Swimlanes pyattack funktioniert mit dem Mitre ATT&CK Framework.

HINWEIS: Die Mitre ATT&CK Framework Es handelt sich NICHT um eine allumfassende/de facto gültige Sicherheitsabdeckungskarte. Vielmehr ist es ein Rahmenkonzept, und bei der Beurteilung Ihrer Sicherheitslage sollten auch andere Wege in Betracht gezogen werden.

Wenn Sicherheitsteams die Mitre ATT&CK Framework Um Sicherheitslücken aufzudecken, wird es immer wichtiger, die von bestimmten Akteuren oder Gruppen eingesetzte Malware und die verwendeten Tools identifizieren zu können. Noch wichtiger ist es jedoch, diese Zusammenhänge programmatisch erkennen zu können.

Heute freuen wir uns, bekannt zu geben, dass das Swimlane-Forschungsteam Folgendes veröffentlicht hat: pyattck—ein Python-Paket zur Interaktion mit dem Mitre ATT&CK Framework. Täglich werden zahlreiche Open-Source-Projekte veröffentlicht, wir wollten jedoch ein unkompliziertes Python-Paket bereitstellen, mit dem der Benutzer bekannte Beziehungen zwischen allen Bereichen des Systems identifizieren kann. Mitre ATT&CK Framework.

Wenn Sie mit dem/der/dem nicht vertraut sind Mitre ATT&CK Framework, Es gibt einige Schlüsselkomponenten, die Sie sicher beherrschen müssen:

Taktiken und Techniken

Wenn man sich die Mitre ATT&CK Framework, Die Taktiken sind in den Spalten aufgeführt und stellen die verschiedenen Phasen eines Angriffs dar.

Die Techniken werden in den Zeilen unterhalb der jeweiligen Taktiken (Spalten) aufgeführt und stellen Datenpunkte innerhalb des Frameworks dar, die bei der Bewertung von Sicherheitslücken als Orientierungshilfe dienen. Darüber hinaus enthalten die meisten Techniken Hinweise zur Risikominderung sowie Informationen über ihre Beziehung zu Tools, Malware und sogar Akteuren/Gruppen, die die Technik bei aufgezeichneten Angriffen eingesetzt haben oder aktuell verwenden.

Wenn sich Ihre Organisation auf die Taktiken, Techniken und Verfahren (TTPs) bestimmter Akteure/Gruppen konzentriert, dann Mitre ATT&CK Framework ist perfekt für Sie. Sollte Ihre Organisation dieses Sicherheitsniveau noch nicht erreicht haben, keine Sorge! Das ATT&CK-Framework bietet dennoch umfassende Anleitungen in einem einfachen und übersichtlichen Layout. Die programmatische Anwendung ist jedoch nicht ganz unkompliziert, insbesondere wenn Sie Ihre Sicherheitskontrollen mithilfe des Frameworks messen (oder abbilden) möchten.

Aber keine Sorge, wir haben veröffentlicht pyattck als Open-Source-Python-Paket, das es Sicherheitsteams ermöglicht, diese Beziehungen für ihre eigenen internen oder externen Tools zu nutzen. Aktuell, pyattck unterstützt die Identifizierung der folgenden Beziehungen, wobei weitere hinzugefügt werden:

• Schauspieler
  • Vom Akteur oder der Gruppe verwendete Werkzeuge.
  • Von dem Akteur oder der Gruppe eingesetzte Schadsoftware.
  • Vom Schauspieler oder der Gruppe angewandte Techniken.
• Malware
  • Akteur oder Gruppe, die diese Schadsoftware verwendet.
  • Techniken, mit denen diese Malware eingesetzt wird.
• Minderung
  • Techniken, die sich auf eine bestimmte Reihe von Minderungsvorschlägen beziehen.
• Taktik
  • Techniken, die in einer bestimmten Taktik (Phase) vorkommen.
• Technik
  • Taktiken, in denen eine Technik zu finden ist.
  • Vorschläge zur Risikominderung für eine bestimmte Technik.
  • Schauspieler oder Gruppe(n), die diese Technik anwenden.
• Werkzeuge
  • Techniken, die in den genannten Werkzeugen angewendet werden.
  • Akteur oder Gruppe(n), die ein bestimmtes Werkzeug verwenden.

Wenn Ihr Sicherheitsteam beispielsweise sicherstellen möchte, dass es vor TTPs im Zusammenhang mit APT1 geschützt ist, dann können Sie, anstatt eine visuelle Karte mit Informationen über APT1 zu durchsuchen, pyattck verwenden, um die mit APT1 verbundenen oder von ihm verwendeten Tools, Malware und Techniken zu extrahieren.

Um diese Informationen abzurufen pyattck, Sie können den Namen des Akteurs angeben und beliebige Informationen über den Akteur selbst und seine Techniken abrufen:

from pyattck import Attck attack = Attck() for actor in attack.actors: if 'APT1' in actor.name: for technique in actor.techniques: print(technique.name)

Wenn Sie Vorschläge zur technischen Risikominderung abrufen möchten, können Sie wie folgt vorgehen:

from pyattck import Attck attack = Attck() for technique in attack.techniques: print(technique.name) for mitigation in technique.mitigation: print(mitigation.description)

Dies sind nur einige Beispiele dafür, wie Sie es verwenden können. pyattck. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Repository oder die offizielle Dokumentation. Und falls Sie Feedback haben, bitte Erstelle ein Problem auf GitHub.

Genießen!