2023 ATT&CK v13版本更新指南

一、什么是ATT&CK

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge ）是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。

二、ATT&CK 发展历史

• 1996年：美空军参谋长罗纳德ž福格尔曼在空军协会研讨会上提出F2T2EA“杀伤链”概念。

• 2011年1月：洛马公司提出使用网空“杀伤链”模型来描述入侵的阶段。

• 2013年9月：MITRE推出了ATT&CK模型，根据网空观察数据来描述和分类敌手行为。

• 2015年5月：ATT&CK模型公开发布，其中包括9种战术下的96种技术。

• 2018年：ATT&CK获得爆发式关注，众多安全厂商开始在产品中增加针对ATT&CK的支持。

• 2019年3月：RSA大会上，有10多个议题讨论ATT&CK的应用。

• 2019年6月：Gartner Security & Risk Management Summit会上，ATT&CK被评为十大关注热点。

• 2020年1月：MITRE公布了针对工业控制系统的ATT&CK知识库ATT&CK for ICS。

• 2021年4月：ATT&CK for Enterprise V9进行了数据源重构，将数据源与攻击行为的检测相关联。

• 2021年8月：ISC 2021设立“ATT&CK安全能力衡量论坛”，聚焦ATT&CK安全能力建设的衡量讨论。

• 2021年10月：ATT&CK v10发布，包括 14 个战术，188 个技术， 和 379 个子技术，129 个组织、638 个软件。这个版本，一共包括 38 类数据源。

• 2022年4月：ATT&CK v11发布，包含14个战术，191个技术，386个子技术，134个组织和680个软件。

• 2022年10月：ATT&CK v12版本更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测，描述了检测各种ICS技术的方法，每种方法都与特定的数据源和数据组件相关联，检测功能既利用了传统的主机和基于网络的采集，也利用了ICS特定的来源，如资产和运营数据库等。v12包含14个战术、193个技术、401个子技术、135个组织、718个软件。

• 2023年4月：ATT&CK v13发布，最大的变化是为ATT&CK中的一些技术添加了详细的检测指导，用于企业，移动数据源和两种新类型的更改日志（包括一个人类可读的详细更改日志，更具体地显示更新的ATT&CK对象中的更改，以及一个机器可读的JSON更改日志，其格式在ATT&CK的Github中描述）。v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。

三、ATT&CK 应用场景

ATT＆CK在各种日常环境中都很有价值。开展任何防御活动时，可以应用ATT＆CK分类法，参考攻击者及其行为。ATT＆CK不仅为网络防御者提供通用技术库，还为渗透测试和红队提供了基础。常见的主要应用场景如下：

1) 恶意文件分析

ATT&CK知识库的总结来源之一有APT对抗，并有大量涉及终端的操作，有较多的研究在针对恶意文件的检测与分析中使用了ATT&CK。

2) 威胁检测

“杀伤链”模型较为粗粒度，自定义的威胁模型跟实际威胁的检测需求存在差异，ATT&CK的体系性有助于多维度的威胁检测关联和实际需求映射。

3) 攻击模拟和防御评估

ATT&CK作为攻击知识库，天然地能提供攻击模拟的指导，通过战术阶段提供对攻击过程的宏观认识，也为风险评估研究提供了可参考的风险模型。ATT＆CK可用于创建攻击模拟场景，红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT＆CK，以便防御者和报告接收者以及其内部之间有一个通用语言。

ATT&CK可以测试和验证针对常见攻击技术的防御方案，ATT＆CK可用于构建和测试行为分析方案，以检测环境中的攻击行为。

4) 攻击归因与攻击者画像

攻击溯源与取证是还原攻击过程的重要基础，也有助于完成攻击者的刻画，基于低层级IOC的溯源取证容易被攻击者规避，而ATT&CK层次的攻击手法则反映了攻击者长期且较为本质的特征。

5) 漏洞挖掘与漏洞分析

对漏洞利用的检测、利用方法和造成影响研究分析的话，基于现有CVE和CWE的方法较少体现攻击与防御的联动视角，通过与ATT&CK技战术关联，可丰富漏洞的利用路径、造成影响等上下文。

6) SOC成熟度评