❶ 請問美國FBI,CIA,NSA分別是什麼有什麼區別
1、美國FBI:聯邦調查局(Federal Bureau of Investigation,FBI)成立於1935年,是美國司法部的主要執法、情報機構及調查單位,也是美國聯邦政府最大的反間諜機構。
2、美國CIA:美國中央情報局(英語:Central Intelligence Agency),其主要任務是公開和秘密地收集和分析關於國外政府、公司、恐怖組織、個人、政治、文化、科技等方面的情報,協調其它國內情報機構的活動,並把這些情報報告到美國政府各個部門的工作。
3、美國NSA:美國國家安全局(National Security Agency,簡寫為NSA)是美國政府機構中最大的情報部門專門負責收集和分析外國及本國通訊資料,隸屬於美國國防部,又稱國家保密局。
它們的區別為:
1、美國FBI總部設在華盛頓。FBI在反暴行、毒品、組織犯罪、外國反間諜活動、暴力犯罪和白領階層犯罪等方面享有最高優先權。
2、美國CIA總部位於美國弗吉尼亞州的蘭利。與蘇聯國家安全委員會(克格勃)、英國軍情六處和以色列摩薩德,並稱為「世界四大情報機構」。
3、美國中央情報局分為四個主要組成部分:情報處、管理處、行動處、科技處。情報技術人員多具有較高學歷、或是某些領域的專家。該機構的組織、人員、經費和活動嚴格保密,即使國會也不能過問。
4、NSA總部位於華盛頓以北的馬里蘭州米德堡。它是1952年根據杜魯門總統的一項秘密指令,從當時的軍事部門中獨立出來,用以加強情報通訊工作的,是美國情報機構的中樞。
5、NSA是全世界單獨僱傭數學博士、計算機博士和語言學家最多的機構,也是美國最神秘的情報機構,由於過於神秘,甚至完全不為美國政府的其他部門所了解,所以它的縮寫NSA經常被戲稱為「No Such Agency(沒有這個局)」。
6、國防部中央安全局控制著整個美國的間諜衛星網和設在世界各地的監聽站。
7、美國NSA為美國聯邦調查局(FBI),美國中央情報局(CIA)等政府機構提供可靠情報,幫助其破獲重大恐怖犯罪和刑事案件,並為美國政府守護尖端機密,例如在外特工名單,高度危險的證人的姓名地址資料,軍事武器的設計圖,監測衛星的發回數據,總統的原子彈發射密碼等等。
❷ ATT&CK框架是什麼適用於什麼場景
簡單來說,ATT&CK是MITRE提供的「對抗戰術、技術和常識」框架,是由攻擊者在攻擊企業時會利用的12種戰術和244種企業技術組成的精選知識庫。根據其框架的基本作用及業務需求,青藤雲安全認為一般ATT&CK框架適用於以下幾個主要場景:1對抗模擬:ATT&CK可用於創建對抗性模擬場景,測試和驗證針對常見對抗技術的防禦方案。2、紅隊/滲透測試活動:紅隊、紫隊和滲透測試活動的規劃、執行和報告可以使用ATT&CK,以便防禦者和報告接收者以及其內部之間有一個通用語言。3、制定行為分析方案:ATT&CK可用於構建和測試行為分析方案,以檢測環境中的對抗行為。4、防禦差距評估。5、SOC成熟度評估。6、網路威脅情報收集。
❸ 從ATT&CK開始——威脅情報
https://attack.mitre.org/resources/getting-started/
一、威脅情報
基於來自ATT&CK用戶的反饋,在第一個ATT&CKcon和從其他途徑,我們學到了很多,就像我們告訴你,我們已經意識到,這將有助於我們退後一步,專注於你們很多人一個問題:我如何開始使用ATT&CK嗎?
