ATT&CK与CAPEC的比较

了解对手的行为在网络安全中越来越重要。有两种方法用于组织关于对手行为的知识——CAPEC和ATT&CK,每一种方法都关注于一组特定的用例。

本页解释了CAPEC和ATT&CK之间的相同点、不同点和关系,以及它们在网络安全中的作用。

一、常见攻击模式枚举和分类(CAPEC)

CAPEC关注于应用程序安全性,并描述了敌手利用网络能力中的已知弱点所使用的通用属性和技术。(例如,SQL注入、XSS、会话固定、点击劫持)

(1)关注应用程序安全性

(2)列举针对脆弱系统的攻击

(3)包括社会工程/供应链

(4)与通用弱点枚举(CWE)相关联

二、对抗性战术、技巧与常识(ATT&CK)

对抗性战术、技巧与常识(ATT&CK)专注于网络防御,描述了敌方生命周期、攻击前和攻击后的作战阶段(例如,持久性、横向移动、撤退),并详细描述了高级持续性威胁(APT)在瞄准、破坏和在网络内作战时用来执行目标的具体战术、技术和程序(ttp)。

(1)专注于网络防御

(2)基于威胁情报和红队的研究

(3)提供对恶意行为的上下文理解

(4)支持测试和分析防御选项

三、它们是如何联系在一起的……

CAPEC列举的许多攻击模式都是通过ATT&CK描述的特定技术由对手使用的。这使得能够在对手的操作生命周期内对攻击模式进行上下文理解。CAPEC攻击模式和相关的ATT&CK技术在适当的时候在两个工作之间相互引用。

四、何时使用…

使用CAPEC:

应用程序的威胁建模

开发人员的培训和教育

渗透测试

使用ATT&CK:

比较计算机网络防御能力

防御持续的高级威胁

寻找新的威胁

增强威胁情报

对手模拟练习

mitre定义的APT组织

https://attack.mitre.org/groups/

ATT&CK Comparison,https://capec.mitre.org/about/attack_comparison.html

https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/attck™-content-available-in-stix™-20-via

https://github.com/MISP/misp-galaxy/tree/master/clusters

https://www.freebuf.com/column/197837.html

https://www.anquanke.com/post/id/185492

https://github.com/mitre/cti