的对抗战术和技术进行抽象提炼是ATT&CK与其它类型威胁模型之间的重要区别所在。各种针对攻击者生命周期的高级抽象模型,例如Cyber Kill Chain、Microsoft STRIDE等,对于理解高级过程和攻击者目标很有用。但是,这些模型不能有效地传达攻击者要采取哪些动作、一个动作与另一个动作之间的关系、动作序列与攻击者战术目标的关系、以及这些动作与数据源、防御措施、配置和其它用于平台与域安全的应对措施之间的关系。

ATT&CK技术的抽象提炼的价值在于:

  1. 通过抽象提炼,形成一个通用分类法,让攻击者和防御者都可以理解单项对抗行为及其目标。

  2. 通过抽象提炼,完成了适当的分类,将攻击者的行为和具体的防御方式联系起来。

本质上是通过“适当”的抽象,既不很模糊,也不是太具体。

适度的抽象,给攻击和防御之间建立起了一个标准化的“语言”,能够让攻防双方站在同一语境下对话。张福

三、最后说一下ATT&CK的实际使用场景,主要有以下四个用途;

1、威胁情报:使用ATT&CK框架来识别攻击组织;

2、模拟攻击:基于ATT&CK进行红蓝攻防演练;

3、检测分析:基于具体的”技术“,有效增强检测能力;

4、评估改进:将解决方案映射到ATT&CK威胁模型,发现并弥补差距。

网络威胁情报(CTI)的价值在于了解攻击者的行为,并用这些信息来改善决策。对于希望开始使用ATT&CK框架来收集威胁情报的小型组织机构,可以先从一个威胁组织着手,并按照框架中的结构检查其行为。

这样能通过攻击组织使用的技术和行为,来定位攻击组织。另外也可以随着时间的推移,来分析同一个攻击组织的技术变化。

模拟攻击:使用ATT&CK来组织红队计划开展一系列基于威胁的安全测试,模拟真实攻击者的技术,关注技术行为,即便没有红队,防御者可以先使用红队工具来尝试,并使用ATT&CK打造一支成熟的红队。

让企业的团队选择不同的ATT&CK技术,讨论如何使用不同步骤来执行攻击行为,邀请威胁情报分析人员谈谈攻击者是如何使用的,将ATT&CK作为通用语言与蓝队沟通,让红队主动模拟ATT&CK技术,制定自己的攻击者模拟计划。

这和一般的渗透测试有什么不同呢?主要在于可以模拟多个组织的攻击,而非单一组织的。

 检测分析:检测分析可以用CAR(Cyber Analytics Repository)安全分析库项目举例。主要是针对ATT&CK的威胁检测和追踪。这个项目主要基于四点考虑:根据ATT&CK模型确认攻击优先级;确认实际分析方法;根据攻击者行为确认要收集的数据;确认数据收集主体sensor的数据收集能力。后面三个方面与的Analytics、Data Model、Sensor相对应。这个分析库是由对每一项攻击技术的具体分析构成的。

大家可以看看这张图,显示了哪些数据源可以用来检测哪些攻击技术:

1575085570_5de1e6022d31c.png!small

示意图

评估改进:首先进行差距分析,弄清楚“我们现在在哪儿”,ATT&CK有助于企业确定自身在人员、流程和技术方面的差距,根据可见性来决定你要收集(和购买)哪些内容:你的差距在哪里?你还可以选择其它哪些工具?这些工具会帮助你建立更有效的防御措施吗?帮助企业拓宽安全视野,不仅仅是局限于检测;加强认识,了解可能需要承受哪些方面的风险;哪些内容是你无法检测或缓解,检查你的安全预算与计划,实现资源的优化利用。

之前企业做差距分析,是做自身安全状况的差距分析,分析后的内容主要用于指导安全体系的建设。但是并无法很明确的了解自身防御和检测能力的差距,ATT&CK可以在检测覆盖度上(明确分析出哪些攻击技术在目前的安全体系里无法覆盖),以及检测深度上(比如留后门一共有哪些姿势)提供一个清晰的差距分析,指导企业加强入侵检测能力.

今天的分享就到这里,因为ATT&CK是一个非常庞大的框架,所以无法在这么短时间内说的足够透彻,时间也没控制好,在这里向大家致歉。

解答环节(A-->张福)

请问一下,业内有哪些甲方在用这个落地的么?有没有一些具体的实践可以参考

A:我们之后会出一个ATT&CK的使用手册,有需要的同学可以找我们要一本,另外关于ATT&CK的更多实战指南,可以参考:ATT&CK 实战指南

ATT&CK是非常具体可以落地的,比如里面一个留后门的方式,大家可以试试;

把cmd.exe拷贝为C:\Program.exe

你们以后会有各种惊喜

Q:1、攻击者计划性的执行转储凭据的动作,对防守方如何能有效或及时发现?凭据如何保护才能真正有效?

A:可以的,每种组织使用的技巧都不一样,连起来就是个类似DNA的东西;

2、针对DLL劫持利⽤搜索顺序来加载恶意DLL以代替合法DLL,如何避免被恶意加载而导致被持久化攻击?

A:这个ATT&CK里有检测方法的,判断同一进程是否有同名的dll,很有效。

Q:如果说是指导理论,与原来的渗透测试指导区别在哪里呢?

A:我们现在正在对每种ATT&CK的攻击技术进行还原实现,写出测试工具和检测工具,回头也可以提供给大家试试。

Q:印象中ATT&CK也有一些详细程度不高的TTPs,比如 面向公网的服务被利用 。。针对这种比较粗的TTPs,有什么解读或者应对么?

A:有的,需要梳理具体的UseCase,就是挨个整理,工作量巨大。我们现在正在逐步复现技术和写检测规则,目前每周都会进展一部分。

这也是深度问题,比如Webshell在ATT&CK里就是一个技术,但是其实有很多UseCase,每种代表了一种Webshell姿势。

Q:甲方如何应用呢?

Q:手册里面会有这种整理的案例嘛?

A:手册里会有案例

Q:比如检测webshell,能检测1个,也能号称覆盖了这一个技术,但是其实我们期望是能检测出大多数webshell,才算是覆盖了。这样对ATT&CK的覆盖率,如何评价啊?

A:这个我们会给UseCase,比如给出50种不同技巧的,可以测试覆盖率,我们对UseCase的梳理也只是一部分,最好能大家一起来。

甲方其实很好弄,有soc的可以定制一个ATT&CK的图,然后把自己能覆盖的标注在上面。然后用具体的UseCase跑自动化测试,就能知道自己买的产品能覆盖哪些姿势,不能覆盖哪些。

Q:但是这只是针对1个点,如果ATT&CK的200多个点,都要这种逻辑去梳理,汇总总的覆盖率,有什么好的实践思路不?

A:这个我想可以建立一个开源项目,大家一起来补充Case。

Q:200多个点应该也有分轻重缓急的吧,这个你们先聚焦哪些点,有什么逻辑思考么?理由是什么啊,背后是怎么思考的。

A:聚焦第2~4个阶段,把威胁发现在早期...

Q:1、市场上很多EDR产品其实都声称有 xx%的覆盖度。但是似乎都没谈深度,而且聚焦的是客户端的层面。

2、还有HIDS似乎比较少拿这个ATT&CK来做覆盖率的描述的(我理解很多TTPs其实是聚焦在PC端为主),张总对这个现象有什么解读么?

A:不是,有点回答不过来了,抱歉有点慢。

现在的EDR对ATT&CK的覆盖能力都很弱,所以不会主动提...甲方可以拿这个来选产品...

