本发明专利技术提供一种基于MITRE ATT&CK创建安全闭环过程的方法,包括以下步骤:1)、获得数据,得到MITREATT&CK框架:2)、得到对手攻击计划;3)、根据对手攻击计划模拟攻击,得到模拟攻击确定的结果;4)、根据模拟攻击确定的结果,构建改进计划。MITRE ATT&CK为研究和分析攻击提供结构的一个框架。该矩阵对手生命周期各个阶段的威胁建模方法和模型套件,包括Windows、MacOS和Linux等几个主要操作系统的变化。它可以为描述攻击提供上下文,并帮助识别。在可用的数据源、MITREATT&CK矩阵和分析师的工作流之间创建一个真实的模拟环境的具有上下的文的攻击链条,以了解防御能力差距。
Method of creating safety closed-loop process based on mitre att & CK
【技术实现步骤摘要】
基于MITREATT&CK创建安全闭环过程的方法
本专利技术涉及一种创建安全闭环的方法,具体涉及一种基于MITREATT&CK创建安全闭环过程的方法。
技术介绍
对行业的对手,防御态势和安全操作实施有效的迭代防御,通过填补防御方面的空白,使环境可视化并减轻安全团队的工作量。获得有价值的示例输入,对手仿真计划,攻击模拟,搜索和报告表以及警报维护优先级,这些都是构建防御系统的坚实基础。了解对手可能使用的技术,战术和程序,仿真计划指南和对手组之间的联系,以实现集成的,生产性的安全策略。当看不到攻击者的行为和没有攻击告警的时候,这些都可以通过模拟攻击框架制定防御和告警的环境,这样在防御中的任何漏洞都可以被快速分析和填补。这使在环境中增加了可见性,并且可以通过在攻击者到达攻击者之前填补防御漏洞来帮助减少安全团队的负载。现有的威胁情报的模型,通过开源的IOC(威胁指标)和YARA规则在检测恶意网络连接和恶意文件,但是缺乏一种通用的能够从日志事件中特定事件的检测方法。人们收集日志数据进行分析都需要构建自己对日志数据的搜索方法和规则。没有一个标准化格式,因此人们也无法与他人分享自己的工作。分析效率低,人为判断准确性也存在一定的误差。因此,需要对现有技术进行改进。
技术实现思路
本专利技术要解决的技术问题是提供一种高效的基于MITREATT&CK创建安全闭环过程的方法。为解决上述技术问题,本专利技术提供一种基于MITREATT&CK创建安全闭环过程的方法,包括以下步骤:1)、获得数据,得到MITREATT&CK框架:2)、得到对手攻击计划;3)、根据对手攻击计划模拟攻击,得到模拟攻击确定的结果;4)、根据模拟攻击确定的结果,构建改进计划。作为对本专利技术基于MITREATT&CK创建安全闭环过程的方法的改进:在步骤1中,通过大数据挖掘获取数据。作为对本专利技术基于MITREATT&CK创建安全闭环过程的方法的进一步改进:在步骤2中,在MITREATT&CK框架中确定对手所有组及攻击战术。作为对本专利技术基于MITREATT&CK创建安全闭环过程的方法的进一步改进:在步骤3中,根据对手所有组及攻击战术模拟攻击。作为对本专利技术基于MITREATT&CK创建安全闭环过程的方法的进一步改进:在步骤3中,根据对手所有组在内部或外部攻击模拟,遵循模拟攻击计划,或者用自动对手仿真工具构建攻击模拟。作为对本专利技术基于MITREATT&CK创建安全闭环过程的方法的进一步改进:自动对手仿真工具为CALDERA。作为对本专利技术基于MITREATT&CK创建安全闭环过程的方法的进一步改进:在步骤4中,获取模拟攻击确定的结果的TTP,如果得到正确的TTP,人为构建改进计划;如果得不到正确的TTP,对恶意活动的检测,通过收集到日志,攻击者的攻击技术知识。本专利技术基于MITREATT&CK创建安全闭环过程的方法的技术优势为:MITREATT&CK为研究和分析攻击提供结构的一个框架。该矩阵对手生命周期各个阶段的威胁建模方法和模型套件,包括Windows、MacOS和Linux等几个主要操作系统的变化。它可以为描述攻击提供上下文,并帮助识别。在可用的数据源、MITREATT&CK矩阵和分析师的工作流之间创建一个真实的模拟环境的具有上下的文的攻击链条,以了解防御能力差距。在MITREATT&CK之前有多个安全框架,但它们都缺少一个关键组成部分:对模拟攻击的战术的完整解释。