MITRE ATT&CK 设计与理念 2018

MP1 8 03 60 MITRE PRODUCT MITRE ATT&CK™：设计与理念项目编号：01ADM105-PI m o 本报告所含观点、看法和/或发现均出自 The MITRE Corporation，除非受其他文件指定，否则不应被理解为政府官方立场、政策或决定。 c . 5 允许公开发布。分发不受限制 18-094411。 b u ©2018 The MITRE Corporation.保留所有权利。弗吉尼亚州麦克林 h t i g 作者： Blake E. Strom Andy Applebaum Doug P. Miller Kathryn C. Nickels Adam G. Pennington Cody B. Thomas 2018年7月原文链接： https://www.mitre.org/publications/technicalpapers/mitre-attack-design-and-philosophy 瀚思科技编译概要 MITRE ATT&CK知识库描述网络入侵者行为，提供攻防两方的通用分类体系，已成为横跨多个网络安全学科的有效工具，涵盖威胁情报、红队测试或入侵者模拟、网络及系统入侵防御能力提升等领域。MITRE的ATT&CK创建流程和新内容管理理念是此项工作的关键部分，有助于创建其他类似的入侵者模型及信息资料库。 m o b u c . 5 h t i g iii ©2018 The MITRE Corporation.保留所有权利。允许公开发布。分发不受限制 18-0944-11。 m o 本页特此留空。 b u c . 5 h t i g iv ©2018 The MITRE Corporation.保留所有权利。允许公开发布。分发不受限制 18-0944-11。执行摘要本文探讨了ATT&CK创建背后的动机、其内部构成、设计理念、项目进展和使用方法，可视为ATT&CK权威信息来源，亦可用作ATT&CK维护指南，或作为新技术领域及平台的ATT&CK类知识库创建指南。 m o b u c . 5 h t i g v ©2018 The MITRE Corporation.保留所有权利。允许公开发布。分发不受限制 18-0944-11。前言本文记录的是2018年4月发布的ATT&CK。MITRE已宣布2018年间持续扩展 ATT&CK[1]。本文档将作为动态文档维护，于ATT&CK及其内容维护流程发生重大变化时更新。 m o b u c . 5 h t i g vi ©2018 The MITRE Corporation.保留所有权利。允许公开发布。分发不受限制 18-0944-11。目录引言 .......................................................................................................................................... 1 1.1 背景与历史 ...................................................................................................................... 1 ATT&CK用例 ......................................................................................................................... 2 ATT&CK模型 .......................................................................................................................... 4 3.1 ATT&CK矩阵 .................................................................................................................. 5 3.2 技术领域 .......................................................................................................................... 6 3.3 战术 .................................................................................................................................. 6 3.4 技术 .................................................................................................................................. 6 3.4.1 3.5 组织 .................................................................................................................................. 9 3.5.1 3.6 c . 5 组织对象结构 ............................................................................................................ 9 软件 ................................................................................................................................ 10 3.6.1 3.7 m o 技术对象结构 ............................................................................................................ 6 软件对象结构 .......................................................................................................... 10 b u ATT&CK对象模型关系 ................................................................................................ 11 ATT&CK方法 ....................................................................................................................... 13 4.1 h t i g 概念 ................................................................................................................................ 13 4.1.1 入侵者视角 .............................................................................................................. 13 4.1.2 实证使用 .................................................................................................................. 14 4.1.2.1 信息来源 .......................................................................................................... 14 4.1.2.2 未（漏）报事件 .............................................................................................. 14 4.1.3 抽象 .......................................................................................................................... 14 4.2 战术 ................................................................................................................................ 16 4.3 技术 ................................................................................................................................ 16 4.3.1 技术组成 .................................................................................................................. 16 4.3.1.1 命名 ..................................................................