ATT&CK框架公開發(fā)布于2015年，從最初的一個(gè)內(nèi)部人員分享的Excel電子表格工具，到如今已經(jīng)發(fā)展成為威脅活動(dòng)、技術(shù)和模型的全球知識(shí)庫，成為在企業(yè)、政府和安全廠商中廣為流行的安全工具。ATT＆CK框架提供了關(guān)于在野網(wǎng)絡(luò)攻擊活動(dòng)最全面及時(shí)的社區(qū)知識(shí)集合，這有助于企業(yè)劃分安全威脅的優(yōu)先級(jí)，并用于評估安全方法、產(chǎn)品和服務(wù)。

不過研究人員發(fā)現(xiàn)，ATT＆CK框架的應(yīng)用潛力目前還沒有得到充分挖掘，其應(yīng)用推廣中面臨的主要挑戰(zhàn)包括：

缺乏安全工具支持，難以實(shí)現(xiàn)互操作性

框架部署的成熟度不夠，難以實(shí)現(xiàn)自動(dòng)化

為了幫助使用者應(yīng)對上述挑戰(zhàn)，本文收集整理了一些有助于MITRE ATT&CK知識(shí)庫應(yīng)用落地的免費(fèi)工具和資源。

1.Getting Started with ATT&CK

《ATT&CK實(shí)踐指南》白皮書

這本免費(fèi)的電子書將一系列博客文章中的威脅情報(bào)、檢測和分析、對手模擬和紅隊(duì)、評估和工程等內(nèi)容整合到一個(gè)單一的、方便的工具集中。這樣將有助于安全威脅分析師如何更好地使用ATT&CK。本書收集了大量真實(shí)用例的共享內(nèi)容，并將這些內(nèi)容分成不同的級(jí)別：

級(jí)別1適用于剛起步但可能沒有太多資源的分析師；

級(jí)別2適用于開始成熟的中級(jí)安全團(tuán)隊(duì)；

級(jí)別3則適合更先進(jìn)的網(wǎng)絡(luò)安全團(tuán)隊(duì)。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

2.CALDERA

CALDERA是一個(gè)由python語言編寫的紅藍(lán)對抗工具（攻擊模擬工具）。它是MITRE公司發(fā)起的一個(gè)研究項(xiàng)目，該工具的攻擊流程是建立在ATT&CK攻擊行為模型和知識(shí)庫之上的，能夠較真實(shí)地APT攻擊行為模式。

通過CALDERA工具，安全紅隊(duì)可以提前手動(dòng)模擬并設(shè)定好攻擊流程，并以此進(jìn)行自動(dòng)化攻擊和事件響應(yīng)演練。同樣，安全藍(lán)隊(duì)也可以利用該工具，根據(jù)相應(yīng)的威脅開展模擬應(yīng)對。

該工具主要由兩個(gè)組件組成：

核心系統(tǒng)。由相關(guān)存儲(chǔ)庫中可用的內(nèi)容組成，主要包括一個(gè)帶有REST API和web界面的異步命令控制（C2）服務(wù)器。

插件。這些插件可以擴(kuò)展核心系統(tǒng)功能，包括代理、報(bào)告、TTP集合等。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

3.Best Practices for MITRE ATT&CK Mapping

《MITRE ATT&CK映射的最佳實(shí)踐指南》白皮書

由于ATT&CK框架的應(yīng)用潛力并沒有得到充分挖掘，美國網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局（CISA）和國土安全系統(tǒng)工程與發(fā)展研究所（HSSEDI）共同制定了一份《MITRE ATT&CK映射的最佳實(shí)踐指南》，旨在幫助網(wǎng)絡(luò)威脅分析師將攻擊者的TTP（技術(shù)、工具和程序）映射到相關(guān)的ATT&CK技術(shù)，以提高防御者主動(dòng)檢測對手行為和共享行為情報(bào)的能力。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

4.CASCADE

CASCADE也是MITRE公司發(fā)起的一個(gè)研究項(xiàng)目，旨在將“安全藍(lán)隊(duì)”團(tuán)隊(duì)執(zhí)行的大部分調(diào)查工作自動(dòng)化，以確定使用主機(jī)數(shù)據(jù)的網(wǎng)絡(luò)上存在的可疑行為的范圍和惡意程度。

CASCADE原型應(yīng)用具有處理用戶身份驗(yàn)證、運(yùn)行分析和執(zhí)行調(diào)查的能力，可以對存儲(chǔ)在Splunk/ElasticSearch中的數(shù)據(jù)進(jìn)行分析，以生成警報(bào)。警報(bào)會(huì)觸發(fā)一個(gè)遞歸調(diào)查過程，其中幾個(gè)后續(xù)查詢會(huì)收集相關(guān)事件。應(yīng)用會(huì)自動(dòng)生成這些事件的圖形，顯示它們之間的關(guān)系，并用ATT&CK的信息標(biāo)記該圖形。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