这使得MITREATT&CK成为团队的一个对未知攻击的战略性补充的工具,使用AEPS,MITREATT&CK允许创建与TTPs融合的真实世界攻击模拟。可以在红队模拟中对基础设施执行,以确定识别哪些攻击、哪些警报被发送,以及实现了什么目标。这为系统提供了有价值的可见性,以便为安全操作构建一个闭环改进周期。附图说明下面结合附图对本专利技术的具体实施方式作进一步详细说明。图1为本专利技术基于MITREATT&CK创建安全闭环过程的方法的结构示意图。具体实施方式下面结合具体实施例对本专利技术进行进一步描述,但本专利技术的保护范围并不仅限于此。实施例1、基于MITREATT&CK创建安全闭环过程的方法,如图1所示,包括以下步骤:1)、第一阶段:当创建一个有效的搜索、告警和响应的改进周期时,首先是输入,传统的要可以用数据通知周期,以便更有效地决定警报和防御。输入的内容包括大数据挖掘获取数据、根据指标IOC、威胁情报、大数据挖掘等。从威胁情报中的攻击特征获取通过针对某个特定行业或者某个特定的组织的画像,ATT&CK是一种战术。威胁情报:外部威胁情报是有用的两个关键原因:新的攻击TTP和攻击验证和识别。威胁情报可以用来创建一次性的攻击模拟,根据最近的攻击,如由APT39执行的战役,甚至更确定的攻击。像NotPetya或WannaCry这样的攻击。或者,它可以用来验证MITREATT&CK组列表中的信息,或者在特定的恶意组执行先前已知的或新的活动时精确定位。IOC:根据指标IOC从大数据挖掘获取的数据中得到恶意组织。指标(IOC)可识别各种群体的入侵时,具有一定的参考价值,可以将诸如域名和文件散列之类的失陷指标iocs添加到AEPs中,对手组关联的攻击标志比如命令控制的域名和文件的哈希值特征,以及联系上下文攻击战术,用来识别恶意组织,并从静态签名的角度增强安全性。例如,可与特定对手组工具关联的唯一散列添加标志,以便将上下文添加到静态警报中。数据挖掘:在识别新的攻击模式时,数据挖掘是猎人和防御者非常有用的工具。由于基础设施的限制,使用Splunk、Elasticsearch、Hadoop等工具可以使这种类型的深度数据挖掘非常有成效,并能在狩猎和威胁识别工作中产生很大的作用。2)、第二阶段:模拟对手攻击计划;在MITREATT&CK框架中确定的对手所有组,如表1,通过针对某个特定行业和组织制定的计划进行不断地攻击演练测试,不断扩大技术覆盖范围,不断缩小与攻击者的差距。特定行业有很多种,表1是举例这几个行业。制定计划是根据APT组织习惯用的攻击战术和手段在ATT&CK的知识库中获得,每一个组织在ATT&CK中都有自己特定的攻击战术。表1:MITREATT&CK框架计划说明:01.文件:TTP已经为对手组正确地记录了.02.代码:TTP已经被编码成一个实际的开发,供红队使用。03.已编码:TTP成功执行.04.成功/不成功:TTP执行完成或没有完成其目标。05.删除/本文档来自技高网...
【技术保护点】
1.基于MITREATT&CK创建安全闭环过程的方法,其特征在于:包括以下步骤:/n1)、获得数据,得到MITREATT&CK框架:/n2)、得到对手攻击计划;/n3)、根据对手攻击计划模拟攻击,得到模拟攻击确定的结果;/n4)、根据模拟攻击确定的结果,构建改进计划。/n
【技术特征摘要】
1.基于MITREATT&CK创建安全闭环过程的方法,其特征在于:包括以下步骤:
1)、获得数据,得到MITREATT&CK框架:
2)、得到对手攻击计划;
3)、根据对手攻击计划模拟攻击,得到模拟攻击确定的结果;
4)、根据模拟攻击确定的结果,构建改进计划。
2.根据权利要求1所述的基于MITREATT&CK创建安全闭环过程的方法,其特征在于:
在步骤1中,通过大数据挖掘获取数据。
3.根据权利要求2所述的基于MITREATT&CK创建安全闭环过程的方法,其特征在于:
在步骤2中,在MITREATT&CK框架中确定对手所有组及攻击战术。
4.根据权利要求3所述的基于MITREATT&CK创建安全闭...
【专利技术属性】
技术研发人员:周楠,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。