当前位置: 首页 > >

ATT&CK学*笔记

发布时间:

课题报告阐述说明
使用漏洞扫描工具生成扫描报告
Nmap
Nmap是一款网络扫描和嗅探工具包。
其主要的功能分为三个:
1. 扫描主机端口,分析其所提供的服务
2. 探测一组主机是否在线
3. 判断主机所使用的操作系统,到达主机经过的路由。WVS
WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
其工作原理类似网络爬虫,首先扫描整个网站,它通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。在上述的发现阶段或扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,其本质就是模拟一个黑客的攻击过程。最后将发现的漏洞整理在“Alerts Node(警告节点)”中。
操作流程:

    创建任务
    选择扫描参数
    最后生成扫描报告,会详细展示漏洞参数、耗时,以及其漏洞级别。
Nessus
Nessus是一个可以提供完整的电脑漏洞扫描服务的软件,拥有强大的漏洞数据库。不同于传统的漏洞扫描软件,它可以同时在本机或远端上遥控,进行系统的漏洞分析扫描。
    Nessus提供很多种扫描方案,我们可以自由选择自己需要的扫描方式。
    选择完成以后,输入自己需要扫描的主机。
    最终生成扫描报告,该报告也会区分出不同的漏洞等级。

ATT&CK模型研究报告

ATT&CK模型是什么


    MITRE ATT&CK,全称为:AdversarialTactics,Techniques,and Common Knowledge,对抗性策略、技术和通用知识,是由MITRE提出的一套反应各个攻击生命周期攻击行为的模型和知识库。ATT&CK是洛克希德-马丁公司提出的Killchain模型的基础上,对更具观测性的后四个阶段中的攻击者行为,构建了一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络攻击行为知识库,以指导用户采取针对性的检测、防御和相应工作。当前ATT&CK分为三部分:
    PRE-ATT&CK(覆盖攻击链模型的前两个阶段)战术:优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发*台、建立和维护基础设施、人员的开发、建立能力、测试能力、分段能力。ATT&CK for Enterprise(覆盖攻击链模型的前五个阶段):访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。ATT&CK for moblie(重点描述攻击链七个阶段中面对移动威胁TTPs的情况)

如何使用该模型用于安全防御


ATT&CK框架的功能
    ATT&CK框架是全球安全领域最具影响力的架构之一。ATT&CK是一个基于真实观察数据创建的对抗行为知识库。ATT&CK为防御者和红队成员、以及其他组织机构进行交流提供了一个通用语言。ATT&CK给大家提供了一把尺子,可以去衡量大家的防御和检测能力。ATT&CK是一个反映各个攻击生命周期的攻击行为的模型和知识库。ATT&CK框架中以表格的形式展示了TTP(Tactic战术, Technology技术, Procedure步骤)。威胁情报: 通过威胁情报分析攻击者的行为,可以针对进行明智的决策。检测分析: 收集系统上的发生的日志和数据,来辨别是否发生了ATT&CK框架中所描述的可疑行为。攻击模拟: 通过威胁情报模拟一个已知的威胁,根据威胁情报来确定红队将采取的动作和行为。评估改进: 评估组织机构对ATT&CK框架的覆盖范围,为安全工程师和架构师提供有用的数据,从而改善企业的安全状况。

ATT&CK如何用于安全防御


    ATT&CK罗列了超过400种的攻击技术方式,蓝队可以针对ATT&CK框架种所提出的攻击技术作出相应的检测以及防御手段。ATT&CK也可以给网络安全人员提供系统的学*,快速的了解每一个攻击手段的详细操作步骤,让每一个网络全从业者能够尽快的熟知每一种攻击手段背后的上下文逻辑。只有掌握‘敌人’是如何攻击的,我们才能快人一步做好应对策略。当受到攻击,可以将检测到的攻击手段按照战术一一区分,并标记在ATT&CK图谱上,可以分析是什么组织的行为,根据痛苦金字塔的原理,一个组织想要修改本身的攻击*惯是成本很高的行为,所以可以短时间内用于分析并抵御。在安全防御中,蓝队也可以将本公司系统已覆盖的,可防御检测的攻击手段标记在ATT&CK图谱,以展示公司的防御水*,分析不足,为后期的防御覆盖做好铺垫。并标记出本公司历年来收到的攻击手段,查缺补漏。ATT&CK映射:
    a. 人工映射:蓝队成员通过分析攻击过程,人工的到ATT&CK矩阵中去匹配。(精力有限,面对庞大的信息会力不从心)
    b. 自动化映射:机器通过学*每一种攻击的上下文关系,将该攻击过程去矩阵中匹配。(对于某些较为相似的攻击,很难做到精确的分析。)
    - 环境: 分析攻击的攻击目标所处的环境,例如操作系统、执行环境(内存、sql、命令行等)。
    - 实现: 使用哪一种攻击技术,例如文件释放、数据修改等。
    - 操作对象: 例如被释放文件的类型(.asp文件、.php文件),注册表等。
    - 特征: 查看该攻击动作是否存在一些较为特殊的特征。



友情链接: