MITRE ATT&CK 简介
1. 什么是 MITRE ATT&CK
MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是由美国非营利研究机构 MITRE 基于真实世界的攻击观察构建的公开知识库,旨在为组织提供统一的语言和结构化的模型,以帮助理解、分析和防御网络威胁。它把攻击者的行为划分为 战术(Tactics)、技术(Techniques)、子技术(Sub‑techniques) 以及 程序(Procedures),并配套提供检测、缓解建议和关联的攻击组、恶意软件等信息。
2. 框架的核心组成
| 组成要素 | 说明 |
|---|---|
| 战术(Tactics) | 攻击者在攻击生命周期中追求的高层目标,如“初始访问”“持久化”“横向移动”等,共 14–15 类(随版本略有变化) |
| 技术(Techniques) | 实现特定战术的具体手段,例如 “凭证转储”“钓鱼邮件”“PowerShell 脚本”等。每个技术可细分为 子技术,提供更细粒度的描述 |
| 程序(Procedures) | 真实攻击案例中使用的具体操作步骤,帮助防御方了解攻击细节 |
| 攻击组(Groups) | 已知的 APT 或黑客组织,关联其常用的技术集合 |
| 恶意软件(Software) | 与技术对应的工具或恶意代码,便于情报关联 |
| 缓解措施(Mitigations) | 针对每项技术提供的防御建议,帮助组织构建防御层次 |
| 检测数据源(Data Sources) | 说明哪些日志或监控数据可用于检测对应技术 |
3. 矩阵(Matrices)
MITRE ATT&CK 按照目标环境划分了多个矩阵,分别覆盖不同平台和场景:
| 矩阵 | 适用范围 | 关键特点 |
|---|---|---|
| Enterprise Matrix | Windows、Linux、macOS、云平台等企业环境 | 包含最全的战术与技术,常用于 SOC、威胁狩猎等 |
| Mobile Matrix | Android、iOS 移动设备 | 关注移动端特有的权限提升、应用劫持等技术 |
| ICS Matrix | 工业控制系统(SCADA、PLC 等) | 侧重安全仪表、工控协议的攻击手法 |
| PRE‑ATT&CK(已合并进 Enterprise) | 攻击前的准备阶段,如资源收集、基础设施搭建等 | |
| Cloud Matrix(在 Enterprise 中扩展) | 云服务(AWS、Azure、GCP)特有的技术与权限模型 |
每个矩阵以 矩阵表格 形式呈现,行对应战术,列对应技术/子技术,便于快速定位和映射。
4. 框架的历史与演进
- 2015 年 5 月,MITRE 首次公开发布 ATT&CK,最初聚焦 Windows 平台的攻击技术。
- 随后逐步扩展至 macOS、Linux、移动、云、工业控制系统等,形成多矩阵体系。
- 框架持续更新,2025 年已发布第 13 版,并通过官方 Navigator、ATT&CK Workbench、CALDERA 等工具提供交互式查询与模拟。
5. 主要应用场景
| 场景 | 价值 |
|---|---|
| 威胁狩猎(Threat Hunting) | 依据矩阵中的技术定义搜索日志、行为异常,实现主动发现潜在攻击 |
| 红队/蓝队演练 | 红队使用 ATT&CK 设计逼真的攻击路径,蓝队依据矩阵对检测与响应进行评估 |
| 检测映射(Detection Coverage) | 将安全产品的检测规则映射到 ATT&CK 技术,评估防御覆盖率并发现盲点 |
| 风险评估与安全成熟度 | 通过对组织现有控制与 ATT&CK 技术的对应关系,量化防御能力并制定改进计划 |
| 威胁情报共享 | 使用统一的 TTP 词汇表,促进跨组织、跨行业的情报交流与协作 |
| 安全产品研发 | 供应商依据 ATT&CK 设计检测、阻断或仿真功能,提升产品的实战价值 |
6. 常用工具与资源
- MITRE ATT&CK Navigator:交互式矩阵浏览、标记与导出
- ATT&CK Workbench:本地部署的知识库管理平台,支持自定义扩展
- CALDERA:开源的自动化对手模拟框架,直接基于 ATT&CK 技术生成攻击流程
- ATT&CK STIX/TAXII:标准化的威胁情报交换格式,便于与 SIEM、SOAR 集成
7. 小结
MITRE ATT&CK 已成为网络安全领域的 “通用语言”,通过结构化的 战术‑技术‑程序 模型,帮助组织在 威胁情报、检测、响应、风险评估 等多个环节实现统一、可度量的防御体系。其持续更新的公开知识库、丰富的矩阵视图以及生态系统中的工具链,使其在企业、政府和学术界得到广泛采用,成为提升网络防御深度和成熟度的核心框架。
声明:文章均为AI生成,请谨慎辨别信息的真伪和可靠性!