青藤云安全性:ATT&CK架构迈入重特大转型,“子

青藤云安全性:ATT&CK架构迈入重特大转型,“子技术性”宣布公布 前不久,ATT CK精英团队公布了新的抽象性定义:子技术性,而且对ATT CK架构总体干了升级。

前不久,ATT CK精英团队公布了新的抽象性定义:子技术性,而且对ATT CK架构总体干了升级。以往ATT CK架构对于不一样技术性存有抽象性水平不一的难题,比如一些技术性十分实际,一些技术性则十分归纳,一些技术性仅仅某类技术性实际种类。如今,伴随着子技术性的出現完全处理技术性抽象性级別的难题。

新版本本ATT CK架构

新版本ATT CK(for Enterprise)包括156项技术性(原先是266个技术性)和272项子技术性。针对老版ATT CK技术性,有一部分技术性被保存出来,有一部分退级为子技术性,有一部分两者之间它技术性或是子技术性合拼,也是有一部分被停止使用。

什么是子技术性

对比技术性来讲,子技术性是一种更为实际的技术性。这就行比,微生物学上归类方式, 门纲目科属种 ,归类比 种 还细腻的分法便是 亚种 。比如,老虎狮子一共有八个亚种,包含东北地区虎、 华南地区虎、孟加拉虎等。这类归类方法能够更细粒度分布开展类型中间的关联模型。

以T1574技术性(被劫持实行流)为例子,进攻者能够根据被劫持实际操作系统软件运作程序来实行自身的故意负荷,随后完成长久化、防御力绕开和提权。可是进攻者能够根据多种多样方法被劫持实行流。在新版本的ATT CK架构中,T1574技术性将一些实际技术性归拢到一起,该技术性有着1一个子技术性。

T1574技术性包括1一个子技术性

子技术性序号选用方式是,将ATT CK技术性ID拓展为T[technique].[子技术性]。比如,过程引入依然是T1055,可是子技术性过程引入:动态性连接库引入是T1055.001。

子技术性序号方式

子技术性特性

开启子技术性和技术性实际网页页面,其所包括信息内容基本上一样,包含进攻技术性叙述、检验、阶段、数据信息源等。其压根差别取决于她们中间的关联,一切一身高技术性都有着唯一个父技术性。可是子技术性与技术性中间其实不存有一对多关联。但针对跨过好几个战略的子技术性必须非常表明下,子技术性其实不必须考虑到其父技术性所属于哪一个战略。比如,过程引入(T1055)归属于 防御力绕开 和 提权 2个战略下边的技术性,其相匹配的子技术性过程镂空(T1055.012)是唯一的。

另外,其实不是全部技术性都有着子技术性。尽管每个子技术性一般功效是出示大量有关父技术性实际应用的信息内容,但依然有一些技术性沒有提升到子技术性,或是沒有必需梳理到高些级別的技术性。比如,双因素真实身份验证阻拦便是一个案子。

子技术性会承继父技术性一些信息内容,包含减轻对策和数据信息源信息内容等。可是进攻机构和故意手机软件有关案例在子技术性和技术性中间其实不存有承继关联。比如在审批有关威协资源时,假如出示信息内容充足详尽,得以将其关系到子技术性,则能够投射到子技术性上。假如信息内容不是确立的,以致于子技术性不可以被鉴别,那麼该信息内容将被投射到该技术性。以便降低数据冗余关联,不可该将同一进攻案例投射到二者以上。

写在最终

ATT CK子技术性定义促使全部架构基本上重新构建,根据ATT CK架构设计方案的步骤、专用工具等都必须作出相匹配调节,及其包含大家应用习惯性都必须一个了解全过程。现阶段ATT CK官方网站依然适用客户能够挑选老版本应用。

可是从长久看来,子技术性利宏大于弊。子技术性出現,让ATT CK架构更为精练,关键主要表现为下列好多个层面:

使全部专业知识库的技术性抽象性层级归属于同一个等级

将技术性的总数操纵在可管理方法的水准,防止暴发式提高

根据方便快捷式增加子技术性升级,来降低对技术性自身改动

根据应用反复技术性,简单化向ATT CK增加技术性域难度系数,比如增加cloud、ICS等

更为详尽叙述不在同服务平台上检验进攻技术性涉及及的数据信息源及叙述。

拓宽阅读文章:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://gzhnly.cn/ganhuo/5590.html