1.1.1　MITRE ATT&CK框架概述

MITRE是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织。作为承接政府项目的第三方机构，MITRE公司管理着美国联邦政府投资研发中心（FFRDCS），于1958年从麻省理工学院林肯实验室分离出来后参与了许多最高机密的政府项目，其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所（NIST）、美国国土安全部网络安全和信息保证办公室（OCSIA）等机构的资助下，开展了大量的网络安全实践。例如，MITRE公司在1999年发起了通用漏洞披露项目（CVE，Common Vulnera-bilities and Exposures）并维护至今。其后，MITRE公司还维护了常见缺陷列表（CWE，Common Weakness Enumeration）这个安全漏洞词典。

2013年，MITRE公司为了解决防守方面临的困境，基于现实中发生的真实攻击事件，创建了一个对抗战术和技术知识库，即Adversarial Tactics，Techniques，and Common Knowledge，简称ATT&CK。该框架内容丰富、实战性强，最近几年发展得炙手可热，得到了业内的广泛关注。图1-2显示了Google Trends上ATT&CK这个词语的热度发展趋势。

MITRE ATT&CK提供了一个复杂框架，介绍了攻击者在攻击过程中使用的190多项技术、400多项子技术，其中包括特定技术和通用技术，以及有关知名攻击组织及其攻击活动的背景信息和攻击中所使用的战术、技术。简单来说，MITRE ATT&CK是一个对抗行为知识库。该知识库具有以下几个特点：

●　它是基于真实观察数据创建的。

●　它是公开免费、全球可访问的。

●　它为蓝方和红队提供了一种沟通交流的通用语言。

●　它是由社区驱动发展的。

基于威胁建模的ATT&CK框架如图1-3所示。

在ATT&CK框架中，战术代表了实施ATT&CK技术的原因，是攻击者执行某项行动的战术目标。战术介绍了各项技术的环境类别，并涵盖了攻击者在攻击时执行活动的标准、标记等信息，例如持久化、发现、横向移动、执行和数据窃取等战术。

在ATT&CK框架中，技术代表攻击者通过执行动作来实现战术目标的方式。例如，攻击者可能会转储凭证，以访问网络中的有用凭证，之后可能会使用这些凭证进行横向移动。技术也表示攻击者通过执行一个动作要获取的“内容”。

ATT&CK框架自2015年发布以来，截至本书编写时已经更新了12个版本，战术从最初的8项发展到现在的14项，技术也从最初的60多项发展到现在的190多项，其中还包括400多项子技术。整体来说，ATT&CK由一系列技术领域组成。这些技术领域是指攻击者所处的生态系统，攻击者必须绕过这些系统限制方可实现其目标。迄今为止，MITRE ATT&CK已确定了三个技术领域——Enterprise（用于传统企业网络和云技术）、Mobile（用于移动通信设备）、ICS（用于工业控制系统），如表1-1所示。在各技术领域，ATT&CK定义了多个平台，即攻击者在各技术领域进行操作的系统。一个平台可以是一个操作系统或一个应用程序（例如，Microsoft Windows）。ATT&CK中的技术和子技术可以应用在不同平台上。

在刚开始推出Enterprise ATT&CK时，ATT&CK专注于攻击者入侵系统后的行为，大致对应Kill Chain[1]中从漏洞利用到维持的阶段。这符合防守方所处的情况，即防守方仅具有对自己网络的可见性，无法揭露攻击者入侵成功前的行为。在ATT&CK初次发布后，MITRE的一个独立团队希望按照Enterprise ATT&CK的格式向左移动，列出导致攻击者成功入侵的攻击行为，于是在2017年发布了PRE ATT&CK。图1-4展示了PRE ATT&CK与Kill Chain的对比图。

PRE ATT&CK框架发布后，ATT&CK社区中的一些人开始利用它来描述攻击者入侵成功前的攻击行为，但该框架的使用率并不高。同时，许多企业反映，Enterprise ATT&CK仅涵盖攻击者入侵成功后的行为，这在一定程度上限制了Enterprise ATT&CK的能力。对此，MITRE在2018年将PRE ATT&CK集成到Enterprise ATT&CK版本中（见图1-5），将PRE ATT&CK的“启动”和“威胁应对”战术纳入Enterprise ATT&CK的“初始访问”战术中。

之前，MITRE称PRE ATT&CK+Enterprise ATT&CK涵盖了完整的Kill Chain，但实际上PRE ATT&CK还包括侦察前情报规划在内的多种战术。后来，MITRE的Ingrid Parker与ATT&CK团队合作制定了一个标准，以确定PRE ATT&CK中的哪些技术可以融入Enterprise ATT&CK中，具体标准包括以下内容。

●　技术性标准：攻击行为与电子设备/计算机有关，而不是与计划或人类情报采集有关。

●　可见性标准：攻击行为对某个地方的防守方可见，不需要国家级的情报能力，如ISP或DNS厂商。

●　证明攻击者的使用情况：有证据表明某种攻击行为已被攻击者在“在野攻击”中使用。

根据以上标准进行筛选后，将PRE ATT&CK整合到Enterprise ATT&CK中成为两个新战术，如下所示。

●　侦察：重点关注试图收集信息以计划在未来进行攻击的攻击者，包括主动或被动收集信息以确定攻击目标的技术。

●　资源开发：重点关注试图获取资源以进行攻击的攻击者，包括攻击者为实现目标而获取、购买或破坏/窃取资源的技术。

精简后，PRE矩阵只包含侦察和资源开发这两个战术（见表1-2），战术下包含技术和子技术。虽然这些技术/子技术大部分没有缓解措施，但防守方可以参照这些攻击行为，做到一些暴露面的收缩。

随着越来越多的企业上云，Enterprise版本中除了涵盖常见的Windows、Linux、macOS等平台，还新增了云环境内容，包含Azure AD、Office 365、Google Workspace、SaaS、IaaS等平台。而网络环境中的矩阵主要涵盖了针对网络基础设施设备的攻击技术，包含AWS、GCP、Azure、Azure AD、Office 365、SaaS等平台。

近年来，容器作为一种使用便捷、可移植性强的基础设施，使用率日益攀升，但容器所面临的安全问题也日益严峻。MITRE在2021年4月发布的ATT&CK V9版本中公布了ATT&CK容器矩阵，受到了容器使用者的广泛关注。关于ATT&CK在容器安全领域的运用，本书第2章中会进行详细介绍。

此外，MITRE还创建了一个ATT&CK for ICS框架。ICS包括监督控制和数据采集（SCADA）系统及其他控制系统配置，广泛用于电力、水务、燃气、化工、制药、食品以及其他各类制造行业（汽车、航空航天等）。在这些行业中，越来越多的企业开始使用信息技术解决方案来加强系统的相互连接和远程访问能力，不同领域的ICS也保持着各自的行业特性。同时，ICS中的执行逻辑往往会对现实世界产生直接影响，执行不当会导致包括人身安全受到威胁、自然环境污染、公共财产损毁在内的各种后果，对工业生产、人类活动、国家经济发展造成严重危害，ICS网络安全的重要性不言而喻。ATT&CK for ICS描述了攻击者在ICS网络攻击中各环节的战术、技术和步骤（TTPs），从而帮助企业更好地进行风险评估，防范安全隐患。

针对不同平台的矩阵图，感兴趣的读者可以访问MITRE ATT&CK网站，单击导航栏“矩阵（Matrices）”，查看详细信息。