bariskececi/vantage

GitHub: bariskececi/vantage

Vantage 是一款 OT/ICS 红队评估的规划与报告工具,将威胁模拟、测试结果追踪和覆盖率可视化全部映射到 MITRE ATT&CK for ICS 框架。

Stars: 0 | Forks: 0

# Vantage ![Vantage](https://static.pigsec.cn/wp-content/uploads/repos/cas/30/30c78309d8ee9e8deae15f1f41b82dc5504a9cf312c2256318b2409fa5ac3f83.png) **规划一次 OT/ICS 红蓝对抗演练,模拟真实的威胁行为者,追踪哪些攻击成功突破,并最终交付给客户一份报告 —— 全部映射至 MITRE ATT&CK for ICS。** 对工业环境进行红队评估与攻破一个 Web 应用截然不同。最 困难的部分在于*安全且清晰*地进行:确认评估范围、模拟客户 真正担忧的威胁行为者、记录每种技术的测试结果——是遇到了防护墙、 触发了警报,还是毫无反应——并将这些转化为资产所有者可采取行动的 建议。Vantage 正是为这类工作提供规划、覆盖率和报告展示的层级工具。 它是方法论,而非恶意软件。Vantage 不包含任何漏洞利用代码,也不会 驱动任何攻击。它围绕公开的 ATT&CK for ICS 分类法组织一次 授权的安全评估,并生成咨询项目成败所系的关键产物: 模拟计划、覆盖率矩阵和书面报告。 ## 主要功能 - 基于公开威胁档案的**威胁行为者模拟计划** —— 包含 TRITON、Industroyer、 PIPEDREAM 以及从 IT 渗透至 OT 的勒索软件 —— 每一项都映射到了 与之关联的公开 ATT&CK for ICS 技术。 - **覆盖率矩阵**采用大家熟悉的 ATT&CK Navigator 风格:涵盖所有的战术和 技术,每个单元格根据实际发生的结果进行颜色编码 —— 成功、已检测、已拦截、 已计划或超出范围。 - 针对每项技术的**发现结果追踪**:包括状态、严重程度、观察到的现象,以及 相应的整改建议。 - **报告生成器**,可将评估过程转化为一版整洁的 Markdown 交付物, 其中包含执行摘要和已划分优先级的发现结果。 ## 快速开始 ``` pip install -r requirements.txt # 查看你可以模拟的 adversary profiles python run.py threats # 构建一个模拟 PIPEDREAM 的 engagement python run.py plan --threat pipedream --name "Water utility assessment" \ --client "Riverside Water" --scope "L3 Site Ops,L2 Supervisory,L1 Control" # (或加载完全填充的 demo) python scripts/make_demo_engagement.py engagement.json # 打开 coverage matrix python run.py dashboard --engagement engagement.json # -> http://localhost:3003 # 生成报告 python run.py report engagement.json --out report.md ``` ## 覆盖率矩阵 ![Vantage demo](https://static.pigsec.cn/wp-content/uploads/repos/cas/e3/e35886f5e3bc6c37c8c547d7b28227576fe2a02208fdcc98610b76bf7c52b519.gif) 该仪表盘是 Vantage 的核心:完整的 ATT&CK for ICS 矩阵,涵盖了从 Initial Access 到 Impact 的十二种战术,您测试的每一项技术都会根据 结果进行颜色标记。满屏的绿色代表该站点经过了加固;而在 *Impair Process Control* 中标红的单元格则是最终会出现在报告首页的关键发现。这 与防守方(蓝队)所防御的是同一个矩阵 —— 只是这里是从攻击者的 视角来展示。 ``` threat profile ──▶ emulation plan (ATT&CK for ICS techniques) │ ▼ engagement ──▶ record outcome per technique ──▶ coverage matrix (dashboard) │ (blocked/detected/successful) │ └──────────────────────────────────────────────────┴──▶ assessment report ``` ## 为何有助于真实的安全评估 - **通用语言。** 基于 ATT&CK for ICS 确定测试范围,意味着客户的蓝 队可以将每一项发现直接映射到具体的检测规则或控制措施。 - **具备充分的正当理由。** 基于公开命名的威胁行为者制定的模拟计划, 比漫无目的的“我们会尝试各种手段”更容易向资产所有者证明其合理性。 - **天生的紫队(攻防演练)模式。** 因为每项技术都会带有防守方的检测反馈,所以 同一次评估也可以兼作一次检测缺口评估。 ## 威胁档案 | 档案 | 年份 | 目标 | |---------|------|--------| | TRITON / TRISIS | 2017 | 安全仪表系统 | | Industroyer / CRASHOVERRIDE | 2016 | 电网变电站 | | PIPEDREAM / INCONTROLLER | 2022 | 多种 PLC / OPC UA 平台 | | IT-to-OT Ransomware (IT 到 OT 的勒索软件) | 各个年份 | 桥接切入到 OT 的企业 IT 系统 | 每个档案都是对公开威胁报告的参考——包含活动名称以及 关联的 ATT&CK 技术 ID——用于为计划提供基础框架。在 `vantage/threats.py` 中 可以轻松添加新的档案。 ## 负责任地使用 Vantage 仅适用于**已获授权**的 OT/ICS 安全评估。它是一个规划、 追踪和报告工具:它不包含任何漏洞利用代码、payload 或攻击 自动化功能,也绝不接触实时设备。工业测试带有真实的 安全风险 —— 始终应在书面的交战规则下进行,确保运营 人员知情,并通过模拟而非针对运行中的工厂来验证 可能影响工艺流程的技术。使用它的目的是让授权的 评估变得更安全、更清晰,仅此而已。 ## 路线图 - 将覆盖率矩阵导出为 ATT&CK Navigator JSON,以便与蓝队共享 - 在 Markdown 之外提供 HTML / PDF 格式的报告渲染 - 通过 YAML 文件自定义威胁档案 - 评估差异对比 —— 展示两次评估之间检测能力的提升 - 将发现结果映射到常见的 OT 控制/安全标准(IEC 62443 / NIST 800-82) ## 许可证 MIT —— 详情请见 [LICENSE](LICENSE)。
标签:Cloudflare, ICS安全, MITRE ATT&CK, OT安全, 威胁建模, 攻击对手模拟, 红队评估, 逆向工具, 防御加固