MITRE ATT&CK安全知识库介绍

1. 引入

通过学习MITRE ATT&CK，能快速对安全领域做一个全面的了解。

本文只是对MITRE ATT&CK做一个初步介绍，更深入的内容后续还会再写。

2. MITRE是什么

从wikipedia[1]上可以看到介绍：

The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an American not-for-profit organization based in Bedford, Massachusetts, and McLean, Virginia. It manages federally funded research and development centers (FFRDCs) supporting several U.S. government agencies.

所以，MITRE是一个公司，这个公司是一个非盈利组织，它管理联邦政府资助的研发中心（FFRDCs），支持几个美国政府机构。

大名鼎鼎的CVE（漏洞数据库） - Common Vulnerabilities and Exposures (CVE)，就是由MITRE维护的[2]。

补充：CVE无疑是个伟大的概念：公开发布软件或固件中所有已知漏洞的“字典”，供公司企业查询自身面临风险。

3. MITRE ATT&CK

网上一些文章认为MITRE ATT&CK是一个工具[4]，或者是一个框架[5]。

但从MITRE ATT&CK的介绍[3]来看，它是一个攻击者（adversary）策略（tactic）知识库（knowledge base of adversary tactics and techniques）。

MITRE ATT&CK作为一个知识库，必然是对相关领域的总结与描述，这个知识库细致到什么程度呢，看如下MITRE总结的一个表格就能知道：

表格很大，我这里并没有把完整的表格截图。表格中的每个项目都有链接，点进去都有非常详细的说明。看这些详细的文字，就能对安全领域有比较全面的认识。

4. 如何理解MITRE ATT&CK

要看懂这个表格，需要知道两个重要的概念：

• tactic，策略，也就是指攻击者常用的攻击策略，或者恶意软件的恶意行为。
• technique，技术，也就是实现某种策略的具体技术。一个tactic可以对应多种technique

MITRE ATT&CK中会大量的用到这两个单词。

表格中的表头一行，就是指tactic。

表格中，每一列指的就是相应tactic对应的technique。

举个具体的例子来说明：

• 表格中第一列，Initial Access是一种tactic，这个tactic指的是“攻击者在网络中获得初始的立足之地”[6]
• 第一列中的其他行内容，比如Drive-by Compromise，Exploit Public-Facing Application，External Remote Services等都是实现Initial Access这个tactic的technique
  • Drive-by Compromise这种technique[7]，指的是“当用户在浏览器访问网站时，攻击者获取了系统的访问权限”
    • 可以通过在网站上挂上漏洞利用代码，来获取访问该网站的用户系统权限
    • [7]中的examples中还给出了很多能实现这个technique的方法，比如“水坑攻击”[8]

5. 参考

• [1] https://en.wikipedia.org/wiki/Mitre_Corporation
• [2] https://zhuanlan.zhihu.com/p/27891196
• [3] https://attack.mitre.org/
• [4] https://www.secrss.com/articles/9239
• [5] https://www.aqniu.com/vendor/44748.html
• [6] https://attack.mitre.org/tactics/TA0001/
• [7] https://attack.mitre.org/techniques/T1189/
• [8] https://baike.baidu.com/item/%E6%B0%B4%E5%9D%91%E6%94%BB%E5%87%BB/17644830?fr=aladdin