Ứng Dụng ATT&CK để Phân Tích Các Mối Đe Dọa An Ninh Mạng
Các bạn có thể xem tại nguồn ở mitre.org
Tham khảo thêm tài liệu Bắt Đầu Với Mitre Attack Trong Thu Thập Thông Tin Tình Báo Mối Đe Dọa Đối Với An Toàn Thông Tin tại đây
Tài liệu Getting Start Mitre ATT&CK
Mục tiêu của các bài hướng dẫn đào tạo này là để học viên hiểu được những điều sau:
- ATT&CK là gì và tại sao nó hữu ích cho tình báo về mối đe dọa trên mạng (CTI)
- Cách ánh xạ tới ATT&CK từ cả báo cáo đã hoàn thành và dữ liệu thô
- Tại sao việc lưu trữ dữ liệu ánh xạ ATT&CK lại khó khăn và bạn nên cân nhắc điều gì khi thực hiện việc đó
- Cách thực hiện phân tích CTI bằng dữ liệu được ánh xạ ATT&CK
- Cách đưa ra khuyến nghị phòng thủ dựa trên phân tích CTI
Khóa đào tạo bao gồm năm mô-đun bao gồm các video và bài tập được liên kết bên dưới. Khóa đào tạo này được thiết kế để hoàn thành trong khoảng 4 giờ và có thể được hoàn thành một mình hoặc theo nhóm. Chúng tôi khuyên bạn nên xem video cho từng mô-đun và khi được nhắc, hãy tạm dừng video để truy cập tài liệu bài tập được liên kết bên dưới và hoàn thành bài tập, sau đó tiếp tục xem video để xem lại bài tập. Bản sao của tất cả các slide từ khóa đào tạo đều có ở đây .
Các bài tập trong khóa đào tạo này dựa trên phiên bản trước của ATT&CK. Chúng tôi khuyên bạn nên sử dụng ATT&CK v6 và ATT&CK Navigator v2 nếu bạn muốn khớp với khóa đào tạo.
Các Mô-đun đào tạo
Mô-đun 1: Giới thiệu đào tạo và tìm hiểu ATTT&CK
Mô-đun 2 với Bài tập 2: Ánh xạ tới ATTT&CK từ báo cáo kết thúc
Bài tập 2: Ánh xạ từ báo cáo đã hoàn thành
Cảnh báo: Bài tập này dựa trên phiên bản trước của ATT&CK. Chúng tôi khuyên bạn nên sử dụng ATT&CK v6 nếu bạn muốn phù hợp với khóa đào tạo.
Cybereason Cobalt Kitty Báo cáo : chúng tôi hướng dẫn thực hiện bài tập này trong video và slide.
- Báo cáo của Cybereason Cobalt Kitty: Chỉ những điểm nổi bật
Xác định các hành vi được đánh dấu mà bạn nên lập bản đồ cho các chiến thuật và kỹ thuật – hãy chọn điều này cho một bài tập khó hơn. - Cybereason Cobalt Kitty Report: Tactic Hints
Xác định các chiến thuật cho các hành vi được đánh dấu để bạn chỉ cần điền vào kỹ thuật – hãy chọn điều này cho một bài tập ít thử thách hơn. - Cybereason Cobalt Kitty Report: Answers
Cung cấp một bộ câu trả lời cho bài tập. - Báo cáo Cybereason Cobalt Kitty: Báo cáo gốc
Chỉ để tham khảo nếu bạn muốn xem toàn bộ báo cáo.
Báo cáo FireEye APT39 : chúng tôi không hướng dẫn thực hiện bài tập này trong video và slide, nhưng nếu bạn muốn thực hành thêm về lập bản đồ đã hoàn thành báo cáo cho ATT&CK, chúng tôi khuyên bạn nên tự mình thực hiện bài tập này.
- Báo cáo APT39 của FireEye: Chỉ những điểm nổi bật
Xác định các hành vi được đánh dấu mà bạn nên ánh xạ tới các chiến thuật và kỹ thuật. - FireEye APT39 Report: Answers
Cung cấp một bộ câu trả lời cho bài tập. - Báo cáo APT39 của FireEye: Báo cáo gốc
Chỉ để tham khảo nếu bạn muốn xem toàn bộ báo cáo.
