一、ATT&CK的概念
全称 Adversarial Tactics, Techniques, and Common Knowledge,ATT&CK是由MITRE创建并维护的一个对抗战术和技术的知识库,MITRE是一个面向美国政府提供系统工程、研究开发和信息技术支持的非盈利组织,像我们常知的CVE、CWE、CVSS等安全标准规范都是出自该组织之手。
1、ATT&CK的核心组件
ATT&CK是针对网络攻击行为的精选知识库和模型,反映了攻击者攻击生命周期和各个攻击阶段的目标,由以下核心组件组成:
1、战术(Tactics):表示攻击过程中的短期战术目标;
2、技术(Techniques):描述对手实现攻击目标的手段;
3、子集技巧(Sub-techniques):描述对手在比技更低的级别上实现战术目标的技术手段。
现阶段ATT&CK 将已知的攻击行为分成了12个战术、156个技术和272个子技术。
”战术“、”技术“、”子技术“之间的关系通过ATT&CK矩阵实现可视化。
2、ATT&CK的矩阵
那么我们再来探讨一下为什么ATT&CK是矩阵的形式呢?因为矩阵能够很清晰的表达出来,攻击者攻击战术与攻击技术之间的关系。ATT&CK矩阵的横轴表示攻击者不同的战术,也就是要达到的目标,战术可能包括诸如“初步访问”、“持久化”、“权限提升”等;纵轴则代表这些战术具体的技术和子技术,每个技术都是攻击者可能会使用的一种具体方法或工具,例如,“恶意电子邮件附件”、“凭据盗窃”或“Windows管理接口利用”。