MITRE ATT&CK v12 于近日正式发布了。MITRE ATT&CK是基于对网络安全真实攻击案例的分析所构建的网络安全攻防技术框架,包含攻击者所使用的具体执行战术、技术和工具分析,极大的帮助企业进行安全检测与威胁建模,许多企业组织使用 MITRE ATT&CK 知识库来开发特定的威胁模型和方法,用于验证其网络环境中的安全状态。

自2015年正式发布以来,MITRE ATT&CK 也在持续不断的更新,目前最新的版本是2022年10月25日发布的 MITRE ATT&CK v12。

其中针对企业组织的攻击战术和技术中包含:

  • 完整攻击链(Kill chain)的14个阶段战术的 594 种攻击技术,其中包含 193个攻击技术类别与 401个子类别;
  • 针对操作系统平台(Windows、macOS、Linux)、云计算(Azure AD、Office 365、IaaS/SaaS)、网络、容器等攻击目标;
  • 其中针对操作系统平台相关 454 种,针对云计算(Azure AD、IaaS、PaaS、SaaS、网络、容器等等)相关 159种(部分攻击技术存在共享)。

微软的网络安全检测与响应体系也是充分的与MITRE ATT&CK做集成,全面集成并覆盖 MITRE ATT&CK 攻击链。以微软的云端SIEM/SOC产品Microsoft Sentinel为例,除了引入MITRE ATT&CK框架便于检测威胁和调查之外,还可以查看当前处于活动状态的网络安全威胁检测以及可供你配置的检测,以可视化企业组织的安全状态和覆盖范围。

关于MITRE ATT&CK v12的更新信息,请访问:

https://attack.mitre.org/resources/updates/

关于Microsoft Sentinel与MITRE ATT&CK的集成,请访问:

Understand security coverage by the MITRE ATT&CK® framework

https://learn.microsoft.com/en-us/azure/sentinel/mitre-coverage