ATT&CK架构实践平台Caldera

Caldera的介绍

CALDERA™是一个网络安全框架，旨在轻松运行自主的违规和模拟练习。它也可用于运行手动红队参与或自动事件响应。

它基于MITER ATT＆CK™框架构建，是MITRE的一项活跃的研究项目。

该框架包含两个组件：

核心系统。这是框架代码，由该存储库中可用的内容组成。其中包括带有REST API和Web界面的异步命令和控制（C2）服务器。

插件。这些是独立于核心框架的存储库，提供了其余功能。示例包括代理，GUI界面，TTP集合等。

Caldera的安装

克隆源码

git clone https://github.com/mitre/caldera.git --recursive --branch 2.8.1

安装Go

sudo tar -C /usr/local -xzf go1.15.5.linux-amd64.tar.gzexport PATH=$PATH:/usr/local/go/bingo version

pip国内镜像加速

建立pip.conf文件

首先运行如下命令

cd ~/.pip

若是提示目录不存在，自行建立一个(若是目录存在，可跳过此步)，以下：

mkdir ~/.pipcd ~/.pip

在 .pip目录下建立一个 pip.conf 文件，以下：

touch pip.conf

编辑 pip.conf 文件

首先打开文件，命令以下：

sudo vi ~/.pip/pip.conf

接着，写入如下内容：

[global] index-url = https://pypi.tuna.tsinghua.edu.cn/simple[install]trusted-host = https://pypi.tuna.tsinghua.edu.cn # trusted-host 此参数是为了不麻烦，不然使用的时候可能会提示不受信任

而后保存退出便可。

安装Caldera

cd /Caldera2.8.1pip install -r requirements.txtpython3 server.py --insecure

打开http://ip:8888便可进入平台,帐号密码均为：admin

ATT&CK

介绍

MITRE是美国政府资助的一家研究机构，该公司于1958年从MIT分离出来，并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。

MITRE在2013年推出了ATT&CK模型，它是根据真实的观察数据来描述和分类对抗行为。ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并经过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。因为此列表至关全面地呈现了攻击者在攻击网络时所采用的行为，所以对于各类进攻性和防护性度量、表示和其余机制都很是有用。

MITRE ATT&CK的目标是建立网络攻击中使用的已知对抗战术和技术的详尽列表。在过去的一年中，MITRE  ATT&CK框架在安全行业中广受欢迎。简单来讲，ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。

ATT&CK会详细介绍每一种技术的利用方式，以及为何了解这项技术对于防护者来讲很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术。例如，对于甲方企业而言，平台和数据源很是重要，企业安全人员须要了解应该监控哪些系统以及须要从中收集哪些内容，才能减轻或检测因为入侵技术滥用形成的影响。这时候，ATT&CK场景示例就派上用场了。针对每种技术都有具体场景示例，说明攻击者是如何经过某一恶意软件或行动方案来利用该技术的。ATT&CK每一个示例都采用Wikipedia的风格，引用了许多博客和安全研究团队发表的文章。所以若是ATT&CK中没有直接提供内容，一般能够在这些连接的文章中找到。

所以，如今不少企业都开始研究ATT&CK，在这一过程当中一般会看到企业组织采用两种方法。首先是盘点其安全工具，让安全厂商提供一份对照ATT&CK覆盖范围的映射图。尽管这是最简单、最快速的方法，但供应商提供的覆盖范围可能与企业实际部署工具的方式并不匹配。此外，也有些企业组织在按照战术逐项进行评估企业安全能力。以持久化战术为例，这些技术可能很是复杂，并且，仅仅缓解其中一部分技术，并不意味着攻击者没法以其它方式滥用这项技术。

分类

ATT&CK技术目前分为3个领域，Enterprise（企业）、Mobile（移动）、ICS（工控）

如下为企业的框架

其中，横轴表明战术，总计14项，纵轴表明技术，总计177项技术348项子技术包括程序。战术是纲领，技术是方法实现，程序是步骤样例。为了方便你们理解，我花了一张思惟导图来帮助你们快速理解。

咱们能够经过Caldera来实践ATT&CK框架，关于Caldera的使用，会在下一节介绍。

本文分享自微信公众号 - 攻防SRC（SNNUSRC）。
若有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一块儿分享。