Q:市场上似乎有一些产品已经声称60%甚至80%的覆盖率了。。。(不谈深度我也不敢信)

A:ATT&CK的广度问题目前已经基本解决了,往后发展就是不断增加深度,不是一个测试用例就算覆盖一个指标了,而是一组测试用例可以验证一个指标的深度。

Q:1、ATT&CK是不是很依赖威胁情报?感觉这种情报和传统的还不太一样,更需要对很多攻击手法apt研究,单一组织很难覆盖。

2、如果要做到高准确率,那势必要匹配攻击者的战术目标,需要触发一些特殊行为如持久化 提权,到这个阶段也不算“尽早发现威胁”,那怎么对比优劣于现有的防御模型呢?

A:ATT&CK带来的最大好处就是标准化、透明化了。让你比较清晰的知道自己哪里做的还行,哪里缺口很大。

其他群友补充:ATT&CK都覆盖了并不能说明反入侵做的就一定好,还是要看场景的深度,能不能发现关键动作的攻击行为。因为ATT&CK里有很多动作是在APT里使用的(以前被使用)不一定适合企业场景

A:之前的入侵检测,没有标准,只能凭感觉。

Q:以绝大多数公司的现状,我觉得不太可能“都覆盖”。还是那个问题,知道有哪些甲方在实践,而且实践得比较好的么。。?(群友补充:头部甲方实践了,估计也不说)

A:这是个非常先进的框架,目前国内估计还没有企业落地,但是我估计明年头部企业有一部分会应用这个框架……大家有兴趣可以一起来实践实践,我们可以提供我们的研究成果。

Q:我们在努力,不过目前感觉还不是很成功。没有给出太实际的帮助(不是说这个框架不行,而是说我们建设阶段还没到)

A:我们弄到一个阶段了之后你们可以试试,我觉得可以落地。

---------------------------------------------------------------

讨论环节

讨论环节很多群友贡献了精彩的发言(比如董靖,还有其他未具名群友^_^)

我尝试回答一下之前群友问的关于怎么确定优先级的问题。我在前司曾经将已检测或者已处理的真实安全事件或者威胁与att&ck做映射和对照最后形成一个自己企业威胁最大的ttp**,根据这个来优先设计和优化检测系统来针对此类ttps。

相当于优先解决历史已暴露问题涉及的TTPs,潜台词是,历史已暴露问题的TTPs的建设其实挺花时间的,很多人历史已知问题可能还没能完全闭环。。。

是的。已暴露的问题的发现有的时候是很偶然的,发现一次也不代表你能一直发现,怎么优化检测率和准确度就是深度问题了。

那就回到了那个问题,大多数人其实是并不知道自己被黑的

问题不是很大,先把已经看见的被黑的解决了也不容易的。

听上去是一场攻击者和防御者似乎在玩一个躲猫猫的对坑游戏,框架更像一场红蓝对抗教练模型,再次感谢CEO分享。

att&ck要做好,对基础设施建设、数据采集建设要求极高。日志采集的:完整性、实时性、数据质量。

最重要的,现状是现在很多企业,edr和边界防护都没做好。攻方在每个阶段虽然有很多手段,但只要有两三个落入att&ck已实施检测,就会前功尽弃。

我个人一直是把att&ck当做进攻手段的大盘的参考资料。因为我们一直很难解释一个问题:我们的入侵检测做到了什么程度。谈策略覆盖度的时候,我们其实是缺少一个黑客攻击手法的大盘的(没有分母,没办法谈分子),这个东西是在试图贡献一个分母。

有了分母(虽然短期内某些精度和深度还不是很具体),至少我们有了共同参考的东西。

进攻和防守方,都可以拿它做一个比较。

当然我知道肯定有很多的进攻手段并不在这个表格里体现,但是未来可以往里面加(具体的use case),也不是每一个格子都需要防守好(理论上一次完整的进攻,可能触及多个TTPs,任何1个环节的有效运营都可能阻断这次进攻)。拿它来作为大盘的指导,有助于统一管理语言。

分子+1,有2个算法:

1、这个领域有任意能力就算+1 (参考意义不大,但是有时候有用)

