MITRE ATT&CK v10 發(fā)布
| Version | Start Date | End Date | Data |
|---|---|---|---|
| ATT&CK v10 | October 21, 2021 | This is the current version of ATT&CK | v10.0 on MITRE/CTI |
2021 年 10 月克饶,MITRE ATT&CK 發(fā)布了最新版本 V10肺素,包括對 ATT&CK for Enterprise,ATT&CK for Mobile樟澜、ATT&CK for ICS 相關(guān)的攻擊技術(shù)、組織叮盘、軟件的更新秩贰。這個版本最大的改變有以下幾點:
在 ATT&CK for Enterprise 中新增了一套數(shù)據(jù)源與數(shù)據(jù)組件對象,以對 v9 版本發(fā)布的數(shù)據(jù)源更新進行補充柔吼。
ATT&CK for Enterprise v10 包括 14 個戰(zhàn)術(shù)觅玻,188 個技術(shù), 和 379 個子技術(shù)培漏,129 個組織溪厘、638 個軟件。
這個版本北苟,一共包括 38 類數(shù)據(jù)源桩匪。
關(guān)于這次版本更新最最詳細的描述在這里。
數(shù)據(jù)源重構(gòu)
我們知道友鼻,在 v9 的更新里傻昙,最重大的改變就是數(shù)據(jù)源重構(gòu),可以參考這里:MITRE ATT&CK v9 發(fā)布彩扔。在 v10 版本里妆档,對數(shù)據(jù)源做了更進一步的改進,在 v9 的基礎(chǔ)上虫碉,重新組織了數(shù)據(jù)源對象(有點跟緩解措施類似)贾惦。
數(shù)據(jù)源對象包含了更多的細節(jié),包括:
- ID
- 定義
- 采集層(哪里能采集到數(shù)據(jù))
- 平臺(跟哪幾個平臺相關(guān))
如下圖所示(網(wǎng)絡(luò)流量:創(chuàng)建網(wǎng)絡(luò)連接):
在技術(shù)/子技術(shù)的頁面的檢測部分,對數(shù)據(jù)源進行了更詳細的描述须板,列出了數(shù)據(jù)源 ID碰镜,數(shù)據(jù)源,數(shù)據(jù)組件對象习瑰,如下圖:
下面是同一個子技術(shù)(T1055.001) v9 版本的檢測部分的描述:
ATT&CK for Enterprise 可以使用所有這些數(shù)據(jù)源绪颖,包括 OSINT 相關(guān)的可以 Map 到 PRE 平臺的數(shù)據(jù)源。
ATT&CK 的 STIX也可以使用這些數(shù)據(jù)源甜奄,以及數(shù)據(jù)組件對象柠横,可以展示數(shù)據(jù)源,數(shù)據(jù)組件對象课兄,以及檢測技術(shù)之間的關(guān)系牍氛,如下圖:
這個版本最大的改變依然是數(shù)據(jù)源重構(gòu),主要目的是將數(shù)據(jù)源與攻擊行為的檢測關(guān)聯(lián)起來烟阐,為攻擊行為檢測服務(wù)搬俊。
macOs 和 Linux 相關(guān)的改進
雖然針對 Linux 與 macOS 的攻擊一直在進行,但公開報告中并不多見曲饱,但通過與全球的 macOS / Linux 安全研究者合作悠抹,對 macOS 和 Linux 的改進一直在進行,覆蓋度也一直在增加扩淀。
這個版本更新了 macOS 相關(guān)的數(shù)據(jù)源楔敌。
ICS 相關(guān)的改進
ATT&CK for ICS 跟 ATT&CK for Enterprise 沒有本質(zhì)的區(qū)別。一些以前只在 ICS 矩陣中的軟件(比如:Industroyer 和 Stuxnet 等)驻谆,這次在企業(yè)矩陣中進行了映射卵凑。攻擊者才不會拘擬于 ICS 或 Enterprise。
跟 ICS 相關(guān)的數(shù)據(jù)源描述胜臊,目前還停留在 v9 版本勺卢,后續(xù)版本會對齊企業(yè)矩陣。
Mobile
目標是對齊 ATT&CK for Enterprise象对,后續(xù)版本才會改進黑忱。
