2023 MITRE ATT&CK 企业评估解读

重点总结

2023年MITREATT&CK企业评估结果现已发布，参与的供应商纷纷争取以最佳形象展示自己。然而，这导致一些表现不佳的供应商对结果进行粉饰，使其看起来表现不错。本文将讨论主要的MITREATT&CK评估类别、测量标准，以及在评估供应商性能时需要关注的要点。通过了解这些，您将能够更清楚地理解参与厂商的网站所表述的内容。

MITRE ATT&CK 基本概念

MITRE Engenuity开发了MITREATT&CK框架，这是攻击者实现其目标的一种14种广泛策略的通用流程。现实中的攻击可能涉及这14种策略中的任何一种。每种策略下包含多个技术，描述了对手为实现策略目标所采取的实际活动。

以下是MITRE展示的14种策略，各个策略下为主要技术的说明。请注意，有些技术有子技术，表示执行该技术可能采取的步骤。

MITRE ATT&CK 企业评估

每年，MITRE会通过模拟已知威胁行为者所使用的策略和技术来模拟一次攻击。模拟攻击序列由多个步骤组成，每个步骤通常代表MITREATT&CK框架中的一个策略。今年的攻击序列包含19个步骤，其中一些策略被多次使用。例如，今年的19个步骤中，有6个步骤属于“横向移动”这一策略。

以下是第1天测试中针对Windows和Linux的多层次攻击活动使用的10个步骤，每个步骤代表一种策略：

1. 初始入侵
2. 初始访问
3. 发现与特权提升
4. 持续性
5. 横向移动至域控制器
6. 凭据访问
7. 发现
8. 凭据访问
9. 横向移动至Linux
10. 饵场攻击

步骤与子步骤

MITRE ATT&CK评估分为多个步骤，每个步骤通常模拟MITRE ATT&CK框架中的一个策略。

对于每个步骤，MITRE使用多个子步骤，这些子步骤一般模拟MITRE ATT&CK框架中的一种技术。

在2023年的评估中，MITRE使用了19个步骤，这些步骤又分为143个子步骤。MITRE ATT&CK评估的测试耗时4天。我们将在下文详细介绍这些测试。

• 第一天：评估场景一中检测和分类威胁的能力。
• 第二天：评估场景二中检测和分类威胁的能力。
• 第三天：评估第一、第二天遗漏的项目，并进行配置更改的测试。
• 第四天：评估防护效果。

检测与可见性

让我们澄清这两个在讨论MITRE结果时常引起混淆的术语。若不理解这两个术语，很难正确分析MITRE的结果。

检测

有趣的是，当讨论MITREATT&CK评估结果时，人们通常使用“检测”一词来衡量检测到的步骤数量。如果一个步骤内有一个或多个子步骤被检测到，则该步骤被视为已被检测。例如，如果一个步骤由9个子步骤组成，其中1个子步骤被检测到，而其他8个子步骤未被检测到，则该步骤被认为是成功检测的。只要供应商在一个步骤内检测到一个子步骤，就认为该步骤的检测是成功的。

例如，一家供应商可能在每个19个步骤中的多个子步骤中仅检测到1个，然后声称实现了100%的检测。考虑到今年有143个子步骤，这意味着该供应商漏掉了124个子步骤（漏掉了87%的威胁），但仍然声称100%检测到。因此，检测测量代表了MITREATT&CK评估的最低标准。

可见性

可见性通常指的是在所有步骤中检测到的子步骤总数。该计算相对简单，实际上就是检测到的子步骤数量与总子步骤数量的比值。有时供应商可能会混用“检测”与“可见性”这两个术语，因此需要深入分析