2、这个领域有可运营标准的能力才算 +1

其实想说针对这些策略,加以小小变形,即使采集的数量够全面,不了解攻击侧的完整手段,依然可以绕过。

所以“可运营”的标准其实不容易达到的,以“可运营”作为及格线来评价的话。。。在很多地方我们都自惭形秽。

1. 加固和检测都重要,只不过加固解决了90%的攻击面,依然要对剩下的10%基于失限假设做检测;

2. 检测是响应的前提,没有检测可能不会启动响应,正确的响应也是重要的工作,那也是一个独立的话题。

针对上面的例子,改密码不是一个完整的响应动作。因为除了止损,没有追溯,定损,没有找到黑客入口,没有清理出去……只不过这个话题叫做正确的响应。正确的应急响应还肩负着举一反三,暴露问题的重任。

其实……奔着检测的目的去积累数据,检测不检测的出来,可能不一定,但是溯源的时候,有了丰富的数据源,还是极大的增加了溯源的成功率的。而有了溯源的成功率,对攻击对手而言,已经有了很强的震慑力。

你的经历中能成功溯源并分析得一清二楚的概率有多少?

APT能被溯源的不多,特别在国内。哪怕当时没发现,如果是国内的**,他们做的动作,最后能被还原得差不多,也是很有用的。我承认多数人因为数据质量和运营的不足,溯源成功率其实很低,甚至很多公司历史上的bad case记录都很草率,压根没仔细描述对手的整个路径,但是,我们这两年的努力,还是提升了不少这方面的能力的,挨打完了,相对能说得清对方的链路……

很多时候的apt报告其实算不上apt,路径还是可以被说得清楚的,以多数人运营程度之差,攻击方都懒得隐藏自己……

所谓的溯源是找到你的ip,姓名,电话,邮箱,支付宝账号,QQ账号吗?还是已经能定位你的照片、***号这个程度?

不是这个。我的语境下,是指黑客怎么进来的,进来之后做了什么,谁做的大部分时候没有那么重要。一句题外话,国内很多威胁情报倒是很乐意做谁干的这件事。

这个一般太难了,只能从日志当中猜测攻击路径,利用攻击者的思维去还原攻击链。

以真实的防御风险来衡量,国内基本上没有太多的公司有及格能力吧。

如果奔着检测的目标去,即便没告警,由于日志先运营起来了,起码不至于没数据。

没日志或者日志删除,那查起来真是大海捞针。

讨论检测,实在是因为检测的成本和难度太高了,大家一直没法在资源不足的前提下做好这件事,一直期待一个银弹出来。总做不好,又有需求,自然要多讨论。反倒是应急响应,肯招人,一般还是能自给自足的。

检测涉及到的是所有环节的日志采集,多数场景的策略覆盖,每个告警的合理闭环,加在一起,才等于有效的运营。这件事太昂贵了。

个人感觉防御类产品其实是走量最多的,比如防火墙,waf,vpn……反倒是检测类的产品,卖的不太好,买了也检测不出来。你买个hids,结果pc被黑了,邮箱被黑了,买个edr,结果api被黑了,买个apis,结果告警没人看……

那些都不是正确而且完整的姿势,错误的姿势之所以存在,本质上还是安全工程师招的不够多不够专业……

换个角度看看,为什么会有这样的感觉?因为“安全成熟度”在变化,防御永远是最开始时候优先建设的能力,然后重心从防御走向检测,再从检测走向回溯分析,最后走向预测。国内客户过去这么多年都在建设防御能力,现在只是开始往第二个阶段走而已。这个循环是个螺旋的,循环往复,但是这个循环周期很长。

