ATT&CK框架于2015年公开发布,从一个内部人员共享的Excel电子表格工具,到现在已经发展成为全球威胁活动、技术和模型的知识库一种在企业、政府和安全供应商中广受欢迎的安全工具。ATT&CK框架提供最全面、最及时的关于野外网络攻击活动的社区知识集合,这有助于组织确定安全威胁的优先级并评估安全方法、产品和服务。然而,研究人员发现ATT&CK框架的应用潜力并没有得到充分挖掘。其应用推广面临的主要挑战包括:缺乏安全工具支持、互操作性难以实现、框架部署成熟度不够、自动化难度大。针对以上挑战,本文收集整理了一些对MITREATT&CK知识库应用有帮助的免费工具和资源。1.ATT&CK《ATT&CK实践指南》入门白皮书这本免费电子书将来自一系列博客文章的威胁情报、检测和分析、对手模拟和红队、评估和工程整合到一个单一、方便的集中工具中。这将有助于安全威胁分析人员更好地使用ATT&CK。本书从现实世界的用例中收集了大量的共享内容,并将其分为不同的级别:级别1适用于刚刚起步但可能没有太多资源的分析师;级别2适用于开始成熟的中级安全团队;对于更高级的网络安全团队。传送门https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf2.CALDERACALDERA是python语言编写的红蓝对抗工具(攻击模拟工具)。这是一个由MITRE发起的研究项目。该工具的攻击过程基于ATT&CK攻击行为模型和知识库,可以更真实地表征APT攻击行为模型。通过CALDERA工具,安全红队可以提前手动模拟设置攻击流程,并以此进行自动化攻击和事件响应演练。同样,安全蓝队也可以使用这个工具,根据相应的威胁进行模拟响应。该工具主要由两部分组成:核心系统。由相关存储库中可用的内容组成,主要由具有RESTAPI和Web界面的异步命令和控制(C2)服务器组成。插入。这些插件扩展了核心系统功能,包括代理、报告、TTP集合等。传送门https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf3.BestPracticesforMITREATT&CKMapping白皮书源于ATT&CKframework的应用潜力还没有被充分挖掘出来。美国网络与基础设施安全局(CISA)和国土安全系统工程与发展研究所(HSSEDI)联合开发了《MITRE ATT&CK映射的最佳实践指南》帮助网络威胁分析师TTPs(Techniques,Tools,andProcedures)映射到相关的ATT&CK技术以提高防御者主动检测对手行为和共享行为情报的能力。传送门https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf4.CASCADECASCADE也是MITRE发起的一个研究项目,旨在“把”SecurityBlueTeam”团队将执行的大部分调查工作自动化,以使用主机数据确定网络上可疑行为的范围和恶意性。CASCADE原型应用程序能够处理用户身份验证、运行分析并对存储在Splunk中的数据执行调查/ElasticSearch生成告警。告警触发一个递归调查过程,其中几个后续查询收集相关事件。应用程序自动生成这些事件的图表,显示它们之间的关系,并用ATT&CK信息标记图表。门户https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf5.MettaMetta是一个对抗模拟工具,由多个内部项目生成。使用Redis/Celery、python、VirtualBox进行攻击行为模拟,方便用户测试基于主机的安全系统。此外,用户还可以测试其他基于网络的安全检测和控制,具体过程取决于用户的配置方式。Metta可以在MicrosoftWindows、MacOS和Linux等多种操作系统终端上运行。传送门https://github.com/uber-common/metta6.SandboxScryerSandboxScryer是一个强大的开源威胁情报工具,可以根据公共沙箱输出信息生成威胁搜索和情报数据,并允许安全研究人员发送海量威胁样本到沙箱以构建可与MITREATT&CK框架一起使用的技术文档。SandboxScryer为有兴趣利用沙盒输出威胁情报的威胁分析师提供了一个大规模用例解决方案。值得一提的是,当前版本的SandboxScryer使用来自各种恶意软件分析服务的数据,可以帮助分析师加快和提高他们的威胁搜寻能力。传送门https://github.com/PayloadSecurity/Sandbox_Scryer7.FindingCyber??ThreatswithATT&CK-BasedAnalytics《使用基于ATT&CK的分析发现网络威胁》白皮书这篇白皮书提出了一种使用MITREATT&CK框架的新方法——通过基于行为的威胁模型来识别相关并使用攻击模拟来构建、测试和改进基于行为的分析检测功能。这种方法可以通过结合防御差距分析、端点安全评估、针对特定环境优化的行为分析以及使用红队模拟来增强组织的网络安全。传送门https://www.mitre.org/sites/default/files/2021-11/16-3713-finding-cyber-threats-with-attack-based-analytics.pdf8.AtomicRedTeamAtomicRedTeam是一个创建的团队由RedCanary主导的一个开源项目,提供与ATT&CK一致的红队测试内容,可用于测试现有的威胁分析方法。安全团队可以使用AtomicRedTeam来快速、便携和可重复地测试他们的系统应用程序环境。用户无需安装运行软件,直接通过命令行即可执行测试。传送门https://github.com/redcanaryco/atomic-red-team9.RedTeamAutomation(RTA)RedTeamAutomation是一组由38个脚本支持的可执行文件,可以生成对应ATT&CK框架中的技术安全组件旨在让安全蓝队测试他们针对恶意间谍技术的检测能力。截至目前,RedTeamAutomation提供了50多个ATT&CK技术支持的组件,未来这个数字还会进一步增加。RedTeamAutomation支持MicrosoftWindows操作系统并使用python编码。此外,它还可以进行反取证操作、进行恶意传播、绕过UAC等模拟攻击。传送门https://github.com/endgameinc/RTA10.MappingCVEstoMITREATT&CKwebsite这是一个由VulcanCyber??的研究团队创建的网站,用于展示正在进行的攻击研究项目,可以将记录的CVEs映射到MITREATT&CK中的相关策略和技术矩阵。目前,该网站处于测试阶段,并将不断更新以包含和记录更多新的CVE。用户可以根据特定的技术需求搜索CVE,也可以通过特定的CVE搜索匹配的ATT&CK战术和技术。传送门https://mitremapper.voyager18.io/
