2021 ATT&CK v10版本更新指南

一、什么是ATT&CK

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge ）是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。

二、ATT&CK 发展历史

• 1996年：美空军参谋长罗纳德ž福格尔曼在空军协会研讨会上提出F2T2EA“杀伤链”概念。

• 2011年1月：洛马公司提出使用网空“杀伤链”模型来描述入侵的阶段。

• 2013年9月：MITRE推出了ATT&CK模型，根据网空观察数据来描述和分类敌手行为。

• 2015年5月：ATT&CK模型公开发布，其中包括9种战术下的96种技术。

• 2018年：ATT&CK获得爆发式关注，众多安全厂商开始在产品中增加针对ATT&CK的支持。

• 2019年3月：RSA大会上，有10多个议题讨论ATT&CK的应用。

• 2019年6月：Gartner Security & Risk Management Summit会上，ATT&CK被评为十大关注热点。

• 2020年1月：MITRE公布了针对工业控制系统的ATT&CK知识库ATT&CK for ICS。

• 2021年4月：ATT&CK for Enterprise V9进行了数据源重构，将数据源与攻击行为的检测相关联。

• 2021年8月：ISC 2021设立“ATT&CK安全能力衡量论坛”，聚焦ATT&CK安全能力建设的衡量讨论。

• 2021年10月：ATT&CK v10发布，包括 14 个战术，188 个技术， 和 379 个子技术，129 个组织、638 个软件。这个版本，一共包括 38 类数据源。

三、ATT&CK 应用场景

ATT＆CK在各种日常环境中都很有价值。开展任何防御活动时，可以应用ATT＆CK分类法，参考攻击者及其行为。ATT＆CK不仅为网络防御者提供通用技术库，还为渗透测试和红队提供了基础。常见的主要应用场景如下：

1) 恶意文件分析

ATT&CK知识库的总结来源之一有APT对抗，并有大量涉及终端的操作，有较多的研究在针对恶意文件的检测与分析中使用了ATT&CK。

2) 威胁检测

“杀伤链”模型较为粗粒度，自定义的威胁模型跟实际威胁的检测需求存在差异，ATT&CK的体系性有助于多维度的威胁检测关联和实际需求映射。

3) 攻击模拟和防御评估

ATT&CK作为攻击知识库，天然地能提供攻击模拟的指导，通过战术阶段提供对攻击过程的宏观认识，也为风险评估研究提供了可参考的风险模型。ATT＆CK可用于创建攻击模拟场景，红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT＆CK，以便防御者和报告接收者以及其内部之间有一个通用语言。

ATT&CK可以测试和验证针对常见攻击技术的防御方案，ATT＆CK可用于构建和测试行为分析方案，以检测环境中的攻击行为。

4) 攻击归因与攻击者画像

攻击溯源与取证是还原攻击过程的重要基础，也有助于完成攻击者的刻画，基于低层级IOC的溯源取证容易被攻击者规避，而ATT&CK层次的攻击手法则反映了攻击者长期且较为本质的特征。

5) 漏洞挖掘与漏洞分析

对漏洞利用的检测、利用方法和造成影响研究分析的话，基于现有CVE和CWE的方法较少体现攻击与防御的联动视角，通过与ATT&CK技战术关联，可丰富漏洞的利用路径、造成影响等上下文。

6) SOC成熟度评估

ATT＆CK可用作一种度量，确定SOC在检测、分析和响应入侵方面的有效性。SOC团队可以参考ATT＆CK已检测到或未涵盖的技术和战术。这有助于了解防御优势和劣势在哪里，并验证缓解和检测控制措施，并可以发现配置错误和其他操作问题。

四、2021 ATT&CK v10版本更新说明

2021 年 10 月，MITRE ATT&CK 发布了最新版本 V10，包括对 ATT&CK for Enterprise，ATT&CK for Mobile、ATT&CK for ICS 相关的攻击技术、组织、软件的更新。这个版本最大的改变有以下几点：

1. 在 ATT&CK for Enterprise 中新增了一套数据源与数据组件对象，以对 v9 版本发布的数据源更新进行补充。

2. 重命名了 T1185