技术深度解析
MITRE ATT&CK Navigator 本质上是一个单页 Web 应用程序(SPA),基于 AngularJS 构建,并配有一个轻量级的 Node.js 后端,用于提供静态资源和处理基本 API 请求。其架构看似简单,但专为性能和可扩展性而设计。
核心架构:
- 前端: AngularJS 负责整个用户界面,包括交互式矩阵渲染、图层管理和过滤逻辑。矩阵使用 SVG(可缩放矢量图形)渲染,能够呈现清晰、可缩放的视觉效果,足以处理密集的 ATT&CK 矩阵(涵盖 14 个战术类别中的 600 多种技术)。
- 后端: 一个极简的 Express.js 服务器用于提供应用程序服务,并提供 RESTful API 用于加载和保存图层文件。后端无需数据库;所有数据都存储在用户上传或下载的 JSON 文件(图层)中。
- 图层系统: 核心创新在于“图层”概念。每个图层都是一个 JSON 对象,包含应用于矩阵的一组注释(例如,技术评分、颜色代码、评论)。用户可以叠加多个图层——例如,一个图层用于威胁行为者的 TTP,另一个用于当前安全控制,第三个用于检测差距。Navigator 在视觉上合成这些图层,从而实现比较分析。
关键技术特性:
1. 多层叠加: Navigator 可以堆叠任意数量的图层。每个图层可以拥有自己的透明度、配色方案和评分系统。这使分析师能够直观地关联来自不同来源的数据(例如,红队发现与蓝队覆盖范围)。
2. 自定义过滤与评分: 用户可以根据平台(例如,Windows、Linux、云)、战术类别或自定义标签过滤技术。评分系统为技术分配数值(0-100),然后以颜色渐变的形式可视化(例如,红色表示高风险,绿色表示低风险)。
3. 注释与评论: 每项技术都可以添加自由文本评论、证据链接或内部工单 ID。这使矩阵从静态参考转变为用于事件响应或审计追踪的动态文档。
4. 导出与导入: 图层可以导出为 JSON 文件,与其他团队共享,或导入到其他支持 MITRE ATT&CK Navigator 图层格式的工具中(例如,Red Canary 的 Atomic Red Team,它使用相同的 JSON 模式来存储测试执行结果)。
性能基准测试:
| 指标 | 数值 | 备注 |
|---|---|---|
| 初始加载时间(在线版本) | 2.3 秒 | 在 100 Mbps 连接上测量;包括矩阵渲染 |
| 图层合成时间(5 个图层) | 1.1 秒 | 叠加 5 个图层,每个图层包含 200 多项技术所需时间 |
| 性能下降前的最大图层数 | 15 个以上 | 超过 15 个图层后,由于 SVG DOM 复杂性,性能明显下降 |
| 文件大小(单个图层,完整矩阵) | 约 50 KB | 压缩后的 JSON;随注释技术数量增加而扩展 |
数据要点: Navigator 在典型使用场景(1-5 个图层)下性能良好,但重度用户(例如,拥有多个威胁情报源的大型 SOC)会遇到性能瓶颈。缺乏服务器端聚合意味着所有合成都在浏览器中完成,限制了可扩展性。
相关开源仓库:
- mitre/attack-navigator:官方仓库(每日 59 颗星)。包含完整源代码、部署脚本和文档。社区贡献了用于导出为 PDF 和与 Splunk 集成的插件。
- redcanaryco/atomic-red-team:虽然不属于 Navigator 的一部分,但该仓库提供了自动化测试,这些测试的输出结果采用 Navigator 的图层格式,从而在自动化测试与手动分析之间架起桥梁。
关键参与者与案例研究
主要开发者:MITRE Corporation
MITRE 是一家非营利组织,运营着联邦资助的研究与开发中心(FFRDC)。ATT&CK 框架和 Navigator 是 MITRE 推进网络安全使命的一部分。与商业供应商不同,MITRE 没有盈利动机,这确保了该工具保持中立并与框架保持一致。然而,这也意味着其开发速度比商业替代方案慢。
案例研究:大型金融机构
一家美国大型银行使用 Navigator 将其检测覆盖范围映射到 FIN7 威胁行为者组织。红队将其模拟攻击结果导出为 Navigator 图层,蓝队随后将其与当前的检测规则叠加。可视化差距分析显示,FIN7 的 40% 的技术未被现有检测覆盖,这促使优先投资于新的 SIEM 规则。整个过程耗时两周,但手动数据录入占用了其中 60% 的时间。
与商业替代方案的比较:
| 工具 | 价格 | 自动数据摄取 | 实时协作 | 自定义评分 |
|---|---|---|---|---|
| MITRE ATT&CK Navigator | 免费 | 否(手动 JSON 上传) | 否(基于文件的共享) |