再强的检测能力,告警没人看,误报没人运营,都成了摆设。

小户人家买防盗门,中产阶级买防盗门和监控摄像头,富豪才请保安。

旁路,我们也叫熔断降级,不影响业务,其实是很重要的一个点,

你拦截正确几亿次,没人记你的功劳。因为这是你的功能,

一次误拦截,这个产品的信任就没了。

多少公司因为安全产品误伤业务而从此不让这个安全产品再上线的,

从此以后,这个公司再也没有这个安全能力了,

就没见过几个公司敢把IPS的P打开的,都当IDS在用。

一般搞安全的都是“兴趣使然的英雄”,不然谁搞啊。

与其如此,不如积极主动旁路,熔断降级,宁可没有这一刻的安全能力,也要保证大部分的安全能力。waf开拦截就是最典型的场景。小公司对这个东西特别看重。但是大公司而言,我有漏洞,应该修漏洞,我没漏洞,请求到后端无非多一个无效请求而已。

打补丁真的会有影响可用性的,补丁管理算是变更管理的一个具体应用,还蛮有挑战的。它考验的不仅仅是安装补丁这个动作。很多安全产品的确有影响的嫌疑,所以做数据安全的时候,只把日志拿过来在后台分析,误报了我们不去骚扰用户,实锤了抓人,这就对可用性和效率毫无形象,这也是最容易见效果的安全……

基础动作不难理解,却没做好,还老想着银弹,这是行业一个大特色……

判断哪些日志需要收集 哪些需要优先收集这类老生常谈的问题 att&ck也给了相应的指导。我个人觉得与其讨论它的好坏优劣 比如动手实践,用过了才知道好不好,适不适合,光说不干 或者说明各种困难其实最后还是一点改进都没有,所谓基础能力就看你愿不愿意选择一个可行的方案实行下去,遇到问题解决问题,往往最后出结果的都是第一个敢于吃螃蟹的人,旁边讨论的人也只能口嗨。

董靖:绕过单一ttp检测和绕过整体att&ck框架是完全不同的,这是个常见误区。串联系统的可靠性的概率计算大家都知道,一次成功的红队行动往往至少需要几十个环节,如果每个环节有2%的概率被检出,那每个环节的可靠性98%。10个步骤之后,可靠性降为81.7%,意味着有19.3%的概率被检出,20个步骤之后,可靠性降为66.7%,有33.3%会失败。即使中间存在几个环节能100%绕过,并不会显著提高行动成功的概率,att&ck的作用就是提高每个环节的检出概率,并不需要全覆盖。

只要坚持提高每个环节的检出率,就能大幅降低红队行动的成功概率。

假设检出率提高到5%,20个环节后,可靠性概率降低到35.8%,64.2%的概率红队会失败。同样地,即使中间存在几个环节能100%绕过,并不会显著提高行动成功的概率。现在很多组织面临的防御困境,其实从att&ck角度来看,很多步骤基本上接近于零覆盖。


这说明了单点检测和系统性检测的巨大区别。

最后放一下董靖的总结:

系统性地改变攻防成本,大幅增加了攻击成本,是ATT&CK最有价值的成功之处。


董靖


——————————————————————————————————————————————————

利用工作生活之余的闲暇时间,我维护了“君哥的体历”公众号和“金融业企业安全建设”微信群(有兴趣加入的企业安全负责人,请关注微信公众号“君哥的体历”,后台留言,微信号+公司名称,验证身份后入群),将我从业十余年的一些体验和经历分享出来,纯粹是自己人生迷茫看不清方向时的一种坚持,坚持沉淀分享,哪怕不知目标在何方。这过程中,会有欣赏、感谢,也会有抱怨、想法…… 

这种分享,我理解为也是一种“开源”精神,代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化的将如何在企业做安全建设的思路和实践开源,需要自己静下心来归纳总结提炼,在平常繁重的工作任务和需要全身心投入陪伴俩娃的同时,要做好“企业安全建设”这个开源项目,难度和挑战更大。过程中,有西湖惬意的微风,也有沙漠般的烈日当头。不忘初心,方得始终。初心易得,始终难守。

微信识别下面二维码,和我交流

微信.JPG

赞赏是认同或肯定,更是鼓励更多原创分享

微信识别赞赏码

赞赏码.JPG

# 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者