云计算在带来便利的同时,也带来了新的安全技术风险、政策风险和安全合规风险。
一:ATT&CK
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是由MITRE公司在2013年推出的,包含对抗策略、技术和常识,是网络对抗者(通常指黑客)行为的精选知识库和模型,反映了攻击者攻击生命周期的各个阶段,以及已知的攻击目标平台。
从视觉角度来看,ATT&CK矩阵按照易于理解的格式将所有已知的战术和技术进行排列。
一个攻击序列至少包含一个技术,并且从左侧(初始访问)向右侧(影响)移动,这样就构建了一个完整的攻击序列。一种战术可能使用多种技术,如攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼邮件和钓鱼链接。
二:ATT&CK模式
1. 对抗模拟
ATT&CK可用于创建对抗性模拟场景,对常见对抗技术的防御方案进行测试和验证。
2. 红队/渗透测试活动
攻防双方的渗透测试活动的规划、执行和报告可以使用ATT&CK,为防御者和报告接收者提供一种通用语言。
3. 制定行为分析方案
ATT&CK可用于构建和测试行为分析方案,以检测环境中的对抗行为。
4. 防御差距评估
ATT&CK可以用于以行为为核心的常见对抗模型中,以评估组织内现有防御方案中的工具、监视和缓解措施。
5. SOC成熟度评估
ATT&CK可作为一种度量,确定SOC在检测、分析和响应入侵方面的有效性。
SOC团队可以参考ATT&CK已检测或未涵盖的技术和战术,这有助于了解防御的优势和劣势并验证缓解和检测控制措施,以便发现配置错误和其他操作问题。
6. 网络威胁情报收集
ATT&CK对网络威胁情报很有用,因为ATT&CK是在用一种标准方式描述对抗行为,是根据攻击者利用的ATT&CK技术和战术来跟踪攻击主体。
三:AWS ATT&CK云模块
1. 初始访问
攻击者试图进入你的网络。
初始访问是使用各种入口向量在网络中获得其初始立足点的技术。
其用于立足的技术包括针对性的鱼叉式欺骗和利用面向公众的Web服务器上的安全漏洞获得的立足点,例如有效账户和使用外部远程服务等。
攻击者通过利用面向互联网的计算机系统或程序中的弱点,产生破坏行为,这些弱点可能是错误、故障或设计漏洞等。
2. 执行
执行策略是使攻击者控制的代码在本地或远程系统上执行的技术。
此策略通常与初始访问结合使用,作为获得访问权限后执行代码的手段,以及横向移动以扩展对网络远程系统的访问权限。
3. 持久性
对手试图保持立足点。
持久性是指攻击者利用重新启动、更改凭证等手段对系统访问的技术组成。攻击驻留技术包括任何访问、操作或配置更改,以便使它们能够在系统内持久隐藏,例如替换、劫持合法代码或添加启动代码。
4. 提升权限
攻击者可以使用凭证访问技术窃取特定用户或服务账户的凭证,或者在侦察过程的早期通过社会工程来获取凭证以获得初始访问权限。
攻击者使用的账户可以分为三类:默认账户、本地账户和域账户。
5. 防御绕过
攻击者试图避免被发现。
防御绕过包括攻击者用来避免在整个攻击过程中被发现的技术。
逃避防御所使用的技术包括卸载或禁用安全软件或对数据和脚本进行混淆或加密。攻击者还会利用和滥用受信任的进程来隐藏和伪装其恶意软件。
6. 凭证访问
攻击者试图窃取账户名和密码。
凭证访问包括用于窃取凭证(如账户名和密码)的技术,包括密钥记录和凭证转储。若攻击者利用了合法的凭证访问系统,则更难被发现,此时攻击者可以创建更多账户以帮助其增加最终实现目标的概率。
7. 发现
攻击者试图找出你的环境。
发现包括攻击者可能用来获取有关系统和内部网络知识的技术。
8. 横向移动
横向移动由使攻击者能够访问和控制网络上的远程系统的技术组成,并且可以但不一定包括在远程系统上执行工具。
9. 纵向移动
纵向移动包括使攻击者能够访问和控制系统并同时在两个不同的平面(即网络平面和云平面)上旋转的技术。
10. 收集
攻击者正在尝试收集目标感兴趣的数据,收集包括攻击者用来收集信息的技术,攻击者可能会从安全保护不当的云存储中访问数据对象。
11. 渗透与数据窃取
攻击者试图窃取数据。
渗透由攻击者用来从网络中窃取数据的技术组成。攻击者收集到数据后,通常会对其进行打包,避免在删除数据时被发现,这包括数据压缩和数据加密。用于从目标网络中窃取数据的技术通常包括在其命令和控制信道或备用信道上传输数据,以及在传输中设置大小限制。
12. 干扰
攻击者试图操纵、中断或破坏系统和数据,干扰包括攻击者用来通过操纵业务和运营流程破坏系统和数据的可用性或完整性的技术,包括破坏或篡改数据。
常见的攻击战术包括ddos(Distributed Denial-of-Service,抗拒绝服务攻击)和资源劫持。
原文链接:https://zhuanlan.zhihu.com/p/546180978
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/5630
