攻擊分析架構的三種方法

在資訊安全領域，有用許多不同的方法來分析攻擊，來了解攻擊者的行為和意圖。
今天來介紹三種主要的攻擊分析架構，並提供一些例子以幫助理解。

1. Lockheed Martin Kill Chain

洛克希德·馬丁（Lockheed Martin）殲滅鏈（Kill Chain）是一種用於分析攻擊的模型，它將攻擊過程分為多個階段，以幫助安全專業人員理解攻擊者的行為。以下是殲滅鏈的各個階段以及相關說明：

1. 偵查（Reconnaissance）：攻擊者首先進行偵查，以尋找潛在的漏洞和目標。這通常是 passively 收集信息，因為攻擊者不想被發現。
2. 武器化（Weaponization）：在實驗室中，攻擊者製造惡意軟體，準備用於後續攻擊。
3. 交付（Delivery）：攻擊者將惡意軟體交付到目標主機上，可以通過電子郵件等方式進行。攻擊者思考如何最好地將其交付。
4. 利用（Exploitation）：一旦惡意軟體交付到目標系統，攻擊者啟動程式碼，開始攻擊。
5. 安裝（Installation）：攻擊者安裝工具，以便可以從遠程位置進一步操作目標系統。
6. 命令和控制（Command & Control，C2）：攻擊者使用前幾個階段獲得的權限，建立命令和控制結構，以掌控目標系統。
7. 達成目標（Actions on Objectives）：一旦安全基礎設施準備就緒，攻擊者開始進行實際攻擊行動，達成其目標。

殲滅鏈分析可用於識別攻擊的進展，並找到防禦的方法。然而，由於殲滅鏈模型相對線性，從外部進行分析攻擊，因此還有其他方法。

2. MITRE ATT&CK® Framework

MITRE ATT&CK® 框架是一種用於描述和分析攻擊行為的模型。它提供了一個更多層次的觀點，以幫助理解攻擊者的技術和戰術。以下是MITRE ATT&CK®框架的一些特點：

• Pre-ATT&CK：用於偵查和武器化階段的先前攻擊技術和戰術。這有助於預測攻擊者可能使用的方法。
• ATT&CK：這個部分描述了攻擊者在不同階段的行為，包括如何進行初始訪問、執行、持久存在等。這是一個豐富的知識庫，有助於分析攻擊。

MITRE ATT&CK®框架不僅提供攻擊階段的信息，還提供了許多實際案例和技術細節，有助於安全專業人員更深入地了解攻擊行為。

3. Diamond Model of Intrusion Analysis

鑽石模型是一種用於分析入侵的模型，它主要關注四個關鍵角色，以及一些相關特徵。以下是鑽石模型的主要元素：

1. 攻擊者（Adversary）：誰是攻擊者？他們的動機是什麼？
2. 基礎設施（Infrastructure）：攻擊者使用了什麼基礎設

施來進行攻擊？例如，使用的伺服器、IP地址等。

1. 能力（Capability）：攻擊者擁有什麼技術能力和工具來實施攻擊？這包括他們的惡意軟體和技術。
2. 受害者（Victim）：誰是攻擊的受害者？是個人、組織或其他？

此外，鑽石模型還考慮了以下幾個特徵：

• 時間戳（Timestamp）：攻擊事件發生的時間。
• 階段（Phase）：攻擊過程中的不同階段，例如初始訪問、執行、持久存在等。
• 結果（Result）：攻擊的結果是什麼？是否成功？
• 方向（Direction）：攻擊的方向，是入侵還是側面攻擊？
• 方法論（Methodology）：攻擊者使用的方法和技術。
• 資源（Resources）：攻擊者使用的資源，包括硬體和軟體。

鑽石模型提供了綜合的分析方法，有助於深入了解入侵事件的不同層面。

這三種攻擊分析架構提供了多重角度來理解和應對不同類型的攻擊，幫助安全專業人員更好地保護系統和數據資產。