[Forcepoint X-Lab 文章分享] : 以模擬 MITRE ATT&CK 攻擊框架，說明 NGFW 的縱深防禦能力如何對抗APT攻擊

原文連結：https://www.forcepoint.com/blog/x-labs/ngfw-kill-chain-attack-simulation

這篇文章是參考 MITRE ATT&CK框架中其中一個APT攻擊手法與流程，並用一段影片來說明NGFW的縱深防禦能力，如何偵測並阻擋相關的攻擊。

這個情境是某企業的管理者，為了要處理資訊系統的問題，用連結找到一個PuTTY工具並下載，然而該工具是被變造過的，藏有後門的PuTTY工具。

該工具用反向的TCP backdoor手法，並使用開源工具Metasploit框架的msfvenom並使用 shikata_ga_nai 編碼方法來規避偵測。使得該工具可以回報中繼站，並讓駭客遠端遙控這台管理員的電腦。

影片中展示了，針對攻擊的不同階段，包含:

1. Initial Access ,初步存取階段，相關的防護機制包含以下:

URL Filtering

Deep Packet Inspection

File Filtering (Sandbox)

 

2. Execution ,執行階段，相關的防護機制包含以下:

ECA Whitelisting

Snort Integration

 

3. Exfiltration ,外洩資料階段，相關的防護機制為:

DLP Integration