5.Metta

Metta是一款對抗性模擬工具，它是由多個(gè)內(nèi)部項(xiàng)目產(chǎn)生的。Metta使用Redis/Celery、python和VirtualBox進(jìn)行攻擊行為模擬，這樣用戶就可以測試基于主機(jī)的安全系統(tǒng)。另外用戶還能測試其他基于網(wǎng)絡(luò)的安全檢測和控制，具體過程取決于使用者的設(shè)置方式。Metta能夠在Microsoft Windows、MacOS和Linux等多個(gè)操作系統(tǒng)終端上運(yùn)行。

傳送門

??https://github.com/uber-common/metta??

6.Sandbox Scryer

Sandbox Scryer是一款功能強(qiáng)大的開源威脅情報(bào)工具，該工具可以根據(jù)公開的沙箱輸出信息生成威脅搜索和情報(bào)數(shù)據(jù)，并允許安全研究人員將海量威脅樣本發(fā)送給沙箱，以構(gòu)建可以跟MITRE ATT&CK Framework一起使用的技術(shù)文檔。Sandbox Scryer提供了大規(guī)模用例解決方案，該工具適用于對利用沙盒輸出威脅情報(bào)感興趣的威脅分析人員。

值得一提的是，當(dāng)前版本的Sandbox Scryer使用了多種惡意軟件分析服務(wù)的數(shù)據(jù)信息，可以幫助分析人員加快和提升威脅搜索的能力。

傳送門

??https://github.com/PayloadSecurity/Sandbox_Scryer??

7.Finding Cyber Threats with ATT&CK-Based Analytics

《使用基于ATT&CK的分析發(fā)現(xiàn)網(wǎng)絡(luò)威脅》白皮書

該白皮書提出了一種使用MITRE ATT&CK框架的新方法——通過基于行為的威脅模型來識(shí)別相關(guān)的防御傳感器（defensive sensor），并使用攻擊仿真來構(gòu)建、測試和改進(jìn)基于行為的分析檢測能力。該方法可以通過防御差距分析、端點(diǎn)安全性評估、針對特定環(huán)境優(yōu)化行為分析，以及使用紅隊(duì)模擬等多種手段，增強(qiáng)企業(yè)的網(wǎng)絡(luò)安全性。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/16-3713-finding-cyber-threats-with-attack-based-analytics.pdf??

8.Atomic Red Team

Atomic Red Team是一個(gè)由Red Canary主導(dǎo)的開源項(xiàng)目，它提供了和ATT&CK一致的紅隊(duì)測試內(nèi)容，可以用來測試現(xiàn)有的威脅分析方法。安全團(tuán)隊(duì)可以使用Atomic Red Team快速、可移植和可重復(fù)地測試他們的系統(tǒng)應(yīng)用環(huán)境。用戶可以直接通過命令行執(zhí)行測試，無需安裝運(yùn)行軟件。

傳送門

??https://github.com/redcanaryco/atomic-red-team??

9.Red Team Automation（RTA）

Red Team Automation是一組有38個(gè)腳本支持的可執(zhí)行文件，可生成與ATT＆CK框架中的技術(shù)相對應(yīng)的安全組件，旨在允許安全藍(lán)隊(duì)測試他們對惡意間諜技術(shù)的檢測能力。截至目前，Red Team Automation提供50多種由ATT＆CK技術(shù)支持的組件，這個(gè)數(shù)量將來還會(huì)進(jìn)一步增加。Red Team Automation支持Microsoft Windows操作系統(tǒng)，并且使用python進(jìn)行編碼，另外它還可以執(zhí)行反取證操作，進(jìn)行惡意傳播、繞過UAC等模擬攻擊。

傳送門

??https://github.com/endgameinc/RTA??

10.Mapping CVEs to MITRE ATT&CK網(wǎng)站

這是一個(gè)由Vulcan Cyber的研究團(tuán)隊(duì)創(chuàng)建的網(wǎng)站，用于展示一個(gè)正在進(jìn)行的攻擊研究項(xiàng)目，可以將記錄的CVE映射到MITRE ATT&CK矩陣中的相關(guān)戰(zhàn)術(shù)和技術(shù)。目前，該網(wǎng)站還處于測試階段，將會(huì)不斷更新，以納入并記錄更多的新CVE。用戶可以根據(jù)特定的技術(shù)需要搜索CVE，也可以通過特定的CVE搜索與之匹配的ATT&CK戰(zhàn)術(shù)和技術(shù)。

傳送門

??https://mitremapper.voyager18.io/??