上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
1.1.4 ATT&CK框架与痛苦金字塔模型的关系
痛苦金字塔模型由IoC(Indicators of Compromise,失陷指标)组成,通过IoC进行组织分类并描述各类IoC在攻防对抗中的价值。TTPs是Tactics,Techniques and Procedures(战术、技术及步骤)的缩写,描述了攻击者从踩点侦察到获取数据这一过程中,每一步是如何完成任务的。
如图1-8所示,TTPs处于痛苦金字塔塔尖。对于攻击者,TTPs反映了攻击者的行为,表明攻击者调整TTPs所付出的时间和金钱成本是最为昂贵的。对于防守方,基于TTPs的检测和响应可以给攻击者造成更大的痛苦,因此TTPs也是痛苦金字塔中对防守方最有价值的一类IoC。但另一方面,这类IoC更加难以识别和应用。由于大多数安全工具并不太适合捕获TTPs,这也意味着,收集TTPs并将其应用到网络防御中的难度系数是最高的。而ATT&CK则是有效分析攻击行为(即TTPs)的威胁模型。
图1-8 Bianco提出的痛苦金字塔