术语和映射

吉沃运营专员

首先，让我们看一下安全相关活动的术语和定义，有很多方法可以对这些进行分类 (网络攻击的阶段或正在执行的活动类型)。今天引用和使用的最流行的是 Veris、Cyber Kill-Chain 和 Mitre 框架。

一、MITRE ATT&CK

凭借十几种战术和数百种技术，MITRE Attack 已成为事件映射的事实标准。它可用于防御性地帮助你映射针对你的网络的攻击，以及映射当前的可见性覆盖范围，以了解组织可以在哪里发展。

• Awesome List Collection: Mitre Attack
• Mitre Groups - 记录攻击者执行的已知技术的存储库
• Attack Navigator - 用于记录和探索 ATT&CK 矩阵的基于 Web 的工具，可用于可视化防守覆盖范围、红/蓝团队规划、检测技术的频率等
• C.A.R. Cyber Analytics Repository - MITRE 基于 MITRE ATT&CK 对手模型开发的分析知识库
• Caldera - 围绕 Mitre 技术构建的可扩展自动对手仿真平台
• Cascade - MITRE 的一个研究项目旨在自动化蓝队团队将执行的大部分调查工作，以确定使用主机数据的网络上可疑行为
• Mitre Shield Framework - Miter Shield 是一个新框架，将防御工具和技术映射到主动防御主题。这包括诸如诱饵帐户、canary 令牌和其他形式的网络欺骗之类的东西
• Mitre D3fend - 在 NSA 的一些支持下，Mitre 创建了一个基于网络对抗的框架，帮助防御者将防御技术映射到进攻技术的覆盖范围
• ATT&CK® EVALUATIONS  - 基于 MITRE 技术覆盖的安全工具评估
• atomic-threat-coverage - Atomic Threat Coverage 是一种工具，可让你自动生成可操作的分析，旨在从检测、响应、缓解和模拟角度对抗威胁 (基于 MITRE ATT&CK 对手模型)
• https://github.com/OTRF/OSSEM-DM - 连接到 EventID 和 Mitre 数据源的 Mitre 映射的集合
• https://github.com/center-for-threat-informed-defense/attack-flow - ATT&CK Flow 可帮助高管、SOC 经理和防御者轻松了解攻击者如何将 ATT&CK 技术组合到攻击中，方法是开发攻击流的表示、对小型事件的攻击流建模，并创建可视化工具来显示攻击流
  
  • https://ctid.mitre-engenuity.org/our-work/attack-flow
  • https://github.com/vz-risk/flow - 与攻击流相关的工具
    
• https://www.jaiminton.com/mitreatt&ck
• https://tryhackme.com/room/mitre
  

二、互联网安全中心 (CIS) 基准和控制

CIS 有一组有用的资源来强化你的环境。对于防御专家来说，最重要的是 CIS 基准和 CIS 控制。CIS 基准是来自不同供应商的数十种产品的大量强化和配置标准集合。为了更轻松，甚至还有一些脚本可以按照这些标准设置基础架构。CIS 控制是记录在案的网络安全最佳实践。这些对于改善你的安全状况非常有价值，甚至可以将检测用例映射到防止某些攻击的控件。

了解这两者对你和你的组织都非常有价值，了解关键的安全控制可发展自己对安全理论的理解。深入研究 CIS 基准 (尤其是强化脚本) 对于更详细的安全问题技术知识非常有用。

• https://www.cisecurity.org/controls/
• https://www.cisecurity.org/cis-benchmarks/
• https://www.cisecurity.org/blog/ ... ks-cdm-mitre-attck/
• https://www.blackhillsinfosec.co ... hy-you-should-care/
  

三、Lockheed-Martin 网络杀伤链

这是查看攻击时间线的绝佳格式，在响应从安全设备看到的事件或警报时，请查看它们在杀伤链上的匹配位置，并记住在杀伤链中寻找可能落在它之前或之后的任何活动证据

四、VERIS 框架

VERIS 框架 - 常见且相当流行的格式，对事件和攻击的精细分类有些不足