图1 转发文章参与赠书活动吧

在《ATT&CK框架实践指南》第2版中，除了根据V12版本更新基本信息外，我们主要围绕ATT&CK框架新增/更新了以下10大内容版块。

对于组织机构来讲，内部恶意人员是一种特殊威胁。现代企业网络注重抵御外部威胁，但往往默认信任内部人员。然而，这种信任给了内部人员滥用权限的机会，可能导致数据窃取、系统破坏等恶意行为，给企业带来经济、运营和声誉损失。因此，检测和缓解内部威胁成为网络安全领域的难题。

研究内部威胁的应对措施非常困难，其主要原因在于：首先，SOC和内部威胁分析人员需要了解每个内部人员可能使用的技术威胁以及相应的安全控制措施。其次，制定统一的防范措施困难，需要共享和分析整个行业的数据，但许多组织不愿分享有关内部事件的信息。这些事件可能导致声誉、经济或运营重大损失，并暴露组织在网络安全技术上的薄弱点。由于这些原因，即使组织发生内部事件，它们也不愿公开相关信息，以避免揭示弱点给其他潜在威胁行为者。为解决这一难题，MITRE威胁防御中心（CTID）开发了针对IT环境中内部威胁的TTPs公开知识库，可帮助网络防御者更好地检测和缓解内部威胁。

图2 内部威胁TTPs热图

在日常的网络安全运营中，安全运营人员不仅需要知道自己面对哪些安全威胁，知道阻止或者防御这些安全威胁的相关对策，还需要了解这些对策是做什么的、如何实现的，以及是否具有局限性。在这种情况下，MITRE D3FEND 知识图谱应运而生，它将防御性战术和技术以表格的形式呈现出来，并明确说明了其层次结构：

图3 MITRE D3FEND 知识图谱

随着技术进步，软件供应链变得越来越复杂。现代应用主要是由开源库中的代码和内部开发团队编写的代码结合创建的。这种扩展使得软件能够更快地发布，但也因协作团队和工具增多，导致复杂性大大提高，给安全带来巨大风险。数字化转型加速，保护软件供应链安全迫在眉睫。2023 年 2 月，OX 安全团队宣布正式发布 OSC&R（开放式软件供应链攻击参考框架），这是第一个也是目前唯一一个评估软件供应链安全的开源框架，为了解攻击者的行为和技术提供了一个全面、系统、可落地的方法。该框架按照攻击者使用的战术、技术和步骤（TTPs）组织排列，涵盖了大量的攻击向量，并重点关注攻击过程。安全团队可以利用该框架评估现有防御措施，了解自身的脆弱性和应重点改善的地方，并跟踪攻击组织的攻击行为。

图4 开放式软件供应链攻击参考框架OSC&R

长期以来，MITRE ATT&CK的高级用户一直在努力将其组织内的TTPs知识库与公开的ATT&CK知识库结合起来。ATT&CK Workbench项目降低了防御者在这方面的难度，确保可以将他们的威胁情报与公开的ATT&CK知识库拉齐。Workbench是一个简单易用的开源工具，能够帮助企业管理和扩展他们自己的本地ATT&CK，同时与ATT&CK知识库保持同步更新。用户可以利用Workbench探索、创建、注释和分享ATT&CK知识库。组织或个人可以启动自己的应用实例作为定制化ATT&CK知识库的核心，并根据需要添加其他工具和接口。通过Workbench，用户可以增加或更新技术、战术、缓解措施、攻击组织和攻击软件等本地知识库内容。此外，用户还可以通过Workbench与更广泛的ATT&CK社区分享他们扩展的内容，促进社区内更高水平的合作。简而言之，Workbench 有三大功能：

图5 Workbench三大功能示意图

由于网络失陷往往是不可避免的，防守方可以通过对抗作战来确保失陷并不一定会造成损失。MITRE Engage主动作战框架有助于规划和执行对抗作战战略和战术。Engage矩阵分为战略活动和作战活动两类。战略活动包括下图中两端的黄色部分，旨在确保防守方按照规划推动行动，并在确定的规则范围内进行。作战活动是针对攻击者采取的具体技术。Engage矩阵进一步细分为作战目标、作战方法和作战活动，用于实现高层次的结果并推动作战目标的实现。随着作战逐渐深入，用户需要不断调整作战活动以实现目标。

