基于ATT&CK框架的域威胁检测

保障企业域环境中的敏感信息与数据的安全一直是安全研究人员所面临的挑战之一。针对这一难题,提出将ATT&CK框架所提供的攻击行为知识库与域安全防御结合,对ATT&CK中涉及的域安全相关战术和技术进行全覆盖,在模拟环境中分析实时产生的日志数据,监控并捕获敏感日志事件和连续异常的日志事件。最后,组织安全领域技术人员进行红蓝实战对抗。对抗结果表明,基于ATT&CK框架能够有效检测域攻击姿势。

基于ATT&CK框架的安全研究

ATT&CK框架提供了关于野外网络攻击活动最全面及时的社区知识集合,这有助于企业划分安全威胁的优先级,并用于评估安全方法、产品和服务。ATT&CK框架还经常被诸如网络安全和基础设施安全局(CISA)之类的政府机构用于有关威胁活动的警报和咨询中。利用这套通用的攻击者行为分类法,可以帮助安全团队更好地测试、开发,并优化他们的检测与响应机制。

基于ATT&CK框架的实战分析

本文介绍了ATT&CK框架的攻击战术和攻击技术,具体讲解"水坑攻击"和"Valid Account攻击"并且分析战术的危害。实战模拟"红蓝对抗"中红队的ATT&CK战术,并总结红队渗透攻击链。

基于威胁情报语义规则抽取的智能变电站告警分析方法

威胁情报作为一种弥补攻防信息不对称的安全技术,能够帮助安防人员发现威胁行为,并采取相应的预防措施。近年来,威胁情报研究受到业界广泛关注,然而现有的研究对威胁情报的利用率较低,为此,提出了一种基于威胁情报语义规则抽取的智能变电站告警分析方法。首先,通过构建语义规则模型生成语义规则图,对攻击技术手段进行描述;其次,面向ATT&CK攻击技术文本构建语义规则抽取框架,对攻击技术文本进行知识抽取,从中得到语义规则。该方法在解决智能变电站告警信息冗余繁杂问题的同时,提升了威胁情报的利用率,实现了对高层级威胁情报的自动化分析与处理。

网络安全攻防实战技术与效果分析

从医疗机构面临的网络安全风险、风险存在的原因和网络安全建设必要性出发,以提高网络医疗机构网络安全性为目的,依据国家网络安全法律法规和等级保护政策,以Kill Chain模型和MITRE ATT&CK框架为基础网络攻击知识库,提出了构建以开源软件为基础的网络防御体系,将防御的策略、技术和工具运用于反杀伤链及防御ATT&CK框架攻击的各阶段,通过大量网络攻防演练和长期的实际运行效果的检验,可以实现较好的防御效果,对医疗机构等单位提高网络安全性具有现实参考意义.

基于欺骗防御的新型蜜罐实际应用方案

在ATT&CK框架中针对企业的攻击过程被总结为12项技术:侦察、漏洞利用、持久化攻击、提权、防御绕过、凭据访问、资产发现、横向移动、环境了解、控制、数据泄露、影响。这些攻击不会被一次性使用,但攻击的框架结构体现于此,技术利用的先后顺序在一定程度上能被预测——例如信息收集后才能发现漏洞实施利用,漏洞利用后才能提权等。基于此框架,遵循ATT&CK框架先后顺序的渗透测试模拟了一次完整的攻击,其组成分别为初始访问、信息收集、操作、持续控制、横向移动、命令与控制、扩大影响。

ATT&CK在安全运营中的应用研究

随着互联网技术迅速发展,基础网络信息安全受到了前所未有的挑战。本文介绍了ATT&CK的基本理论和模型框架特征,在其基础之上介绍了适用于威胁情报、检测与分析、模拟红蓝对抗及工程评估等多种应用场景。