攻击指标矩阵共设14个不同战术维度,战术维度下共设113个技术指标。矩阵中的技术均尽可能覆盖广泛的攻击媒介,包含软件供应链常受到威胁的第三方库与组件中的漏洞,对更深入了解软件供应链存在的潜在威胁与指定安全策略有一定帮助。
| 侦查 | 资源开发 | 初始入侵 | 执行 | 持久控制 | 权限提升 | 躲避防御 | 获取合法凭证访问 | 探测发现 | 横向攻击 | 收集 | 命令与控制 | 数据窃取 | 危害 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 扫描使用的开源依赖项 | 对开源存储库的恶意代码贡献 | 代码存储库污染 | 包管理器威胁 | 代码中后门 | 高权限用户存储库中植入恶意依赖 | Saas蔓延 | 窃取第三方软件令牌 | 发现依赖的代码存储库 | 跨存储库推送恶意植入 | 来自代码存储库的信息 | 利用远程访问软件 | 泄露到代码存储库 | 恶意模块植入 |
| 扫描代码存储库 | 开源库维护者恶意操作 | 开发环境威胁 | 利用恶意组件/扩展执行 | 植入僵尸实例 | 高权限用户环境引入的恶意组件 | 配置错误 | 暴力破解 | 系统信息发现 | 利用远程服务 | 来自云存储的信息 | 通过传输入口工具 | 泄露到云存储 | 数据操作 |
| 扫描公共容器映像 | 恶意替换合法项目 | 开发工具威胁 | IDE恶意构建注入 | 部署密钥 | 利用软件漏洞提权 | 开发工具威胁 | 中间人攻击 | 账户发现 | 利用有效账户 | 来自系统的信息 | 伪协议利用 | 网络钩子 | 数据破坏 |
| 供应链关系调查 | 开发恶意项目 | 第三方组件/扩展中的漏洞 | 利用软件漏洞执行 | 浏览器扩展 | 操作访问令牌 | 利用漏洞规避防御 | 强制用户身份验证 | 权限组发现 | 内网钓鱼攻击 | 利用替代性协议 | 资源劫持 | ||
| 网络钓鱼获取信息 | 恶意获取 | 存储库劫持 | 运行时后门 | 操作访问令牌 | 滥用权限提升控制机制 | 损害防御机制或组件 | 漏洞利用 | 密码策略发现 | 备用身份验证材料盗取 | ||||
| 主动扫描 | 入侵更新服务器 | Combosquatting | SQL 注入 | 植入容器镜像 | 利用有效账户 | 操作访问令牌 | 凭据转储 | ||||||
| 扫描开放信息源 | 入侵官方网站 | Typosquatting | 命令执行 | 滥用任务计划 | 利用有效账户 | 窃取或伪造凭据、证书 | |||||||
| 收集目标主机信息 | 账户窃取 | 依赖关系混淆 | 跨站点脚本 | 外部远程服务 | 滥用权限提升控制机制 | 窃取会话cookie | |||||||
| 收集目标身份信息 | 建立培养账户 | 品牌劫持 | 用户执行 | 账户操作 | 清除防御指标 | 泄露不安全存储的凭据 | |||||||
| 影子IT | 接口利用 | 创建账户 | 破坏信任控制 | 输入捕获 | |||||||||
| 暴露的公共制品或信息 | 容器部署 | 备用身份验证材料盗取 | |||||||||||
| CI/CD 威胁 | 滥用容器管理命令 | 混淆文件或信息 | |||||||||||
| 恶意模块注入 | |||||||||||||
| 利用受信任的第三方关系 | |||||||||||||
| 利用应用程序漏洞及错误 | |||||||||||||
| 网络钓鱼 | |||||||||||||
| 利用有效账户 | |||||||||||||
| 路过式攻击 | |||||||||||||
| 外部远程服务 |