這本書開始是一系列的博客文章,旨在回答這個問題的四個關鍵用例:
�(1)威脅情報
(2)�檢測和分析
(3)�對手模擬和紅隊
�(4)評估和工程
我們根據這些用例重新組織了我們的網站來共享內容,我們希望這些博客文章能增加這些資源。
ATT&CK對於任何組織來說都是非常有用的,因為他們想要建立一個基於威脅的防禦體系,所以我們想要分享如何開始的想法,不管你的團隊有多復雜。
我們將把這些帖子分成不同的級別:
�一級對於剛開始那些可能沒有許多資源
二級中層團隊開始成熟
�三級為更先進的網路安全團隊和資源
我們將以威脅情報作為本書的開篇,因為它是最好的用例(盡管我相信我的同事可能不同意!)
在2018年,我對如何利用ATT&CK推進網路威脅情報(CTI)進行了一個高層次的概述。在本章中,我將在此基礎上,分享一些實用的入門建議。
1.1 一級
網路威脅情報就是要知道你的對手在做什麼,然後利用這些信息來改進決策。對於一個只有幾個分析師的組織來說,他們想要開始使用ATT&CK作為威脅情報,你可以從一個你關心的小組開始,觀察他們在ATT&CK中的行為。
你可以根據他們之前的目標組織,從我們網站上的那些組織中選擇一個小組。另外,許多威脅情報訂閱提供商也映射到ATT&CK,因此您可以使用他們的信息作為參考。
從那裡,您可以打開該組的頁面,查看他們使用的技術(僅基於我們映射的開源報告),以便了解更多關於他們的信息。如果你需要更多的技術信息,因為你不熟悉它,沒有問題,它就在ATT&CK網站上。你可以對我們使用的每一個軟體樣本重復這個步驟,我們分別在ATT&CK的網站上追蹤它們。
那麼我們如何使這些信息變得可操作,這就是威脅情報的全部意義?讓我們與我們的防禦者分享它,因為這是一個針對我們部門的組織,我們想要防禦他們。當你這樣做的時候,你可以在ATT&CK網站上找到一些想法,讓你開始檢測和減輕技術。
例如:讓你的防禦者知道APT19使用的特定注冊表運行鍵。但是,他們可能會改變這一點,並使用不同的運行鍵。如果您查看該技術的檢測建議,您會看到一個建議是監視注冊表中的新運行鍵,您不希望在您的環境中看到這些鍵。這將是與你的防禦者進行的一個偉大的談話。
總之,開始使用ATT&CK作為威脅情報的一個簡單方法是查看您所關心的單個敵手組。識別他們使用過的一些行為可以幫助你告訴你的防禦者他們如何嘗試去發現那個群體。
1.2 二級
你有一個由威脅分析專家組成的團隊,他們會定期查看對手的信息,你可以採取的下一個行動是將情報映射到自己身上,而不是使用其他人已經映射的信息。如果你有一個關於你的組織已經工作的事件的報告,這可以是一個偉大的內部來源映射到ATT&CK,或者你可以使用一個外部報告,如博客文章。為了簡化這個過程,您可以只從一個報告開始。
我們意識到,當你不知道所有的數百種技術時,試圖映射到ATT&CK是很可怕的。這里有一個你可以遵循的過程來幫助這一點。
1. 了解ATT&CK -熟悉ATT&CK的整體結構:
戰術(對手的技術目標)、技術(如何實現這些目標)和過程(技術的具體實現)。看看我們的入門頁面和哲學論文。
2. 找出對手的行為——從比原子指示器(比如IP地址)更廣的角度考慮對手的行為。例如,上述報告中的惡意軟體「建立了一個SOCKS5連接」。建立聯系的行為是對手採取的行為。
3.研究行為——如果你不熟悉行為,你可能需要做更多的研究。在我們的例子中,一個小的研究表明SOCKS5是一個第5層(會話層)協議。
4. 將行為轉化為戰術——考慮對手的技術目標,然後選擇一個合適的戰術。好消息是:在企業戰略中只有12種戰術可供選擇。對於SOCKS5連接示例,建立到以後通信的連接屬於命令和控制策略。
