ATT&CK 2024（ATT&CKCon 5.0）议题慢递

MITRE 每年都会开一个名为 The MITRE ATT&CK® Conference (ATT&CKcon) 的研讨会，2024 年在弗吉尼亚州 McLean 召开。

必须强调的是，在提供了公开材料的议题中，只选取了部分议题进行介绍。很多议题也只能选择其中较为亮点的、重要的部分进行一笔带过式的介绍，甚至有些议题没有在本文中被提及，请各位读者见谅。感兴趣的读者可以跳转官网查看完整议程安排。

若是通过本文的介绍，或者是查看官网议程安排后，对其中某些议题感兴趣的话，就可以在官网下载议题对应的材料进行扩展阅读。(PS：笔者根据自身的认知局限与好恶为部分议题打了推荐查看的星级，不代表对议题实际内容高下的评判，只是为部分时间宝贵的读者再节约些时间，这部分议题相对来说可能更加值得一看)

ATT&CK 与端点检测规则 ⭐⭐⭐

不要把 ATT&CK 当作清单使用！对技术项的覆盖度并没有提供给用户能够检测多少 Procedural 级威胁的感知。

分析实际 EDR 是如何与 ATT&CK 结合的。

不同产品在战术和技术上其实大体类似，但每一家都没有做到完全覆盖，且取并集也无法完全覆盖。

大量规则其实局限在一小部分技术上，不同产品在技术项的选择上也基本上一致。

不同产品在不同指标上存在很大差异：

过滤掉中低风险的规则，Splunk 和 Elastic 的规则数量都减半了。

几款产品都没有覆盖的 53 项技术，有些确实非常难以检测。

其中，39.6% 的技术项都很难检测、24.5% 的技术项不适合在端点侧检测。还有一小部分（17.0%）技术项，想要检测需要了解客户特定的信息。

不同产品检测相同的威胁，也很少是通过相同的技术项实现的检测。

与 Meterpreter 相关的命名管道检测：

与 FIN7/SUNBURST 相关的潜在恶意 DNS 活动：

使用“攀登金字塔”框架评估威胁检测弹性 ⭐⭐⭐

回顾一下“痛苦金字塔”：

不是所有的检测方式都是等同的，要根据攻击者规避检测的难易程度来评估威胁检测规则。越下面的规避越容易，核心技术规避代价很大。

据此，埃森哲可以对厂商的检测响应能力进行比较。以 Hermetic Wiper 为例：

一个更具体的例子，针对 T1003.001 的检测分级：

在某个客户实践“攀登金字塔“框架，其检测规则绝大多数都是 StP 小的（容易被规避的）检测规则。

优秀的运营团队如何转型并赢得胜利 ⭐⭐

SecOps 如何推动起来运营：

改变与攻击者的博弈局面 ⭐⭐

威胁知情防御（Threat-Informed Defense）旨在系统性地对攻击者技战术进行深刻理解，以改善防御情况。M3TID 分为三个部分：威胁情报、防御措施、测试与评估。

每个维度有五个关键组件：

威胁情报：① 威胁数据的深度 ② 威胁数据的广度 ③ 威胁数据的相关性 ④ 威胁数据的利用 ⑤ 威胁报告的分发。

防御措施：① 基础安全 ② 数据收集 ③ 检测工程 ④ 应急响应 ⑤ 欺骗行动。

测试与评估：① 测试类型 ② 测试频率 ③ 测试计划 ④ 测试执行 ⑤ 测试结果。

每个组件还有五级成熟度：

威胁知情防御中心开展协作研发，包括 Bank of America, CrowdStrike, Microsoft, Google Cloud, Siemens, Verizon, J.P. Morgan 等。

网络安全与保险 ⭐⭐

网络安全是一项商业决策，在评估网络安全支出时公司需要了解 ① 实施需要花费多少成本？② 不实施的话要付出多少代价？

区分网络事件与商业事件，网络事件影响网络基础设施，商业事件会直接产生商业问题。

保险行业推出 MMC 索赔数据模型，红框部分即为 ATT&CK 用处。

ATT&CK 可不可以与商业价值挂钩，这样也许可以更直观地进行衡量。

每朵云都有“紫色”的希望 ⭐

使用 ATT&CK 来分析攻击者技战术，使用 D3FEND（建模、加固、检测、隔离、欺骗、驱逐、恢复）来分析防御对策。

紫队演练流程：① ATT&CK 计划 ② 模拟需求 ③ 取证需求 ④ 攻击者模拟 ⑤ 应急响应 ⑥ 整体分析。

利用 Vector 对红蓝队攻防与 ATT&CK 覆盖度进行跟踪：

三位一体协作实现联邦云威胁检测：

下一代威胁防御中心（Threat-Informed Defense） ⭐

假象一家医疗机构被勒索软件入侵，传统方式威胁情报团队、红队蓝队配合的模式如下所示：

引入 AI Agent 的模式如下所示：

适用于 SaaS 的 ATT&CK ⭐

几张示例图：

MITRE ATT&CK 现状 ⭐

三十多个 MITRE 员工和不断壮大的社区在发展 ATT&CK：

新增 44 项技术项/子技术项、20 个攻击组织；更新 267 项技术项/子技术项、96 个攻击组织。

所在行业通常来说并不影响威胁 ⭐

行业检出量如下所示：

行业每个客户检出量：

TOP10 技术变迁：

通过 ATT&CK 深入研究 Akira 的 Linux 变种 ⭐

Linux 平台现在勒索软件众多：

ATT&CK 的基本原则 ⭐

本体与数据源：

Procedures 逻辑：

编写成代码：

利用 Atomic Red Team、Sigma 和 MITRE ATT&CK 增强检测覆盖率 ⭐

利用 Zircolite 基于 SIGMA 对大型数据集进行快速检测。其大体工作流：

注：完整日程可以点击阅读原文跳转查看。