Mô-đun 3 với Bài tập 3: Ánh xạ tới ATTT&CK từ dữ liệu thô
Bài tập 3: Làm việc với dữ liệu thô
Cảnh báo: Bài tập này dựa trên phiên bản trước của ATT&CK. Chúng tôi khuyên bạn nên sử dụng ATT&CK v6 nếu bạn muốn phù hợp với khóa đào tạo.
Vé 473822 : chúng tôi xem qua bài tập này trong video và slide
- Ticket 473822 Rich Text File
Cung cấp dữ liệu thô từ một sự cố mô phỏng để bạn sử dụng để chú thích các chiến thuật và kỹ thuật ATT&CK hiện hành. - Ticket 473822 Answers
Cung cấp một bộ câu trả lời cho bài tập.
Vé 473845 : chúng tôi xem qua bài tập này trong video và slide
- Ticket 473845 Rich Text File
Cung cấp dữ liệu thô từ một sự cố mô phỏng để bạn sử dụng để chú thích các chiến thuật và kỹ thuật ATT&CK hiện hành. - Ticket 473845 Answers
Cung cấp một bộ câu trả lời cho bài tập.
Mô-đun 4 với Bài tập 4: Lưu trữ và phân tích thông tin trên bản đồ ATTT&CK
Bài tập 4: So sánh các lớp trong ATT&CK Navigator
Cảnh báo: Bài tập này dựa trên phiên bản trước của ATT&CK. Chúng tôi khuyên bạn nên sử dụng ATT&CK Navigator v2 nếu bạn muốn phù hợp với khóa đào tạo.
- So sánh các lớp trong Bộ điều hướng
Cung cấp hướng dẫn chi tiết về cách sử dụng Bộ điều hướng để so sánh các kỹ thuật được sử dụng bởi APT39 và Cobalt Kitty (OceanLotus). Bạn có thể thấy hữu ích khi in tài liệu này (bằng màu nếu có thể) để làm tài liệu tham khảo khi bạn thực hiện bài tập trên màn hình. - Kỹ thuật APT39 và Cobalt Kitty
Danh sách các kỹ thuật được sử dụng bởi APT39 và Cobalt Kitty (OceanLotus) được trích từ các báo cáo trong Bài tập 2. Nếu bạn đã quen thuộc với Navigator, bạn có thể sử dụng các kỹ thuật này để tự mình tạo và so sánh các lớp.
Mô-đun 5 với Bài tập 5: Làm cho dữ liệu được ánh xạ ATT&CK trở thành hành động với các khuyến nghị phòng thủ
Bài tập 5: Đưa ra khuyến nghị phòng thủ
Cảnh báo: Bài tập này dựa trên phiên bản trước của ATT&CK. Chúng tôi khuyên bạn nên sử dụng ATT&CK v6 nếu bạn muốn phù hợp với khóa đào tạo.
Bài tập có hướng dẫn : chúng ta xem qua bài tập này trong video và slide.
Bài tập không có hướng dẫn : chúng tôi không hướng dẫn bài tập này trong video và trang trình bày, nhưng nếu bạn muốn thực hành thêm việc đưa ra các đề xuất phòng thủ liên quan trực tiếp đến tổ chức của mình, chúng tôi khuyên bạn nên tự mình thực hiện bài tập này.
BQT : MITRE ATT&CK là một khung làm việc (framework) hay ma trận (matrix) có thể ứng dụng rất hiệu quả trong công tác phân tích an ninh mạng, dò tìm các mối đe dọa hay thu thập thông tin tình báo về những nguy hiểm tiềm tàng đối với an toàn thông tin. Để có thể nắm vững các bạn cần triển khai một mô hình giả lập ATT&CK BOX chạy trên máy ảo với Kali Tím , Kali Đỏ , Wazuh, ELK SIEM, PFSENCE và các Target phổ thông như Metasploitable 2 , Metasplotiable 3 để trãi nghiệm và ánh xạ giữa tấn công và ma trận ATT&CK. Mô hình lab này cần có 1 ATT&CK BOX chạy trên máy ảo 32 GB RAM.
Các bạn cần đặt hàng ATT&CK BOX (SSD 250 GB dựng sẵn) hãy liên hệ Zalo 0948432780 .
ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN 