步幅与米特雷攻击的区别

Question

当我看到威胁模型时(来自微软)，然后遇到Mitre ATT&CK，它们似乎是不同的--一个是威胁模型，另一个是威胁情报方法。

对我来说模糊的是，这两种类型的区别到底是什么。换句话说，为什么有人不能用Mitre ATT&CK作为威胁模型呢？

我缺少的基本面是什么？

Answer 1

MITRE ATT&CK从网络杀手链模型出发，描述了攻击的不同阶段，并指出了每个阶段的主要任务。最后，描述了用于每个任务的通用TTP列表。

在这些阶段建立捕获攻击者的指示符是有用的，因为它主要描述技术库和攻击的一般流程。

它没有很好地捕捉到攻击者将要利用的漏洞和一般的攻击类别。这就是STRIDE和其他威胁建模技术所做的事情，通常是以系统为中心的方法。

来自A·肖斯塔克的“威胁建模:安全设计”：

当您使用威胁模型时，通常使用两种类型的模型。有一个你正在建立的模型，也有一个威胁的模型(可能出错的东西)。

虽然STRIDE并不真正模拟系统，但它确实提供了一些广泛的攻击类别，这些攻击与特定阶段或特定版本(如ATT&CK描述的详细的TTP )无关。

此外，这更多地是我个人的考虑，一般的威胁建模方法(如STRIDE )可以很容易地适应，不仅考虑IT安全，而且考虑整个信息安全。

ATT&CK和STRIDE都很有用，但目的略有不同。

Answer 2

让我在这里补充一点@a-达尔文说的话。

在适当的情况下，你绝对可以用ATT和CK威胁模型。

• ATT&CK是攻击者破门而入后所做行为的一个非常细粒度的模型。
• STRIDE是攻击者破坏软件的通用模型。

如果您想要的威胁模型是一个操作系统，由Windows桌面、ipads、带有数据库的灯堆和所有相关的位组成，那么ATT&CK将为您提供关于攻击者将做什么以及如何在您的系统中检测攻击者的有用的洞察力。

STRIDE是针对真正的脆弱性而发展起来的，其优势之一是该模型已经持续了20年。它的寿命是可能的，因为它远没有ATT和CK那么具体。