ATT&CK入门系列之一：揭开面纱

ATT&CK之来龙去脉

MITRE ATT&CK™ is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community.

With the creation of ATT&CK, MITRE is fulfilling its mission to solve problems for a safer world — by bringing communities together to develop more effective cybersecurity. ATT&CK is open and available to any person or organization for use at no charge.

官方给ATT&CK的定义为：“ATT&CK stands for Adversarial Tactics, Techniques, and Common Knowledge." 可以看出，ATT&CK包括三个核心元素，战术 (Tactics)、技术 (Techniques)和通用知识库(Common Knowledge)，其本质上是一个知识库，内容包括攻击者的战术和每个战术中应用到的技术，以矩阵的形式来构建整个知识库，所以国内也有人称之为攻击矩阵。

说到战术和技术，需要引出另外一个军事术语TTPs (Tactics,Techniques,Procedures)，其中Procedures指实施某个技术的过程。TTPs是可以直接指导实战的，现在经常被用于网络安全领域。在ATT&CK概念被提出之前，网络安全防护的实战中面临着不少的问题，包括但不限于以下方面：

• 传统安全检测方法所使用的特征库很容易失效
• 杀伤链模型过于抽象，较难用来指导实践
• 将TTPs用于指导实战时，需要结合所观察的具体事件，对不同的攻击组织使用的各类技术缺少统一的描述和分类体系。

MITRE 组织在2013年开始了一个叫做Fort Meade Experiment (FMX)的项目，目标是为企业内网防护APT攻击提供一套新的方法论以解决上述问题。而ATT&CK是这个项目中的一部分工作，并于2015年五月正式分布。发布之处内容还比较简单，这几年经过多次更新迭代，目前已经比较完善。

ATT&CK是什么

未知功，焉知防。

ATT&CK的核心思想是以攻防对抗的思路来设计整个框架，持续的攻击渗透能驱动防护能力的提升，对各类攻防渗透技术有足够深入的了解才能掌握探测和阻止入侵事件的能力，公司内部需要有红蓝团队并紧密配合。秉承着这样的理念，ATT&CK从攻击的视角，对入侵中使用的不同战术和技术做了细致的分类整理。这也是在现存的众多威胁模型当中，ATT&CK一经发布就获得空前关注度的一个重要原因。

传统的安全研究更侧重恶意软件和工具的样本分析，而ATT&CK侧重的是入侵中所使用的技术，并按照不同的战术目的将这些技术进行分类。战术代表着入侵的目的，而技术是达到战术目的的方法，同一个战术目标可以通过多种技术来实现。通过ATT&CK的知识库，可以了解入侵时使用的每一个技术的目的是什么、技术原理和实现方法和这个技术可以产生的效果。比如为了实现持续性控制（ Persistence）这一战术目的，可以使用 AppInit DLLs、新服务（ New Service）和计划任务（ Scheduled Task）等技术。根据入侵的阶段，ATT&CK分为PRE-ATT&CK、ATT&CK for Enterprise和ATT&CK for Mobile三大部分。在不同的平台系统中，具体技术的实现会有所区别，ATT&CK for Enterprise又可以细分为Windows、macOS、Linux和cloud，ATT&CK for Mobile可以细分为Android和iOS。