The MITRE ATT&CK Framework

Breakdown of the MITRE ATT&CK Framework

Successful and comprehensive threat detection 需要了解常见的对手技术, 哪些可能对你的组织构成威胁, 以及如何检测和减轻这些攻击. With that said, 攻击策略的数量和广度使得任何一个组织几乎不可能监控每一种攻击类型——更不用说对这些发现进行分类，并以一种建设性的方式将这些发现转化给组织外的任何人.

出于这些原因，MITRE开发了ATT&CK framework. ATT&CK, 这是对抗性战术的首字母缩写, Techniques, and Common Knowledge, 是对手战术和技术的知识库吗. 这些技术被编入索引，并被详细分解为黑客使用的确切步骤和方法, 使团队更容易理解针对特定平台可能使用的操作. 为了更进一步，MITRE还结合了 cyber-threat intelligence 记录对手组行为配置文件，以记录哪些攻击组使用哪些技术.

The ATT&CK矩阵结构类似于元素周期表, 列标题列出攻击链的各个阶段(从初始访问一直到影响). 下面的行详细介绍了具体的技术. 框架用户可以进一步探索任何技术，以了解更多有关策略的信息, platforms exploited, example procedures, mitigation, and detections. 

How Does the MITRE ATT&CK Framework Help an Organization?

The ATT&CK框架被广泛认为是理解当今黑客对组织使用的行为和技术的权威. 它不仅消除了歧义，而且为行业专业人员提供了一个共同的词汇表，以便讨论和协作打击这些敌对方法, 但它对安全团队也有实际应用.

MITRE ATT&CK Framework Use Cases

Using the MITRE ATT&CK框架，根据您组织的独特环境对检测进行优先排序

即使是资源最充足的团队也无法平等地防御所有攻击向量. The ATT&CK框架可以为团队提供一个蓝图，告诉他们在哪里集中他们的检测工作. 例如，许多团队可能会在攻击链中较早地确定威胁的优先级. 其他团队可能希望根据攻击组使用的技术对特定检测进行优先级排序，这些技术在他们各自的行业中特别普遍.

By exploring the techniques, targeted platforms, and risk, 团队可以自我教育，以帮助告知他们的安全计划, then leverage the MITRE ATT&CK  framework to track progress over time.

Using the MITRE ATT&CK Framework to evaluate current defenses

The MITRE ATT&CK框架在评估当前的工具和围绕关键攻击技术的覆盖深度方面也很有价值. 有不同级别的遥测技术可能适用于每个检测. In some areas, 团队可能会决定他们需要对探测深度有很高的信心, 而较低的检测水平在其他领域是可以接受的.

通过定义组织的优先级威胁, 团队可以评估他们当前的覆盖率. This can also be useful in red-teaming activities; the matrix can be used to define the scope of a red teaming exercise or pentest, 然后在测试期间和之后作为计分卡.

Using the MITRE ATT&CK Framework to track attacker groups

许多组织可能希望优先跟踪他们知道对其行业或垂直行业具有特定威胁的特定对手群体行为. The ATT&CK framework is not a static document. 随着威胁的出现和演变，MITRE将继续改进该框架, 使其成为跟踪和了解黑客组织的活动及其使用的技术的有用的真相来源.

Keep Learning About MITRE ATT&CK

Rapid7在2023年提供所有19个攻击步骤的可见性&CK® Evaluations: Enterprise

MITRE ATT&CK Framework Insights from the Blog

最新剧集从[丢失的机器人]安全播客