-
06/07/2013
-
796
-
1.304 bài viết
MITRE ATT&CK Framework là gì? Mang về cho mẹ được không?
MITRE ATT&CK Framework ra đời vào năm 2013 bởi MITRE (một công ty có trụ sở tại Mỹ) với mục đích tạo ra một tài liệu toàn diện về các chiến thuật, kỹ thuật cũng như quy trình mà những kẻ tấn công mạng thường sử dụng. Từ đó, nó đã trở thành một cơ sở tri thức giúp tiêu chuẩn hóa an ninh phòng thủ và tất cả các chuyên gia an ninh mạng đều có thể truy cập được.
MITRE ATT&CK là viết tắt của: Adversarial Tactics Techniques & Common Knowledge.
MITRE ATT&CK Framework được cập nhật thường xuyên, nhằm tập hợp trí tuệ của các chuyên gia an ninh mạng toàn cầu để bảo vệ tốt hơn trước bối cảnh các mối đe dọa ngày càng gia tăng. Trong bài viết này chúng ta sẽ đi qua các khía cạnh khác nhau của MITRE ATT&CK Framework và lợi ích mà nó mang lại.
MITRE ATT&CK® Framework và các thành phần
Ma trận ATT&CK bao gồm hai phần chính: tactics (các chiến thuật) và techniques (các kỹ thuật).
Chiến thuật là các loại tấn công tập trung vào mục tiêu chính để đạt được mục đích tấn công. Hiện tại ATT&CK có 14 loại chiến thuật:
Kỹ thuật là cách thức mà chiến thuật đạt được. Một số kỹ thuật được chia nhỏ thành các kỹ thuật phụ để làm rõ các cách tiếp cận khác nhau đối với một kỹ thuật.
Khi click vào một kỹ thuật hoặc kỹ thuật phụ trong Ma trận ATT&CK sẽ cung cấp các mô tả chi tiết kỹ thuật, giải pháp giảm nhẹ cũng như cách phát hiện. Ngoài ra nó cũng cung cấp các phương pháp mà những kẻ tấn công sử dụng.
MITRE ATT&CK® Groups
Ngoài MITRE ATT&CK framework, MITRE cũng có một danh sách toàn diện thông tin các nhóm (groups), bao gồm các hoạt động tấn công có liên quan với một hoặc nhiều nhóm đe dọa hoặc gián điệp mạng.
Thông tin về các nhóm xem tại: https://attack.mitre.org/groups
Lợi ích khi dùng MITRE ATT&CK®
Có nhiều cách để sử dụng framework này, như dùng để phát hiện, phân tích thông tin về mối đe dọa. Nó đặc biệt hữu ích để đánh giá an ninh của một tổ chức. Ngoài ra, nó có thể được sử dụng trong các thử nghiệm thâm nhập, nhằm xác định các điểm yếu của hệ thống và các hướng dẫn khắc phục. Nắm được các chiến thuật hoặc kỹ thuật mà những mối đe dọa sử dụng giúp cho tổ chức đưa ra các giải pháp phù hợp nhằm nâng cao khả năng phòng thủ hệ thống.
Đóng góp cho MITRE ATT&CK®
Các mối đe dọa liên tục phát triển, MITRE ATT&CK Framework cũng cần được cập nhật. Để tiếp tục làm cho framework này hiệu quả nhất có thể, các chuyên gia an ninh mạng có thể đóng góp bằng cách chia sẻ một kỹ thuật mới phát hiện được hay chỉ đơn giản là một thông tin mà bạn cho là hữu ích. Bạn có thể liên hệ tại: https://attack.mitre.org/resources/contribute/
MITRE ATT&CK là viết tắt của: Adversarial Tactics Techniques & Common Knowledge.
MITRE ATT&CK Framework được cập nhật thường xuyên, nhằm tập hợp trí tuệ của các chuyên gia an ninh mạng toàn cầu để bảo vệ tốt hơn trước bối cảnh các mối đe dọa ngày càng gia tăng. Trong bài viết này chúng ta sẽ đi qua các khía cạnh khác nhau của MITRE ATT&CK Framework và lợi ích mà nó mang lại.
MITRE ATT&CK® Framework và các thành phần
Ma trận ATT&CK bao gồm hai phần chính: tactics (các chiến thuật) và techniques (các kỹ thuật).
Chiến thuật là các loại tấn công tập trung vào mục tiêu chính để đạt được mục đích tấn công. Hiện tại ATT&CK có 14 loại chiến thuật:
- Reconnaissance - Thu thập thông tin về mục tiêu
- Resource Development - Thu thập các tài nguyên có thể được sử dụng để tấn công, chẳng hạn như cơ sở hạ tầng, tài khoản
- Initial Access - Truy cập ban đầu
- Execution - Thực thi mã độc
- Persistence - Giữ quyền truy cập vào hệ thống mục tiêu
- Privilege Escalation - Leo thang đặc quyền
- Defense Evasion - Tránh phát hiện
- Credential Access - Đánh cắp tên người dùng và mật khẩu
- Discovery - Khám phá hệ thống và mạng nội bộ mục tiêu
- Lateral Movement - Mở rộng phạm vi khai thác
- Collection - Thu thập dữ liệu mục tiêu để đánh cắp hoặc thao túng
- Command and Control - Kết nối với các hệ thống bị xâm nhập để kiểm soát chúng
- Exfiltration - Đánh cắp dữ liệu thu thập được
- Impact - Thay đổi hoặc phá hủy dữ liệu của mục tiêu
Kỹ thuật là cách thức mà chiến thuật đạt được. Một số kỹ thuật được chia nhỏ thành các kỹ thuật phụ để làm rõ các cách tiếp cận khác nhau đối với một kỹ thuật.
Khi click vào một kỹ thuật hoặc kỹ thuật phụ trong Ma trận ATT&CK sẽ cung cấp các mô tả chi tiết kỹ thuật, giải pháp giảm nhẹ cũng như cách phát hiện. Ngoài ra nó cũng cung cấp các phương pháp mà những kẻ tấn công sử dụng.
Ngoài MITRE ATT&CK framework, MITRE cũng có một danh sách toàn diện thông tin các nhóm (groups), bao gồm các hoạt động tấn công có liên quan với một hoặc nhiều nhóm đe dọa hoặc gián điệp mạng.
Lợi ích khi dùng MITRE ATT&CK®
Có nhiều cách để sử dụng framework này, như dùng để phát hiện, phân tích thông tin về mối đe dọa. Nó đặc biệt hữu ích để đánh giá an ninh của một tổ chức. Ngoài ra, nó có thể được sử dụng trong các thử nghiệm thâm nhập, nhằm xác định các điểm yếu của hệ thống và các hướng dẫn khắc phục. Nắm được các chiến thuật hoặc kỹ thuật mà những mối đe dọa sử dụng giúp cho tổ chức đưa ra các giải pháp phù hợp nhằm nâng cao khả năng phòng thủ hệ thống.
Đóng góp cho MITRE ATT&CK®
Các mối đe dọa liên tục phát triển, MITRE ATT&CK Framework cũng cần được cập nhật. Để tiếp tục làm cho framework này hiệu quả nhất có thể, các chuyên gia an ninh mạng có thể đóng góp bằng cách chia sẻ một kỹ thuật mới phát hiện được hay chỉ đơn giản là một thông tin mà bạn cho là hữu ích. Bạn có thể liên hệ tại: https://attack.mitre.org/resources/contribute/
Tham khảo: https://attack.mitre.org
Chỉnh sửa lần cuối bởi người điều hành: