术语和映射
首先,让我们看一下安全相关活动的术语和定义,有很多方法可以对这些进行分类 (网络攻击的阶段或正在执行的活动类型)。今天引用和使用的最流行的是 Veris、Cyber Kill-Chain 和 Mitre 框架。一、MITRE ATT&CK
凭借十几种战术和数百种技术,MITRE Attack 已成为事件映射的事实标准。它可用于防御性地帮助你映射针对你的网络的攻击,以及映射当前的可见性覆盖范围,以了解组织可以在哪里发展。
[*]Awesome List Collection: Mitre Attack
[*]Mitre Groups - 记录攻击者执行的已知技术的存储库
[*]Attack Navigator - 用于记录和探索 ATT&CK 矩阵的基于 Web 的工具,可用于可视化防守覆盖范围、红/蓝团队规划、检测技术的频率等
[*]C.A.R. Cyber Analytics Repository - MITRE 基于 MITRE ATT&CK 对手模型开发的分析知识库
[*]Caldera - 围绕 Mitre 技术构建的可扩展自动对手仿真平台
[*]Cascade - MITRE 的一个研究项目旨在自动化蓝队团队将执行的大部分调查工作,以确定使用主机数据的网络上可疑行为
[*]Mitre Shield Framework - Miter Shield 是一个新框架,将防御工具和技术映射到主动防御主题。这包括诸如诱饵帐户、canary 令牌和其他形式的网络欺骗之类的东西
[*]Mitre D3fend - 在 NSA 的一些支持下,Mitre 创建了一个基于网络对抗的框架,帮助防御者将防御技术映射到进攻技术的覆盖范围
[*]ATT&CK® EVALUATIONS- 基于 MITRE 技术覆盖的安全工具评估
[*]atomic-threat-coverage - Atomic Threat Coverage 是一种工具,可让你自动生成可操作的分析,旨在从检测、响应、缓解和模拟角度对抗威胁 (基于 MITRE ATT&CK 对手模型)
[*]https://github.com/OTRF/OSSEM-DM - 连接到 EventID 和 Mitre 数据源的 Mitre 映射的集合
[*]https://github.com/center-for-threat-informed-defense/attack-flow - ATT&CK Flow 可帮助高管、SOC 经理和防御者轻松了解攻击者如何将 ATT&CK 技术组合到攻击中,方法是开发攻击流的表示、对小型事件的攻击流建模,并创建可视化工具来显示攻击流
[*]https://ctid.mitre-engenuity.org/our-work/attack-flow
[*]https://github.com/vz-risk/flow - 与攻击流相关的工具
[*]https://www.jaiminton.com/mitreatt&ck
[*]https://tryhackme.com/room/mitre
二、互联网安全中心 (CIS) 基准和控制
CIS 有一组有用的资源来强化你的环境。对于防御专家来说,最重要的是 CIS 基准和 CIS 控制。CIS 基准是来自不同供应商的数十种产品的大量强化和配置标准集合。为了更轻松,甚至还有一些脚本可以按照这些标准设置基础架构。CIS 控制是记录在案的网络安全最佳实践。这些对于改善你的安全状况非常有价值,甚至可以将检测用例映射到防止某些攻击的控件。
了解这两者对你和你的组织都非常有价值,了解关键的安全控制可发展自己对安全理论的理解。深入研究 CIS 基准 (尤其是强化脚本) 对于更详细的安全问题技术知识非常有用。
[*]https://www.cisecurity.org/controls/
[*]https://www.cisecurity.org/cis-benchmarks/
[*]https://www.cisecurity.org/blog/cyber-attack-defense-cis-benchmarks-cdm-mitre-attck/
[*]https://www.blackhillsinfosec.com/center-for-internet-security-cis-v8-why-you-should-care/
三、Lockheed-Martin 网络杀伤链
这是查看攻击时间线的绝佳格式,在响应从安全设备看到的事件或警报时,请查看它们在杀伤链上的匹配位置,并记住在杀伤链中寻找可能落在它之前或之后的任何活动证据
四、VERIS 框架
VERIS 框架 - 常见且相当流行的格式,对事件和攻击的精细分类有些不足
页:
[1]