您的位置:首页 >科技 >

焦点资讯:助力MITRE ATT&CK框架应用落地的10种免费工具

2022-12-07 14:09:09    来源:互联网

ATT&CK框架公开发布于2015年,从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,成为在企业、政府和安全厂商中广为流行的安全工具。ATT&CK框架提供了关于在野网络攻击活动最全面及时的社区知识集合,这有助于企业划分安全威胁的优先级,并用于评估安全方法、产品和服务。


(资料图)

不过研究人员发现,ATT&CK框架的应用潜力目前还没有得到充分挖掘,其应用推广中面临的主要挑战包括:

缺乏安全工具支持,难以实现互操作性

框架部署的成熟度不够,难以实现自动化

为了帮助使用者应对上述挑战,本文收集整理了一些有助于MITRE ATT&CK知识库应用落地的免费工具和资源。

01Getting Started with ATT&CK

《ATT&CK实践指南》白皮书

这本免费的电子书将一系列博客文章中的威胁情报、检测和分析、对手模拟和红队、评估和工程等内容整合到一个单一的、方便的工具集中。这样将有助于安全威胁分析师如何更好地使用ATT&CK。本书收集了大量真实用例的共享内容,并将这些内容分成不同的级别:

级别1适用于刚起步但可能没有太多资源的分析师;

级别2适用于开始成熟的中级安全团队;

级别3则适合更先进的网络安全团队。

传送门

https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf

02CALDERA

CALDERA是一个由python语言编写的红蓝对抗工具(攻击模拟工具)。它是MITRE公司发起的一个研究项目,该工具的攻击流程是建立在ATT&CK攻击行为模型和知识库之上的,能够较真实地APT攻击行为模式。

通过CALDERA工具,安全红队可以提前手动模拟并设定好攻击流程,并以此进行自动化攻击和事件响应演练。同样,安全蓝队也可以利用该工具,根据相应的威胁开展模拟应对。

该工具主要由两个组件组成:

核心系统。由相关存储库中可用的内容组成,主要包括一个带有REST API和web界面的异步命令控制(C2)服务器。

插件。这些插件可以扩展核心系统功能,包括代理、报告、TTP集合等。

传送门

https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf

03Best Practices for MITRE ATT&CK Mapping

《MITRE ATT&CK映射的最佳实践指南》白皮书

由于ATT&CK框架的应用潜力并没有得到充分挖掘,美国网络与基础设施安全局(CISA)和国土安全系统工程与发展研究所(HSSEDI)共同制定了一份《MITRE ATT&CK映射的最佳实践指南》,旨在帮助网络威胁分析师将攻击者的TTP(技术、工具和程序)映射到相关的ATT&CK技术,以提高防御者主动检测对手行为和共享行为情报的能力。

传送门

https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf

04CASCADE

CASCADE也是MITRE公司发起的一个研究项目,旨在将“安全蓝队”团队执行的大部分调查工作自动化,以确定使用主机数据的网络上存在的可疑行为的范围和恶意程度。

CASCADE原型应用具有处理用户身份验证、运行分析和执行调查的能力,可以对存储在Splunk/ElasticSearch中的数据进行分析,以生成警报。警报会触发一个递归调查过程,其中几个后续查询会收集相关事件。应用会自动生成这些事件的图形,显示它们之间的关系,并用ATT&CK的信息标记该图形。

传送门

https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf

05Metta

Metta是一款对抗性模拟工具,它是由多个内部项目产生的。Metta使用Redis/Celery、python和VirtualBox进行攻击行为模拟,这样用户就可以测试基于主机的安全系统。另外用户还能测试其他基于网络的安全检测和控制,具体过程取决于使用者的设置方式。Metta能够在Microsoft Windows、MacOS和Linux等多个操作系统终端上运行。

传送门

https://github.com/uber-common/metta

06Sandbox Scryer

Sandbox Scryer是一款功能强大的开源威胁情报工具,该工具可以根据公开的沙箱输出信息生成威胁搜索和情报数据,并允许安全研究人员将海量威胁样本发送给沙箱,以构建可以跟MITRE ATT&CK Framework一起使用的技术文档。Sandbox Scryer提供了大规模用例解决方案,该工具适用于对利用沙盒输出威胁情报感兴趣的威胁分析人员。

值得一提的是,当前版本的Sandbox Scryer使用了多种恶意软件分析服务的数据信息,可以帮助分析人员加快和提升威胁搜索的能力。

传送门

https://github.com/PayloadSecurity/Sandbox_Scryer

07Finding Cyber Threats with ATT&CK-Based Analytics

《使用基于ATT&CK的分析发现网络威胁》白皮书

该白皮书提出了一种使用MITRE ATT&CK框架的新方法——通过基于行为的威胁模型来识别相关的防御传感器(defensive sensor),并使用攻击仿真来构建、测试和改进基于行为的分析检测能力。该方法可以通过防御差距分析、端点安全性评估、针对特定环境优化行为分析,以及使用红队模拟等多种手段,增强企业的网络安全性。

传送门

https://www.mitre.org/sites/default/files/2021-11/16-3713-finding-cyber-threats-with-attack-based-analytics.pdf

08Atomic Red Team

Atomic Red Team是一个由Red Canary主导的开源项目,它提供了和ATT&CK一致的红队测试内容,可以用来测试现有的威胁分析方法。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的系统应用环境。用户可以直接通过命令行执行测试,无需安装运行软件。

传送门

https://github.com/redcanaryco/atomic-red-team

09Red Team Automation(RTA)

Red Team Automation是一组有38个脚本支持的可执行文件,可生成与ATT&CK框架中的技术相对应的安全组件,旨在允许安全蓝队测试他们对恶意间谍技术的检测能力。截至目前,Red Team Automation提供50多种由ATT&CK技术支持的组件,这个数量将来还会进一步增加。Red Team Automation支持Microsoft Windows操作系统,并且使用python进行编码,另外它还可以执行反取证操作,进行恶意传播、绕过UAC等模拟攻击。

传送门

https://github.com/endgameinc/RTA

10Mapping CVEs to MITRE ATT&CK网站

这是一个由Vulcan Cyber的研究团队创建的网站,用于展示一个正在进行的攻击研究项目,可以将记录的CVE映射到MITRE ATT&CK矩阵中的相关战术和技术。目前,该网站还处于测试阶段,将会不断更新,以纳入并记录更多的新CVE。用户可以根据特定的技术需要搜索CVE,也可以通过特定的CVE搜索与之匹配的ATT&CK战术和技术。

传送门

https://mitremapper.voyager18.io/

参考链接:

https://www.helpnetsecurity.com/2022/12/05/top-10-free-mitre-attack-tools-resources/

标签: 研究项目 检测能力 操作系统

相关阅读