整合威脅情報是有很高的挑戰,最常碰到的,就是數據格式不一致,因為不同威脅情報源的數據格式可能不同,需要進行數據清洗和轉換。
其中,MITRE ATT&CK 框架在資安領域中常常被提到,它提供了一個國際標準化的語言來描述和分析攻擊者的行為。但它並不是唯一的資安框架,其他框架也各有優勢。
MITRE ATT&CK,詳細描述攻擊技術和戰術,提供攻擊者視角,可作為威脅建模和偵測規則的基礎。常用在,行業標準,廣泛應用於各類組織。STRIDE,用於進行威脅建模,側重於系統的脆弱性,代表Spoofing、Tampering、Repudiation、Information disclosure、Denial of service、Elevation of privilege。較為傳統,但仍有價值,可以與ATT&CK結合使用。而,Diamond Model,將攻擊活動分為四個要素:攻擊者、基礎設施、受害者和能力,比較強調攻擊的整體格局。也較為宏觀,可以提供更全面的分析。
iThome鐵人賽
看影片追技術