ATT&CK是一個基于黑客攻擊實戰結果建立的網絡攻擊戰術和技術的知識體系，它描述了網絡攻擊的行為模型，反映出整個攻擊周期的各個階段。

ATT&CK包含三個核心部分，即戰術、技術和過程(TTPs)，戰術表示攻擊者的目標，技術表示攻擊者達成戰術目標的方法與手段，過程顯示攻擊者如何執行某項技術。今年7月，技術中新增了“子技術”概念，表示比技術低一級別、達成目標的特定方法。

上圖的表格里共有12個戰術目標、156項技術和272項子技術。隨著人工智能、機器學習等新技術的發展，ATT&CK會越來越龐雜。

這是著名的痛苦金字塔，每一層表示不同類型的攻擊指標。它可以用來檢測攻擊活動與指標之間的關系，以及拒絕這些指標時給攻擊者帶來的痛苦程度。越接近金字塔尖，攻擊者的痛苦指數越大。

最頂層的TTPs反映了攻擊者的行為，調整TTPs需要付出很高的時間和金錢成本。當我們在這一級別檢測和響應時，就是在直接操作攻擊者的行為，而不是針對他們的工具。利用ATT&CK檢測攻擊者的行為習慣，迫使他們重新學習訓練新的行為，能夠極大提高攻擊門檻。

總體來說，ATT&CK模型是在洛馬公司提出的KillChain模型的基礎上，構建的一套更細粒度、更易共享的知識模型和框架。

從上圖可以看出，PRE-ATT&CK覆蓋了偵查跟蹤和武器構建兩個階段。攻擊者進行攻擊之前，必須先偵查網絡，根據特定環境定制對應的武器。Enterprise ATT&CK覆蓋了載荷投遞、漏洞利用、安裝植入、命令與控制和目標達成五個階段，主要關注攻擊者怎樣入侵網絡及入侵后他們會做什么。

以往，業界關注較多的是邊界防護，認為只要在邊界部署防火墻就可以阻止攻擊者的進入。但隨著物聯網、工業互聯網、云計算的發展，更進一步打破了物理邊界的概念。我們需要監控并檢測攻擊過程的整個生命周期，甚至假設攻擊者已經入侵內部網絡。

ATT&CK有哪些具體的應用場景?我們可以怎樣更好地在各個場景中使用它呢?

第一個場景是攻擊模擬，可用于驗證對特定攻擊的檢測能力。ATT&CK作為工具來創造攻擊場景，以測試和驗證對通用攻擊技術的防御能力。

第二個是紅隊/滲透測試，用ATT&CK作為攻擊來設計紅隊計劃，以及在操作過程中避過安全監控和防御措施。

第三個是威脅情報增強，ATT&CK有助于從行為角度理解和記錄攻擊者的策略，防御者更容易獲取共有的威脅行為特征。

第四個是SOC成熟度評估，安全運維中心是企業機構的關鍵部門，需要持續監控網絡威脅。ATT&CK可作為度量工具，確定SOC在入侵檢測、分析和響應方面的有效性。

另外兩個場景是防護差距評估和行為分析開發，下面來重點介紹一下。

在進行安全建設或安全產品研發過程中，安全人會產生一些疑問：

現有的防御是否有效?

是否能檢測某一類特定的APT攻擊?

采集到的數據是否有用?

新購買的產品或開發的工具能力是否重疊，導致浪費預算?

新產品是否有助于提高企業機構的防御能力?

從安全運營角度看，對企業機構的網絡環境進行威脅建模后，可根據現有的安全解決方案利用ATT&CK覆蓋評估、識別差距，再根據優先級來彌補差距。

首先，ATT&CK能夠幫助更好地優化防御方案，找出弱點或差距，確定需要什么產品或工具來補充方案。其次是增強對風險的認知，出現重大安全事件時(如勒索病毒)，可以更清晰地知道當前方案能否有效檢測和緩解風險。最后，ATT&CK可幫助最大化有效利用預算，確定要購買的產品能否補充差距，并有效提升防御能力。

防護差距評估還可應用于安全產品的開發，利用ATT&CK評估產品防護能力的覆蓋范圍并識別差距，對差距進行優先級排序。

ATT&CK對每一項技術都提供檢測所需的數據源，確定產品能否獲取所需的數據源后，才能進行檢測，接著再逐個解決差距。數據源是檢測的基礎，它的覆蓋度決定了檢測能力的覆蓋度。

DeTTECT是一個評估數據源覆蓋的框架，能夠對每一個數據源的質量進行打分。它可映射數據到ATT&CK Navigator，從而以直觀方式看到數據覆蓋熱力圖。

最后一個ATT&CK的使用場景是開發行為分析，通過分析攻擊者的行為進行威脅檢測，與IOCs檢測有較大區別。

IOCs用來檢測已知威脅;需要人工搜索威脅的IOCs，比如威脅情報平臺;具有更低的誤報率，且更具針對性;同時數量非常龐大，各個廠家的威脅情報庫都是千萬級別的。

行為分析是行為驅動檢測，去發現滿足威脅行為的可疑操作。它并不能100%確定是否為威脅，相比IOCs存在更高的誤報率，但泛化性更強，能夠檢測未知威脅。

Mitre的網絡行為分析庫(CAR)是一個基于攻擊模型的行為分析知識庫。它對每一個行為模型進行了解釋，說明模型背后的想法，其中包含了行為模型能夠檢測的所有技術領域列表。

CAR利用偽代碼定義了數據模型，在產品實現過程中，提供了幾乎可以直接使用的偽代碼邏輯。它還給出了測試模型的方法，詳細的操作或命令觸發的相關行為，用來驗證行為模型的有效性，涵蓋行為模型的分析、開發、驗證完整閉環流程。

還有其他一些具有參考價值的行為分析庫，比如EQL也給出很多類CAR模型，包括偽代碼;Sigma可以通過行為規則生成ATT&CK Navigator熱力圖，直觀看到行為模型的覆蓋程度。

安博通在基于ATT&CK進行產品研發時，有一些實踐體會。首先要利用好社區資源，緊密跟蹤其他組織發布的行為分析方法;其次根據攻擊者行為建立數據模型;第三步加強數據源的收集，不斷訓練優化模型以降低誤報率;最后在實際應用場景中測試和增強模型。

經過充分實踐，安博通自主研發了高級威脅檢測與響應平臺，實現安全威脅的檢測、分析和自動響應。

利用DNS、ICMP、HTTP隧道進行隱蔽通信的行為;DGA域名、C&C、木馬、挖礦、數據泄露等外聯威脅;WEB攻擊、暴力破解、提權、憑證獲取、蠕蟲等橫向移動行為都逃不過平臺的檢測，實踐證明平臺能夠有效發現高級威脅和未知威脅。

ATT&CK的出現改變了我們對IP地址和域名等低級指標的認知，讓我們從行為視角來看待攻擊者和防御體系，建立了“知攻”通向“知防”的橋梁。防守方得以將攻擊事件轉化為針對性的對抗能力，ATT&CK作為對抗性科學被越來越多的安全人認知并應用。

舉報/反饋