https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/attck%E2%84%A2-content-available-in-stix%E2%84%A2-20-via https://github.com/MISP/misp-galaxy/tree/master/clusters https://www.freebuf.com/column/197837.html https://www.anquanke.com/post/id/185492 https://github.com/mitre/cti 了解对手的行为在网络安全中越来越重要。有两种方法用于组织关于对手行为的知识——CAPEC和ATT&CK,每一种方法都关注于一组特定的用例。 本页解释了CAPEC和ATT&CK之间的相同点、不同点和关系,以及它们在网络安全中的作用。 一、常见攻击模式枚举和分类(CAPEC) CAPEC关注于应用程序安全性,并描述了敌手利用网络能力中的已知弱点所使用的通用属性和技术。(例如,SQL注入、XSS、会话固定、点击劫持) (1)关注应用程序安全性 (2)列举针对脆弱系统的攻击 (3)包括社会工程/供应链 (4)与通用弱点枚举(CWE)相关联 二、对抗性战术、技巧与常识(ATT&CK) 对抗性战术、技巧与常识(ATT&CK)专注于网络防御,描述了敌方生命周期、攻击前和攻击后的作战阶段(例如,持久性、横向移动、撤退),并详细描述了高级持续性威胁(APT)在瞄准、破坏和在网络内作战时用来执行目标的具体战术、技术和程序(ttp)。 (1)专注于网络防御 (2)基于威胁情报和红队的研究 (3)提供对恶意行为的上下文理解 (4)支持测试和分析防御选项 三、它们是如何联系在一起的…… CAPEC列举的许多攻击模式都是通过ATT&CK描述的特定技术由对手使用的。这使得能够在对手的操作生命周期内对攻击模式进行上下文理解。CAPEC攻击模式和相关的ATT&CK技术在适当的时候在两个工作之间相互引用。 四、何时使用… 使用CAPEC: 应用程序的威胁建模 开发人员的培训和教育 渗透测试 使用ATT&CK: 比较计算机网络防御能力 防御持续的高级威胁 寻找新的威胁 增强威胁情报 对手模拟练习 mitre定义的APT组织 https://attack.mitre.org/groups/
