来源:https://mitre.github.io/unfetter/getting-started/
一、企业防御挑战
今天的决策者和计算机和网络防御(CND)专业人员面临的环境有几个关键的挑战:
1、探索
如果没有大量的时间和人员投入,就无法解决敌情探测、分析效能、数据需求和传感器覆盖等方面的关键问题。
2、翻译
行业内同行和CND学科无法利用一个共同的词汇来有效地交流技术和见解。
3、进化
目前的反病毒和指标的破坏(IOCs)检测方法失败,由于先进的对手攻击方法,绕过或克服常见的防御。采用一种更基于行为的方法可以帮助避免这些问题。
4、深度
由于无法利用基于主机的感知和严格的分析,网络防御者无法有效地检测和跟踪已经突破网络边界的对手。
二、解决方案
对抗策略、技术和常识(ATT&CK)是描述对手在企业网络中操作时可能采取的行动的模型和框架。该模型可用于更好地刻画和描述破坏后的对手行为。它既扩展了网络防御者的知识,又通过详细描述后破坏(后利用和成功访问)策略、技术和过程来帮助确定网络防御的优先级,这些策略、技术和过程是在网络中运行时,高级持久威胁用来执行其目标的。
我们的方法,以更好地检测对手的活动是一个迭代的过程:
基于行为的分析是由一个蓝色团队[1]开发的。
网络游戏是一种测试网络防御姿态的活动,红队或一群人模拟对手进行模拟恶意活动。然后,蓝色团队搜索红色团队活动和剩余工件,以测试分析的有效性。
游戏结束后,可以对检测进行改进,并将其应用到模型和您的环境中。
网络分析知识库(CAR)是由MITRE公司开发的分析知识库。分析检测ATT&CK技术使用来自各种传感器的数据。
网络分析存储库探索工具(CARET)是一个概念验证的图形用户界面,用于将ATT&CK中突出显示的组和技术与CAR中突出显示的分析、数据模型和传感器连接起来。插入符号用于发展对防御能力的理解,并帮助开发和使用它们。
下图描述了在企业中部署Microsoft®Sysmon 3.0传感器。通过部署该传感器,所显示的分析使分析人员能够识别各种ATT&CK技术和使用这些技术的组。
Unfetter是一个开源软件项目,扩展了CARET,以帮助网络安全专业人士以一种更可重复的方式识别和分析防御漏洞。更多关于Unfetter的信息,请查看NSA Unfetter GitHub页面。
