描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787121424359
√ 全方位介绍ATT&CK在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用,给出有效防御措施建议。
√ 本书体系框架来源于长期攻防对抗、攻击溯源、攻击手法分析的实战过程,实用性强、可落地、说得清、道得明。
√ 攻击视角下的战术与技术知识库,帮助企业开发、组织和使用基于威胁信息的防御策略及评估网络防御能力差距。
√ 构建较细粒度的攻击行为模型和更易共享的抽象框架,可用于攻击与防御能力评估、APT情报分析及攻防演练等。
过去,入侵检测能力的度量是个公认的行业难题,各个企业得安全负责人每年在入侵防护上都投入大量费用,但几乎没有人能回答CEO 的问题:”买了这么多产品,我们的入侵防御和检测能力到底怎么样,能不能防住黑客?”。这个问题很难回答,核心原因是缺乏一个明确的、可衡量、可落地的标准。所以,防守方对于入侵检测通常会陷入不可知和不确定的状态中,既说不清自己的能力高低,也无法有效弥补自己的短板。 Mitre ATT&CK 的出现解决了这个行业难题。它给了我们一把尺子,让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非一个学院派的理论框架,而是来源于实战。安全从业者们在长期的攻防对抗,攻击溯源,攻击手法分析的过程中,逐渐提炼总结,形成了实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的,而且具备非常高的使用价值。 青藤是一家专注于前沿技术研究的网络安全公司,自2017年开始关注ATT&CK,经过多年系统性的研究、学习和探索,积累了相对比较成熟和系统化的资料,涵盖了ATT&CK 的设计思想、核心架构、应用场景、技术复现、对抗实践、指标评估等多方面的内容。研究越深入,愈发意识到Mitre ATT&CK 可以为行业带来的贡献。因此编写本书,作为ATT&CK 系统性学习材料,希望让更多的人了解ATT&CK,学习先进的理论体系,提升防守方的技术水平,加强攻防对抗能力。也欢迎大家一起加入到研究中,为这个体系的完善贡献一份力量。
部分 ATT&CK入门篇
第1章 潜心开始MITRE ATT&CK之旅 2
1.1 MITRE ATT&CK是什么 3
1.1.1 MITRE ATT&CK框架概述 4
1.1.2 ATT&CK框架背后的安全哲学 9
1.1.3 ATT&CK框架与Kill Chain模型的对比 11
1.1.4 ATT&CK框架与痛苦金字塔模型的关系 13
1.2 ATT&CK框架的对象关系介绍 14
1.3 ATT&CK框架实例说明 18
1.3.1 ATT&CK战术实例 18
1.3.2 ATT&CK技术实例 31
1.3.3 ATT&CK子技术实例 34
第2章 新场景示例:针对容器和Kubernetes的ATT&CK攻防矩阵 38
2.1 针对容器的ATT&CK攻防矩阵 39
2.1.1 执行命令行或进程 40
2.1.2 植入恶意镜像实现持久化 41
2.1.3 通过容器逃逸实现权限提升 41
2.1.4 绕过或禁用防御机制 41
2.1.5 基于容器API获取权限访问 42
2.1.6 容器资源发现 42
2.2 针对Kubernetes的攻防矩阵 42
2.2.1 通过漏洞实现对Kubernetes的初始访问 43
2.2.2 恶意代码执行 44
2.2.3 持久化访问权限 45
2.2.4 获取更高访问权限 46
2.2.5 隐藏踪迹绕过检测 47
2.2.6 获取各类凭证 48
2.2.7 发现环境中的有用资源 49
2.2.8 在环境中横向移动 50
2.2.9 给容器化环境造成危害 51
第3章 数据源:ATT&CK应用实践的前提 52
3.1 当前ATT&CK数据源利用急需解决的问题 53
3.1.1 制定数据源定义 54
3.1.2 标准化命名语法 54
3.1.3 确保平台一致性 57
3.2 升级ATT&CK数据源的使用情况 59
3.2.1 利用数据建模 59
3.2.2 通过数据元素定义数据源 61
3.2.3 整合数据建模和攻击者建模 62
3.2.4 将数据源作为对象集成到ATT&CK框架中 62
3.2.5 扩展ATT&CK数据源对象 63
3.2.6 使用数据组件扩展数据源 64
3.3 ATT&CK数据源的运用示例 65
3.3.1 改进进程监控 65
3.3.2 改进Windows事件日志 70
