MITRE在萬聖節期間發佈了MITRE ATT&CK v14,這是重要的資安攻擊鏈框架的一次重大版本更新。本次將框架範圍擴大到針對「人類行為漏洞」的非技術攻擊面。
ATT&CK是資安事件調查框架和攻擊鏈、攻擊手法知識庫,每六個月發佈一個新版本。其目標是對現今網路攻擊者的行為進行編碼和分類。該框架不斷進行調整,包含攻擊者與設備、系統和網路相互影響的最新技術、方法和流程。
MITRE ATT&CK包括以下三大矩陣:
- 企業版,涵蓋 Windows、macOS、Linux、PRE、雲端平台(Azure AD、Office 365、Google Workspace、SaaS、IaaS)、網路設備和容器的策略和技術
- 行動裝置(安卓、iOS)
- ICS(工業控制系統)
首次覆蓋針對人員的非技術攻擊
MITRE表示,隨著攻擊者不斷發展對「人類漏洞」的利用,ATT&CK在最新版本擴大涵蓋該範圍,包含沒有直接技術成分的詐欺行為和社交工程,如金融詐騙、假冒和魚叉式網路釣魚。尤其是透過簡訊(網路釣魚)、假QR CODE(quishing)和電話(語音釣魚)等媒介進行的網路釣魚行為。
MITRE ATT&CK v14的其他重大更新:
- 增強的偵測註解説明防禦者在分析網路流量時檢測攻擊行為的跡象
- 增強檢測、資料來源和緩解措施之間的關係
- ICS矩陣中包含的新資產(設備和系統)
- 更廣泛的移動矩陣(添加了新的網路釣魚向量,包括quishing)和結構化檢測
- 新軟體、攻擊組織和記錄活動
實施MITRE ATT&CK需要循序漸進
企業可使用ATT&CK框架磨練其威脅模型、評估供應商能力、映射檢測以簡化分析師的工作、進行員工培訓等。
企業應該從小範圍小規模開始,循序漸進地實施ATT&CK框架。
MITRE解釋,ATT&CK框架分為多種技術,因此組織可以從與系統相關的單一策略開始。如,關注身分管理可以利用ATT&CK框架深入研究攻擊方如何竊取密碼並識別他們行為之間的重疊。。
MITRE還致力於開發D3FEND框架,一個針對常見進攻技術的防禦技術知識庫,也是一個提供網路安全專業人員針對特定網路威脅定制防禦的框架,D3FEND與側重對手知識庫的ATT&CK框架形成互補。
相關文章:MITRE 和 CISA 共同推出OT攻擊模擬平台