[Forcepoint X-Lab 文章分享] : 以模拟 MITRE ATT&CK 攻击框架，说明 NGFW 的纵深防御能力如何对抗APT攻击

原文连结：https://www.forcepoint.com/blog/x-labs/ngfw-kill-chain-attack-simulation

这篇文章是参考 MITRE ATT&CK框架中其中一个APT攻击手法与流程，并用一段影片来说明NGFW的纵深防御能力，如何侦测并阻挡相关的攻击。

这个情境是某企业的管理者，为了要处理信息系统的问题，用连结找到一个PuTTY工具并下载，然而该工具是被变造过的，藏有后门的PuTTY工具。

该工具用反向的TCP backdoor手法，并使用开源工具Metasploit框架的msfvenom并使用 shikata_ga_nai 编码方法来规避侦测。使得该工具可以回报中继站，并让骇客远端遥控这台管理员的电脑。

影片中展示了，针对攻击的不同阶段，包含:

1. Initial Access ,初步存取阶段，相关的防护机制包含以下:

URL Filtering

Deep Packet Inspection

File Filtering (Sandbox)

 

2. Execution ,执行阶段，相关的防护机制包含以下:

ECA Whitelisting

Snort Integration

 

3. Exfiltration ,外泄资料阶段，相关的防护机制为:

DLP Integration