3.3.3 子技术用例 73
第二部分 ATT&CK提高篇
第4章 十大攻击组织和恶意软件的分析与检测 78
4.1 TA551攻击行为的分析与检测 79
4.2 漏洞利用工具Cobalt Strike的分析与检测 81
4.3 银行木马Qbot的分析与检测 83
4.4 银行木马lcedlD的分析与检测 84
4.5 凭证转储工具Mimikatz的分析与检测 86
4.6 恶意软件Shlayer的分析与检测 88
4.7 银行木马Dridex的分析与检测 89
4.8 银行木马Emotet的分析与检测 91
4.9 银行木马TrickBot的分析与检测 92
4.10 蠕虫病毒Gamarue的分析与检测 93
第5章 十大高频攻击技术的分析与检测 95
5.1 命令和脚本解析器(T1059)的分析与检测 96
5.1.1 PowerShell(T1059.001)的分析与检测 96
5.1.2 Windows Cmd Shell(T1059.003)的分析与检测 98
5.2 利用已签名二进制文件代理执行(T1218)的分析与检测 100
5.2.1 Rundll32(T1218.011)的分析与检测 100
5.2.2 Mshta(T1218.005)的分析与检测 104
5.3 创建或修改系统进程(T1543)的分析与检测 108
5.4 计划任务/作业(T1053)的分析与检测 111
5.5 OS凭证转储(T1003)的分析与检测 114
5.6 进程注入(T1055)的分析与检测 117
5.7 混淆文件或信息(T1027)的分析与检测 120
5.8 入口工具转移(T1105)的分析与检测 122
5.9 系统服务(T1569)的分析与检测 124
5.10 伪装(T1036)的分析与检测 126
第6章 红队视角:典型攻击技术的复现 129
6.1 基于本地账户的初始访问 130
6.2 基于WMI执行攻击技术 131
6.3 基于浏览器插件实现持久化 132
6.4 基于进程注入实现提权 134
6.5 基于Rootkit实现防御绕过 135
6.6 基于暴力破解获得凭证访问权限 136
6.7 基于操作系统程序发现系统服务 138
6.8 基于SMB实现横向移动 139
6.9 自动化收集内网数据 141
6.10 通过命令与控制通道传递攻击载荷 142
6.11 成功窃取数据 143
6.12 通过停止服务造成危害 144
第7章 蓝队视角:攻击技术的检测示例 145
7.1 执行:T1059命令和脚本解释器的检测 146
7.2 持久化:T1543.003创建或修改系统进程(Windows服务)的检测 147
7.3 权限提升:T1546.015组件对象模型劫持的检测 149
7.4 防御绕过:T1055.001 DLL注入的检测 150
7.5 凭证访问:T1552.002注册表中的凭证的检测 152
7.6 发现:T1069.002域用户组的检测 153
7.7 横向移动:T1550.002哈希传递攻击的检测 154
7.8 收集:T1560.001通过程序压缩的检测 155
第三部分 ATT&CK实践篇
第8章 ATT&CK应用工具与项目 158
8.1 ATT&CK三个关键工具 159
8.1.1 ATT&CK Navigator项目 159
8.1.2 ATT&CK的CARET项目 161
8.1.3 TRAM项目 162
8.2 ATT&CK实践应用项目 164
8.2.1 红队使用项目 164
8.2.2 蓝队使用项目 167
8.2.3 CTI团队使用 169
8.2.4 CSO使用项目 173
第9章 ATT&CK场景实践 175
9.1 ATT&CK的四大使用场景 178
9.1.1 威胁情报 178
9.1.2 检测分析 181
9.1.3 模拟攻击 183
9.1.4 评估改进 186
9.2 ATT&CK实践的常见误区 190
第10章 基于ATT&CK的安全运营 193
10.1 基于ATT&CK的运营流程 195
10.1.1 知彼:收集网络威胁情报 195
10.1.2 知己:分析现有数据源缺口 196
10.1.3 实践:分析测试 197
10.2 基于ATT&CK的运营实践 200
10.2.1 将ATT&CK应用于SOC的步骤 200
10.2.2 将ATT&CK应用于SOC的技巧 204
10.3 基于ATT&CK的模拟攻击 206
10.3.1 模拟攻击背景 206
10.3.2 模拟攻击流程 207
第11章 基于ATT&CK的威胁狩猎 218
11.1 威胁狩猎的开源项目 219
11.1.1 Splunk App Threat Hunting 220
11.1.2 HELK 222
11.2 ATT&CK与威胁狩猎 224
11.2.1 3个未知的问题 224
11.2.2 基于TTP的威胁狩猎 226
11.2.3 ATT&CK让狩猎过程透明化 228
11.3 威胁狩猎的行业实战 231
11.3.1 金融行业的威胁狩猎 231
11.3.2 企业机构的威胁狩猎 239
第四部分 ATT&CK生态篇
第12章 MITRE Shield主动防御框架 246
12.1 MITRE Shield背景介绍 247
12.2 MITRE Shield矩阵模型 249
12.2.1 主动防御战术 250
12.2.2 主动防御技术 252
12.3 MITRE Shield与ATT&CK的映射 253
12.4 MITRE Shield使用入门 254
12.4.1 Level 1示例 255
12.4.2 Level 2示例 257
12.4.3 Level 3示例 258
第13章 ATT&CK测评 259
13.1 测评方法 260
13.2 测评流程 262
13.3 测评内容 264
13.4 测评结果 266
附录A ATT&CK战术及场景实践 271
附录B ATT&CK攻击与SHIELD防御映射图 292
由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年,其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一诞生,便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来,ATT&CK框架是近年来信息安全领域有用也是急需的一个框架。ATT&CK框架提供了许多企业过去一直在努力实现的关键能力:开发、组织和使用基于威胁信息的防御策略,以便让合作伙伴、行业、安全厂商能够以一种标准化的方式进行沟通交流。
本书按照由浅人深的顺序分为四部分,部分为ATT&CK入门篇,介绍了ATT&CK框架的整体架构,并对当前备受关注的ATT&CK容器矩阵以及在入侵检测中容易被忽视的数据源问题进行了介绍;第二部分为ATT&CK提高篇,介绍了如何结合ATT&CK框架来检测一些常见的攻击组织、恶意软件和高频攻击技术,并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析;第三部分为ATT&CK实践篇,介绍了ATT&CK的一些应用工具与项目,以及如何利用这些工具进行实践(实践场景包括威胁情报、检测分析、模拟攻击、评估改进),改善安全运营,进行威胁狩猎等;第四部分为ATT&CK生态篇,介绍了MITRE的主动防御项目——MITRE Shield(它能够有效地与MITRE ATT&CK映射起来,对ATT&CK框架中的攻击技术给出有效的防御措施)以及ATT&CK的另一个应用场景——ATT&CK测评。
在ATT&CK框架出现之前,评估一个组织的安全态势可能是一件很麻烦的事情。当然,安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法,但始终有一个问题萦绕在他们的心头:“如果我漏掉了某些攻击,会产生什么后果?”但如果安全团队验证了很多攻击方法,就很容易产生一种虚假的安全感并对自己的防御能力过于自信。毕竟,我们很难了解我们并不知道的东西。
幸运的是,ATT&CK框架的目标就是解决这一问题。MITRE公司经过大量的研究和整理工作,建立了ATT&CK框架。ATT&CK框架创建了一个包括所有已知攻击方法的分类列表,将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来,可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT&CK框架的目标是成为一个不断更新的数据集,一旦行业内出现了经过验证的信息、数据集就会持续更新、从而将ATT&CK打造成为一个所有安全人员都认为是全面、值得信赖的安全框架。
现在、信息安全团队可以根据ATT&CK提供的知识体系对自己进行评估、以便确定他们已经覆盖了所有必要领域,不会遗漏任何重要的“未知的未知”。因此,通过不断更新经行业验证的攻击方法和相关信息,ATT&CK框架提供了行业中全面的与已知攻击方法相关的信息,为评估网络防御方面的差距提供了一个非常有用的工具。
评论
还没有评论。