5. 弄清楚什麼技術適用於行為——這可能有點棘手,但是根據你的分析技能和ATT&CK網站上的例子,這是可行的。如果您在我們的網站上搜索SOCKS,就會彈出技術標准非應用層協議(T1095)。查看技術描述,您將發現這可能是我們的行為所適合的地方。
6. 將您的結果與其他分析人員進行比較—當然,您對某個行為的解釋可能與其他分析人員不同。這很正常,而且在ATT&CK團隊中經常發生!我強烈建議您將您的ATT&CK信息映射與其他分析師的進行比較,並討論其中的差異。
對於那些有幾個分析師的CTI團隊來說,將信息映射到ATT&CK是一個很好的方法,可以確保您獲得最相關的信息來滿足您的組織的需求。從那裡,你可以將att&ck地圖上的敵方信息傳遞給你的防禦者,以通知他們的防禦,就像我們上面討論的那樣。
1.3三級
如果你的CTI團隊是先進的,你可以開始映射更多的信息到ATT&CK,然後使用這些信息來優先考慮你如何防禦。採用上述過程,您可以將內部和外部信息映射到ATT&CK,包括事件響應數據、來自OSINT或威脅intel訂閱的報告、實時警報和組織的歷史信息。
一旦你映射了這些數據,你就可以做一些很酷的事情來比較組和優先使用常用的技術。例如,從ATT&CK導航器中獲取這個矩陣視圖,我之前與ATT&CK網站上的技術共享了它。只有APT3使用的技術以藍色突出顯示;只有APT29使用的是黃色突出顯示的,APT3和APT29都使用的是綠色突出顯示的。(所有這些都是基於我們所映射的公開信息,而這些信息只是這些組織所做工作的一部分。)
您應該根據組織的主要威脅替換您關心的組和技術。為了幫助您創建自己的導航器層,就像我在上面所做的那樣,這里有一個關於生成上述矩陣的步驟的逐步指南,以及一個視頻演練,它還提供了導航器功能的概述。
然後,我們可以聚合信息來確定常用的技術,這可以幫助防禦者知道應該優先處理什麼。這讓我們可以優先考慮技術,並與防禦者分享他們應該關注的檢測和減輕。在我們上面的矩陣中,如果APT3和APT29是組織中被認為對他們構成高威脅的兩個組,那麼綠色的技術可能是決定如何減輕和檢測的最高優先順序。如果我們的防禦者已經給了CTI團隊幫助確定他們應該在哪裡優先分配防禦資源的要求,我們可以與他們共享這些信息,作為他們開始的地方。
如果我們的防禦者已經對他們能探測到什麼進行了評估(我們將在以後的章節中討論),你就可以將這些信息疊加到你所知道的威脅上。這是一個很好的地方來集中您的資源,因為您知道您所關心的組已經使用了這些技術,而您無法檢測它們!
您可以根據您所擁有的數據繼續添加您所觀察到的對手所使用的技術,並開發一個頻繁使用的技術的「熱圖」。Brian Beyer和我在SANS CTI峰會上討論了我們如何基於MITRE-curated和Red Canary-curated數據集提出不同的「前20」技術。你的團隊可以遵循同樣的過程來創建你自己的「前20名」。
這個映射ATT&CK技術的過程並不完美,並且存在偏見,但是這些信息仍然可以幫助您開始更清楚地了解對手在做什麼。
(你可以在這張幻燈片上閱讀更多關於偏見和限制的內容,我們希望很快分享更多的想法。)
對於想要將ATT&CK用於CTI的高級團隊來說,將各種資源映射到ATT&CK可以幫助您建立對對手行為的深刻理解,從而幫助確定優先順序並為您的組織提供防禦信息。
總結
在我們的入門指南的第一章中,我們已經帶你走過了三個不同的層次,如何開始ATT&CK和威脅情報,這取決於你的團隊的資源。在以後的章節中,我們將深入探討如何開始使用其他用例,包括檢測和分析、對手模擬和紅色團隊、評估和工程。