AI 模拟红队攻击策略与 MITRE ATT&CK
授权安全评估专用技能:依据 MITRE ATT&CK 框架规划攻击生命周期,模拟红队执行侦察、入侵与规避动作,并生成包含检测差距的分析报告,用于加固防御体系。
为什么需要这个技能
传统防御往往只关注单点漏洞,而缺乏对攻击者完整思维链的模拟。本技能让 AI 基于 MITRE ATT&CK 框架,系统化地模拟攻击者的行为模式,从侦察、初始访问到横向移动,完整复现攻击路径。
它帮助安全团队预演攻击场景,识别防御盲区,理解攻击者如何利用 LOLBins、绕过日志记录或窃取凭据。同时,生成的报告能明确指出检测系统为何失效,为改进 SIEM 规则提供依据。
适用场景
- 授权的红队演练:在控制环境中模拟真实攻击,检验现有防御体系的有效性。
- 威胁建模与防御验证:在架构设计阶段,预测潜在的攻击向量并验证缓解措施是否到位。
- 安全培训与教育:通过模拟攻击者的视角,帮助开发者和运维人员理解社会工程学、供应链攻击等风险。
- 合规性报告撰写:为 ISO 27001、等保等合规要求提供详细的攻防对抗分析报告。
核心工作流
- 明确评估范围与伦理边界:首先确认测试目标仅限于授权环境(如沙箱),严禁触碰生产数据或造成拒绝服务。
- 构建攻击生命周期图谱:依据 ATT&CK 矩阵,规划从被动侦察到数据外泄的完整阶段,避免盲目跳跃。
- 执行特定阶段战术:
- 侦察:分析技术栈与员工信息,评估社会工程风险。
- 初始访问:筛选钓鱼邮件、公开漏洞或泄露凭据作为突破口。
- 权限提升:利用 Windows 服务配置错误或 Linux SUID 二进制文件获取更高权限。
- 规避检测:使用 LOLBins 工具、混淆代码或清除日志,降低被发现概率。
- 横向移动与数据窃取:利用 Pass-the-Hash 或 Kerberos 票据在域内扩散,提取敏感数据。
- 生成防御分析:记录每次动作,分析为何未被检测,提出具体的检测增强建议。
下载和安装
下载 red-team-tactics 中文版 Skill ZIP
解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。
你可能还需要
暂无推荐