ATT&CK（对抗性战术，技术和公共知识库）

最新推荐文章于 2024-06-25 18:45:00 发布

一智哇

最新推荐文章于 2024-06-25 18:45:00 发布

阅读量5.8k

点赞数

分类专栏： ATT&CK 文章标签：网络安全学习

本文链接：https://blog.csdn.net/weixin_43883602/article/details/123686720

版权

ATT&CK 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

1.网络攻击前沿：ATT&CK 模型一览：https://zhuanlan.zhihu.com/p/92581688

1.MITRE公司简介

来源文章：https://zhuanlan.zhihu.com/p/162799295

MITRE公司提出ATT&CK攻击框架，引领全球网络安全攻防潮流。然而MITRE并不是一家严格意义上的网络安全公司，网络安全仅仅是“业余爱好”。

Mitre的总部设在弗吉尼亚州麦克莱恩山顶的四座塔楼中，其研究中心聘用了一些美国领先的计算机科学家和工程师，为美国顶尖的军事安全和情报组织开发数字工具。Mitre Corp.经营着美国政府一些最隐秘低调的科学技术实验室，研发领域涵盖先进航空系统、企业现代化技术、司法工程、医疗保健、国家网络安全等，这些实验室和工程中心类似电影《007》中的M16实验室，负责研发最先进的数字武器。
在这里插入图片描述

2. ATT&CK

来源文章：https://www.freebuf.com/articles/network/254613.html

ATT&CK是由MITRE机构开发的攻击模型框架，全称为Adversarial Tactics, Techniques, and Common Knowledge（对抗性战术，技术和知识库），是一个基于现实世界所观察到的攻击向量所组成的一个公开的对抗性战术和技术知识库，可被用于私营机构，政府部门，网络安全产品和服务社区，作为特定威胁模型和方法开发的基础。

2.1 为什么要学习使用这一框架

在当今复杂的网络环境中，各种攻击技术与防御技术迭代而生，互相博弈，而这也逐渐显露出了两方面的问题。

首先，单一的攻击手段逐渐已经失去了有效性。在实际的生产应用环境中，基本已经很难利用某一基础通用漏洞对重要的业务资产产生影响，大多数企业已经初具安全意识，这当然是一个非常好的发展趋势，但这却在无形中增加了信息安全人才培养的难度。信安作为计算机中的一个特殊分支，学习的内容广而杂，非常容易迷失方向。而传统的基于目标实践的培养方式在过去很好的激发了一代又一代网安人的成长，他们常常利用所学到的为数不多的知识就能发动一次有效的攻击（比如曾经的SQL漏洞满天飞，3389跑远控，MSF打内网），而这对于现阶段的网络环境已经变得不切实际了。因此非常需要这样一个类似于指导方案的框架出现，使学习者能够明白学习目标是什么，所需的知识是什么，而ATT&CK框架正是提供了一个这样的索引，系统归纳总结了攻击路径中的各个宏观结构以及技术细节，具有很强的学习意义。

另一方面，现如今大量的APT攻击层出不穷，数据泄露事件频发，各类恶意软件大肆横行，企业与机构在这样的态势下越发显得疲于应对。而ATT&CK的出现正有利于这一问题的解决，通过从宏观到微观的角度，使用通用语言对各种攻击环节与行为进行具体描述，方便企业与机构据此对自身资产进行一个完整有效的安全评估，隔绝各种可能的入侵风险，这对于整个信息产业的发展都起着弥足轻重的作用。

同时，最近威胁情报这一概念也逐渐进入了人们的视野，ATT&CK通过使用定义结构化语言也为动态情报系统的发展奠定了基础，更多的相关内容可以查看文中的应用方向章节。
在这里插入图片描述
Mitre 官方由抽象层次高低举例了三种网络攻击模型：

高抽象模型：Lockheed Martin 的 Cyber Kill Chain 模型、Microsft 的 STRIDE 模型等
中抽象模型：Mitre 的 ATT&CK 模型
低抽象模型：漏洞数据集、恶意软件数据集等
高抽象模型普遍对网络攻击的抽象程度较高，无法更好地服务与 EDR 所需要的“探测”和“响应”的要求，无法形成正对性的指导。以 Cyber Kill Chain 模型为例，其将攻击行为拆解为：Reconnaissance（侦查）→Weaponization（武器化）→ Delivery（传输）→Exploitation（挖掘）→ Installation（植入）→ C2 : Command & Control（命令和控制）→ Actions on Objectives（操作目标）。这一模型对于高纬度理解网络攻击有一定意义，但无法形成有效的攻击路线，无法说明每一次攻击行为之间的联系。

低抽象模型由于太注重于细枝末节，如漏洞数据集、恶意软件数据集等，反而无法看透攻击者的攻击目的和攻击全貌。所谓“管中窥豹，可见一斑”。

Mitre 对网络攻击进行了一个中等级别的抽象，让 ATT&CK 模型能够更好地服务于以下方面的问题：

每次攻击行为之间的联系
连续的攻击行为背后的攻击目标
每次攻击行为如何与数据源、防御、配置和其他被用在一个平台/技术域之间的措施想联系。

v8版本在最新的v8版本中发生的变动还是比较大的，ATT&CK变更为了3大类，PRE-ATT&CK 被合并到了ATT&CK for
Enterprise中，具体内容为：

ATT&CK for Enterprise 针对企业的攻击链

ATT&CK for Mobile 针对移动平台的攻击链

ATT&CK for Industrial Control Systems 针对工控系统的攻击链

其中的许多战术名称也发生了变化，其详细内容在后文中介绍

想查看更多历史版本的相关信息可以查看此网页：https://attack.mitre.org/resources/versions/