ATT&CK的发展历史
MITRE公司
MITRE是美国NIST标准化组织选择的专注于网络安全的组织,由美国联邦政府资助。很多安全标准都MITRE制定的,比如有名的漏洞CVE编号规则以及威胁情报格式STIX。所以ATT&CK非常有影响力,而且未来能成为一个公认的标准。(https://zhuanlan.zhihu.com/p/162799295)
在维基百科上,MITRE被定义为一家“非营利组织”,但事实上2019年MITRE的收入为18亿美元(下图),听上去没有什么大不了,但MITRE对美国本土和全球网络空间安全的影响力,远超任何一家科技公司。Mitre Corp集团,实际上是美国政府背后比DARPA还要可怕和神秘的“黑科技”组织。,Mitre前工程师Matt Edman曾与联邦调查局(FBI)合作,利用其黑客技巧帮助FBI摧毁了臭名昭著的“丝绸之路”暗网毒品市场
以下站点将会经常用到,上面有大量的基础知识可供我们学习:
- https://cve.mitre.org/
- https://stixproject.github.io/
- https://cwe.mitre.org/
- https://capec.mitre.org/
- http://attack.mitre.org/
ATT&CK发展历史
根据 ATT&CK 官网FAQ(https://attack.mitre.org/resources/faq/),最早在2013年,MITRE开始制定ATT&CK框架,但此时还只是MITRE内部完善和使用
2015年,ATT&CK模型首次对外公开分享,包含9种战术,96种攻击技术
2018年全年发布了3个对外版本。1月,ATT&CK正式发布了v1版本; 同年4月份,又发布了v2版本; 同年10月份,又发布了v3版本(https://attack.mitre.org/resources/versions/)
在2018年度,ATT&CK在业界获得了爆发式关注,众多安全厂商基于ATT&CK正式版本,在产品中增加了对该模型的支持
2019年3月的RSA大会中,有超过10个议题讨论将ATT&CK用于攻击行为建模、改进网络防御、威胁狩猎、红蓝对抗复盘、攻击检测方面的研究和分析
截止当前,最新发布的是2022年10月v12版本,共包含14个战术,193个技术,401个子技术,135个APT组织和718个攻击软件
ATT&CK属于开源框架,任何人都可以进行贡献,所以其版本发展非常快。这也是ATT&CK为什么能获取这么多的技术、战术和攻击组织的根本性原因
例如APT28组织所使用的技术在ATT&CK模型中的映射关系
借助开源后整个安全界的力量,从2018年开始,基本上以每年3个版本的方式进行更新
