全文共725字,阅读大约需1分钟。
在2024 TechWorld 绿盟科技智慧安全大会上,绿盟科技星云实验室正式发布了云原生ATT&CK矩阵,吸引了众多安全研究者的关注与探讨,并为行业提供了重要的参考。当前,相关技术报告与资料已对外开放,助力推动云原生安全领域的持续创新与发展。
ATT&CK矩阵全称是Adversarial Tactics, Techniques, and Common Knowledge,它反映了攻击者在整个攻击周期(渗透测试周期)中每个阶段的目标,由战术、技术、子技术三部分组成。借助这个框架,攻击者可以清晰的知道自己的攻击场景覆盖范围、攻击手法覆盖度,防御者可以根据这个评价自己的检测防护场景是否覆盖了所有的攻击手法。
在过去一段时间内,国内外许多厂商陆续提出了各自的ATT&CK矩阵。我们认为,ATT&CK应作为一个通用且标准化的框架,用于评估攻击与防御能力。其中每一项战术(Tactic)、技术(Tech)、子技术(Sub-tech)均应具备确定的唯一标识,这些标识应像CVE编号一样,在行业内达成共识,从而降低各方沟通成本。因此,各家单独发布矩阵除了具备一定的宣传意义外,其实际价值有限。同时,我们发现之前提出的ATT&CK矩阵普遍存在两方面问题:
问题一:技术与子技术丰富度不够;
问题二:技术与子技术不平衡,太多子技术被放到了技术这一层。
与以往的云原生ATT&CK矩阵相比,绿盟科技此次发布的版本在技术和子技术层面更加全面,并提供了更加详细的技术说明。矩阵中的每层技术对应的子技术数量得到了丰富,同时淘汰了部分过时的子技术,并对同类子技术进行了归类整合,使得整个云原生ATT&CK矩阵更具通用性和标准化。详细内容可参考绿盟科技的开源项目nsfocus-cloud-native-attack[3]
参考文献
[1] https://github.com/Metarget
[2]https://mp.weixin.qq.com/s/I-xWQZ4iQoOIwguJg0XGqQ
[3]https://github.com/Metarget/nsfocus-cloud-native-attack