[2022] 威胁建模(二): att&ck的作用 huoji att&ck,威胁建模 2022-08-17 681 次浏览 1 次点赞 ### 为什么att&ck能用于评估 评估需要一个统一标准,各自厂商的安全设备的规则语法不同,标准也不同,都说自己是最厉害,那么谁最厉害? 此外在att&ck出现以前各个厂商高度依赖经验积累,而缺少标准,att&ck就是那个 标准 ### 对于安全软件 对于edr来说,att&ck是必不可少的评估工具,他会评估如下两点: > datasource rule T 先说datasource, 在edr中,文件已经没有了意义,文件再怎么免杀,只要行为在datasource的范围内,就一切都只是规则的事情. 而rule Techniques(以下简称T)的意义是,在已知的datasource范围内,能否尽可能的检测出威胁. 举个例子,你写了一个木马 木马是高度免杀混淆的,但是你的木马会干注入和开机自启,只要edr有进程和注册表相关的datasource,检测你的木马只需要一行规则的事情. att&ck的矩阵已经是一个《标准》了,安全社区里面已经有大量的安全例子,一个合格的edr,应该要实现覆盖att&ck里面的datasource 的90%,而对于T,应该有70%以上的覆盖,才能算一个标准的EDR. ### 对于威胁评估 att&ck最大的好处是给威胁评估、分析工程师一个能评估威胁的标准,也给了一个可视化的环境.举个例子: > 公司hr收到了钓鱼邮件,运行钓鱼邮件后宏启动上线到C2,C2注入到了explorer.exe里后执行了ipconfig、whoami,再然后上传fscan扫描内网,找到域控后对齐进行攻击控制域控.建立代理,然后将关键资料从流量通道导出 在上面这个文本例子中,我们来逐步拆分: 公司hr收到了钓鱼邮件: T1592、T1591 运行钓鱼邮件: T1566 C2注入到了explorer.exe: T1055 执行了ipconfig、whoami: T1033、T1069 上传fscan扫描内网: T1040、T1046 找到域控后对齐进行攻击控制域控: T1210、T1021 建立代理: T1090、T1205 然后将关键资料从流量通道导出: T1041 可视化这个整个威胁过程、攻击路径: ![](https://key08.com/usr/uploads/2022/08/2229347008.png) 一目了然 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 1
还不快抢沙发