最新研究
2022漏洞管理指南
2022漏洞管理指南
前往下载

ATT&CK V11版本发布,新增结构化检测内容

2022-05-16

近日,ATT&CK发布了V11版本!按照其发展路线图,ATT&CK会在2022年会更新两个版本:在4月份更新V11版本,并在10月份更新V12版本。本次更新的V11版本,最大的变化是对“检测”内容进行重组,将“检测”与ATT&CK for Enterprise中的数据源和数据组件对象关联起来,ATT&CK for Mobile增加子技术测试版、ATT&CK for ICS添加到了MITRE ATT&CK的官网(attack.mitre.org)上。V12版本预计会增加行动内容(Campaigns)元素。

多年来,青藤不断增强对ATT&CK研究,形成了系统化的研究内容。5月19日19:30,青藤安全运营专家/高级咨询顾问黄亮将围绕ATT&CK,与大家线上探讨如何利用ATT&CK帮助企业落地实战化、自动化的安全运营能力。

扫码预约直播

增强结构化检测

过去几年里,MITRE ATT&CK反复研究如何各种可操作的ATT&CK字段转化为可管理的对象。在V5版本中,ATT&CK将缓解措施(Mitigations)转换为对象,以提高缓解措施的价值和可用性。将缓解措施转化为对象之后,用户可以根据缓解措施找到预防相关攻击技术的不同措施。在V10版本中,ATT&CK把数据源转换为对象,实现了类似的透视和分析功能。

最新发布的V11版本采用了类似的方法处理ATT&CK for Enterprise中的“检测”内容。以前,“检测”是在“技术”页面上用文本进行描述的,V11版本对此进行了改进,将“检测”合并到与数据源有关的描述中。这样,针对每项攻击技术的检测,用户就可以明确地知道需要收集哪些信息作为输入信息(数据源),以及通过如何分析这些数据来识别特定的攻击技术(检测)。

在“T1197 BITS作业”页面的检测信息

在“数据源”页面上,也有检测信息,并与“数据组件”下列出的每项技术进行了关联,这样用户就能够清晰地知道这些数据源可以用于检测哪些攻击技术。

数据源“容器”页面的检测信息

Mobile子技术测试版上线

2020年,ATT&CK for Enterprise中增加了多项子技术,这些子技术广受好评,解决了Enterprise矩阵不断变大过程中遇到的一些问题。在V11版本中,ATT&CK for Mobile也增加了子技术(测试版),预计今年夏天会正式发布ATT&CK for Mobile及其子技术。

ICS矩阵在官网上线

此前,ATT&CK for ICS是在MediaWiki网站上推出的,呈现方式与其官网类似,现已在官网正式上线。该版本的不同之处在于,合并了攻击组织和软件,将ICS技术添加到攻击组织和软件页面中,并在描述中做出相应的更新;此外,还整合了ATT&CK for ICS的数据源和数据组件。由于ATT&CK for ICS和ATT&CK for Enterprise二者之间存在一定的重叠,因此,增加了一个过滤器,可以看到只针对ATT&CK for ICS的数据源和数据组件,只针对ATT&CK for Enterprise的数据源和数据组件,以及二者通用的数据源和数据组件。

写在最后

最近几年,ATT&CK框架发展日趋完善,而且备受欢迎,得到了安全行业的广泛采用。青藤通过多年对ATT&CK的研究探索,积累了大量较为成熟和系统化的研究材料。未来,青藤将持续关注ATT&CK的发展,为大家介绍ATT&CK发展的最新动态与最佳实践。5月19日19:30,青藤安全运营专家/高级咨询顾问黄亮与您共话ATT&CK。


立即体验,让安全一触即达

7*24小时安全监控

5*8小时故障诊断

安装升级服务

产品使用培训

免费试用

免费试用

请填写真实信息,方便我们更好地了解您的企业安全需求,如需咨询更多服务,请拨打 400-188-9287
*

*

*

*

*

*

请选择您想试用的产品
提交申请

您的申请已提交

申请通过后,我们将尽快联系您
青藤服务热线:400-188-9287