[发明专利]基于MITRE ATTCK创建安全闭环过程的方法

权利要求书

1.基于MITRE ATTCK创建安全闭环过程的方法，其特征在于包括以下步骤：

1）、获得数据，得到MITREATTCK框架：

当创建一个有效的搜索、告警和响应的改进周期时，首先是输入，传统的要可以用数据通知周期，以便更有效地决定警报和防御；输入的内容包括大数据挖掘获取数据、根据指标IOC、威胁情报、大数据挖掘；

2）、得到对手攻击计划；

在MITREATTCK框架中确定对手所有组及攻击战术；

在MITREATTCK框架中确定的对手所有组，通过针对特定行业和组织制定的计划进行不断地攻击演练测试，不断扩大技术覆盖范围，不断缩小与攻击者的差距；

3）、根据对手攻击计划模拟攻击，得到模拟攻击确定的结果；

根据对手所有组及攻击战术模拟攻击；

在内部或外部攻击模拟，遵循模拟攻击计划；或者用自动对手仿真工具，构建攻击模拟；在没有必要的人力的情况下可以自动完成测试的部分；

4）、根据模拟攻击确定的结果，构建改进计划；

狩猎和报告：

记录模拟攻击时使用的所有资源，任何成功的检测都应该记录下来，以便在攻击模拟结束时进行评估；在狩猎框架中，AEPS和攻击模拟的最佳使用是双重的，模拟的攻击手法要结合实际中的攻陷过程的路线，两者兼并成最好的攻击链战术；

首先也是最重要的，通知狩猎操作，这样就可以在日常的基础上在现实世界中寻找技术；

第二，AEP提供了一个路线图，以高度保真度自动识别攻击；只有当能够检测到正确的TTP时，这一切才是可能的；

如果无法检测到TTP，这是一个研究新工具或数据收集方法的机会；TTP是攻陷的过程，对恶意活动的检测，通过收集到日志，攻击者的攻击技术知识，如果无法检测到改进告警过程和采取补救错误，根据技术特征重新调整采集数据的方法；

告警管理；

根据模拟攻击确定的结果和TTP，对原有的没有覆盖到的检测，和攻击过程，或者有误报的检测和攻击过程的检测，制定一个告警检测的改进计划，改进计划包括检测手段和预防方法；为了跟踪与攻击执行相关告警管理，在报告表中添加补救跟踪表；这可以包括要修改的系统、修改状态及其所有者的信息；

然后可以重新执行第一阶段；

创建安全闭环过程包括：

一、是输入，威胁情报，IOC指标，数据挖掘的创建；

二、模拟对手攻击计划，在MITRE ATTCK框架中确定的所有组，通过针对某个特定行业和组织制定的计划；

三、遵循模拟攻击计划；或者用自动对手仿真工具构建攻击模拟；

记录模拟攻击时使用的所有资源，任何成功的检测都应该记录下来，并输出报告，需要包括对已执行的攻击计划、攻击结果和应该采取的补救措施；

四、告警管理，根据模拟攻击确定的结果和TTPs，构建一个过程和技术改进计划。

2.根据权利要求1所述的基于MITRE ATTCK创建安全闭环过程的方法，其特征在于：

自动对手仿真工具为CALDERA。

3. 根据权利要求2所述的基于MITRE ATTCK创建安全闭环过程的方法，其特征在于：

在步骤4中，获取模拟攻击确定的结果的TTP，如果得到正确的TTP，人为构建改进计划；如果得不到正确的TTP，对恶意活动的检测，通过收集到日志，攻击者的攻击技术知识。