欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

MITRE ATT & CK 产品化落地思路

e6e9fdb1a932f3282020-05-184技术

0x00、前言

入侵检测能力的量化度量是安全行业的一个难题,用户买了很多安全产品,但是能不能防住黑客,即便拥有很强的安全运营团队的大厂,CSO也无法回答。其核心问题点在于,没有一个明确的,可以度量的、可落地的入侵检测能力测量标准,来证明自己的能力,MITRE ATT&CK的出现解决了这个难题。但是由于其对理论程度过高,每家安全厂商有一套自己的实践标准。导致其解读五花八门。本期我们就聊聊其产品化落地思路。

根据百度指数,从2011年开始相关热度趋势在不断上升,到2014年MITRE ATT&CK推出,其落地工程才真正进入到快车道。MITRE ATT & CK 产品化落地思路  技术 第1张

针对服务器安全,我们研究范围:主要是MITRE ATT&CK for Enterprise部分,主要涉及到Windows、Linux、Cloud,当然也包括最近比较火的k8s。

0x01、产品化落地思路

@1、分析方法论技术细节

产品化落地需要我们全面分析MITRE ATT&CK for Enterprise中涉及到Windows、Linux、Cloud、k8s这些攻击技术关联的信息。并且需要量化我们的衡量指标:检测能力对关键技术覆盖度,可使用模拟攻击验证

MITRE ATT & CK 产品化落地思路  技术 第2张

1、研究攻击阶段,主要是为了日后攻击链关联使用。ATT&CK for Enterprise包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制.

2、研究266项攻击技术手段,主要是确定其数据来源产品是否能支持

3、研究采集和关联规则,主要是为了设置其采集敏感集合,不同基础数据的采集组合能满足新的攻击手段,使用最小的数据采集来完成最多技术手段匹配。

4、研究测试用例,主要是为了此攻击技术是可以被验证的。

@2、竞品分析

首先我们需要定义分析指标:

一、级别

MITRE ATT & CK 产品化落地思路  技术 第3张

二、形式

MITRE ATT & CK 产品化落地思路  技术 第4张

根据以上分析指标,:对各个安全产品做覆盖度测试,涉及到这个领域的主要分三类厂商,一类是杀毒软件厂商,第二类是EDR厂商,第三类就是SOC平台。根据名气,我选了每个领域选了三家厂商。评估结果如下:

MITRE ATT & CK 产品化落地思路  技术 第5张

如果自己做产品定位的话至少要到覆盖到55个,才能进入第一梯队。

这里重点提一下k8s ATT&CK攻击模型定位:

MITRE ATT & CK 产品化落地思路  技术 第6张

对以上安全特性,可以通过容器运行时安全来落地。

0x02、总结

为了更好的帮助网络防御者了解他们面临的威胁,MITRE ATT&CK框架,给我们的提供了一个全球可用的战术对抗知识库,通过主机网络安全产品化后,提升网络入侵检测效率,让安全运营人员有更多的时间去应急响应。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,
Windows for Linux 2.0即将发布

Windows Subsystem for Linux允许用户在Windows 10系统中安装和运行Linux发行版。Windows Subsystem for Linux 2 (WSL2)即将在2020年5月发布的更新(Windows 10 2004)中发布,其中引入了一些新的特征和性能提升。 WSL version 1 (WSL1)使用了兼容Linux的 kernel,将Linux系统调用翻译使得其可以与window NT kernel进行通信。但这降低了其运行的性能,并使得其很难运行特定的Linux应用。在即将发布的Windows 10 version 2004版本中,微软测试了WSL的一些新特征,使用内置的Linux kernel和全部系统调用的兼容性来运行更多的Linux应用。 新变化 微软称,WSL 2中包含一个新的架构,修改了Linux二进制文件与Windows和硬件交互的方式。更新的WSL可以提供给用户与WSL 1一样的体验。 Real Linux kernel Windows 10 version