近日,ATT&CK团队发布了新的抽象概念:子技术,并且对ATT&CK框架整体做了更新。过去ATT&CK框架针对不同技术存在抽象程度不一的问题,例如某些技术非常具体,某些技术则非常概括,有些技术只是某种技术具体类型。现在,随着子技术的出现彻底解决技术抽象级别的问题。

新版本ATT&CK框架

新版ATT&CK(for Enterprise)包含156项技术(原来是266个技术)和272项子技术。对于旧版ATT&CK技术,有部分技术被保留下来,有部分降级为子技术,有部分与其它技术或者子技术合并,也有部分被弃用。

何为子技术

相比技术而言,子技术是一种更加具体的技术。这就好比,生物学上分类方法,“门纲目科属种”,分类比“种”还细致的分法就是“亚种” 。例如,老虎总共有八个亚种,包括东北虎、 华南虎、孟加拉虎等。这种分类方式可以更细粒度进行种类之间的关系建模。

以T1574技术(劫持执行流)为例,攻击者可以通过劫持操作系统运行程序来执行自己的恶意负载,然后实现持久化、防御绕过和提权。但是攻击者可以通过多种方式劫持执行流。在新版的ATT&CK框架中,T1574技术将一些具体技术归拢到一起,该技术拥有11个子技术。

T1574技术包含11个子技术

子技术编号采用模式是,将ATT&CK技术ID扩展为T[technique].[子技术]。例如,进程注入仍然是T1055,但是子技术进程注入:动态链接库注入是T1055.001。

子技术编号模式

子技术特点

打开子技术和技术具体页面,其所包含信息几乎一样,包括攻击技术描述、检测、环节、数据源等。其根本区别在于他们之间的关系,任何一个子技术都拥有唯一个父技术。但是子技术与技术之间并不存在一对多关系。但对于横跨多个战术的子技术需要特别说明下,子技术并不需要考虑其父技术归属于哪个战术。例如,进程注入(T1055)属于“防御绕过”和“提权”两个战术下面的技术,其对应的子技术进程镂空(T1055.012)是唯一的。

此外,并不是所有技术都拥有子技术。虽然每一个子技术通常作用是提供更多关于父技术具体使用的信息,但仍然有一些技术没有突破到子技术,或者没有必要归纳到更高级别的技术。例如,双因子身份认证拦截就是一个例子。

子技术会继承父技术一些信息,包括缓解措施和数据源信息等。但是攻击组织和恶意软件相关实例在子技术和技术之间并不存在继承关系。例如在审核相关威胁情报时,如果提供信息足够详细,足以将其关联到子技术,则可以映射到子技术上。如果信息是不明确的,以至于子技术不能被识别,那么该信息将被映射到该技术。为了减少冗余关系,不应该将同一攻击实例映射到两者之上。

写在最后

ATT&CK子技术概念使得整个框架几乎重构,基于ATT&CK框架设计的流程、工具等都需要做出对应调整,以及包括人们使用习惯都需要一个熟悉过程。目前ATT&CK官网仍然支持用户可以选择旧版本使用。

但是从长远来看,子技术利远大于弊。子技术出现,让ATT&CK框架更加精炼,主要表现为以下几个方面:

使整个知识库的技术抽象层次属于同一个层级

将技术的数量控制在可管理的水平,避免爆发式增长

通过便捷式新增子技术更新,来减少对技术本身修改

通过使用重复技术,简化向ATT&CK新增技术域难度,例如新增cloud、ICS等

更加详细描述在不同平台上检测攻击技术所涉及的数据源及描述。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-07-12 08:51:42
云安全 奇安信齐向东:面对数智时代新挑战,企业更需重视内生安全
数智化时代,安全防护面临新的变化,遇到了新的挑战。不仅有流动的数据带来的防护挑战,还有人工智能大爆发给企业带来的生产挑战。 <详情>
2023-07-04 14:13:37
市场情报 如何在云中实现安全与合规的规模化?
本文将通过一些关键策略和最佳实践,介绍亚马逊云科技在保持创新文化的同时,如何实现安全与合规的规模化。 <详情>
2023-06-02 10:49:30
云安全 全国信安标委“标准周”在昆明召开,腾讯安全受邀分享标准实践经验
腾讯安全一直以来积极参与网络安全标准的制定,将腾讯安全的经验、方法分享给行业。自2016年开始,腾讯云积极参与国家在云计算安全方面的标准建设,包括不限于关键信息基础 <详情>
2023-05-26 15:21:00
云安全 攻击面管理(ASM)成热门赛道,腾讯安全携手合作伙伴共探行业创新
在企业数字化转型的浪潮下,丰富的数字资产为企业带来了巨大的机遇。然而,随之而来的是风险暴露面的扩大和安全盲点的增多,企业必须采取有效的措施来应对不断进化的威胁。 <详情>
2023-04-14 09:41:26
云资讯 信通院董航等:基于内生安全的云服务平台安全度量指标体系研究
随着5G商用落地,伴随云计算、人工智能等新兴技术逐步研究发展,网络将面临更加复杂的内生安全问题,迫切需要建立新的实践规范来应对网络空间中“未知的未知”安全威胁。 <详情>