图6 Engage 矩阵中的作战目标、作战方法与作战活动

防守方在跟踪攻击行为时，往往一次只关注一个具体行动。诚然，这是采取威胁防御的第一步，但攻击者会使用一系列技术来实现其目标。了解这一系列技术的背景信息以及它们之间的关系，可以实现额外的防御能力，让防御更有效。Attack Flow开发了一种用于描述攻击行为序列的数据格式。通过Attack Flow，安全社区可以可视化、分析和分享行动序列及受影响的资产，从而促进我们对攻击威胁和威胁处理方式的理解。图7 展示了勒索软件Conti 的一个完整攻击流程示例。【不要问，问就是在新书里，赶快去文末领书吧】

图7 勒索软件 Conti 的完整攻击流程图

虽然企业知道强大的安全解决方案是必不可少的，但要确定什么是最好的安全解决方案并非易事。安全解决方案提供商和用户之间往往存在信息脱节的情况，特别是在这些解决方案如何解决真实威胁这一方面。ATT&CK测评旨在旨在以公平透明的方式客观地评估安全厂商是否具有他们所说的安全能力。ATT&CK测评可以评估安全厂商产品在防御攻击行为方面的水平，为安全厂商提供无偏见的反馈，使其能够清楚了解自身技术水平和能力的限制，并不断改进解决方案，推动网络安全的防御建设。MITRE会与每个安全厂商独立合作，了解其威胁检测方式，测评结果不涉及竞争性分析，不包含分数、排名或评级，但会向公众公布测评方法和结果。ATT&CK测评结果会提供关键的背景信息，包括具体的实施细节和时间，有助于组织机构选择适合的安全厂商产品，并更有效地利用这些产品的功能。截至目前，ATT&CK 测评提供四类测评：ATT&CK for Enterprise测评、ATT&CK for ICS测评、托管服务测评及欺骗类测评。其中，ATT&CK for Enterprise测评发展得最久的测评项目，截至目前已经进行了四轮测评，第五轮测评正在进行中。

图8 ATT&CK for Enterprise测评（2022）的技术范围

攻击模拟是通过模拟真实世界的攻击行为来测试网络安全防御能力的方法，旨在评估组织对高级威胁和APT的应对能力。攻击模拟可以帮助组织发现安全漏洞、修复弱点、提高员工的安全意识以及改进安全策略和流程。攻击模拟通常由红队或紫队负责，他们模拟真实攻击者使用的战术、技术和步骤（TTPs），利用真实的威胁情报进行攻击，以便检测组织的安全措施是否足够强大以及响应能力是否快速有效。攻击模拟可分为三种不同类型：全流程模拟、微模拟和原子测试。全流程模拟包括多个攻击阶段和多个技术，在攻击过程中模拟出真实的攻击场景。微模拟则专注于某一具体攻击阶段或技术的模拟，以深入理解它们的影响和后果。原子测试则是单一技术的模拟，主要用于检测特定漏洞或弱点。虽然有许多不同的框架可用于开展模拟攻击练习，不过，由于 MITRE ATT&CK 框架是根据真实攻击行为形成的广泛知识库，它成为很多人开展模拟攻击的参考框架。本次更新对三种不同类型的模拟进行了详细介绍。

图9 微模拟与原子测试、全流程模拟的对比

在与ATT&CK框架进行映射时，通常有两种常用方式：根据事件报告进行映射；根据原始数据进行映射。在根据事件报告进行映射时，分析人员需要通过搜索表示攻击行为的迹象而非IoC、哈希值、URL、IP等工件来找出攻击行为，然后根据上下文信息研究攻击行为，将攻击行为转化为战术，并最终确定适用于该行为的技术和子技术。在根据原始数据进行映射时，分析人员可以从数据源入手来分析攻击者的攻击对象、操作步骤和攻击方式；也可以从特定的工具或属性入手，然后逐步扩大范围，确定攻击的攻击技术；也可以从制定分析方案入手，进行数据关联和检测分析。

图10 ATT&CK映射实践的两种常用方式

在网络安全领域，虽然基于签名和基于异常的检测方法被广泛应用，但存在各自的局限性。越来越多的实验数据表明，采用基于攻击战术、技术和步骤（TTPs）的威胁狩猎方法可以更加有效地检测恶意活动。这种方法利用攻击者所使用的有限技术、系统以及攻击方式来筛选和收集数据，并且投资成本相对较低，效率更高。这三种不同的检测方法并不是相互排斥的，而是相互补充的，但采用基于TTPs的威胁狩猎方法可以带来更大的收益。如下图所示，基于TTPs的威胁狩猎方法有两个组成部分：恶意活动表征和威胁狩猎执行。这两部分都是持续的活动，根据关于攻击者和攻击形势的新信息不断地更新。

图11 信息的更新流程

青藤连续多年参与攻防实战，几乎覆盖了所有参演单位，并为多家单位担任主防。在一线的攻防实战经验中，青藤总结了一份自己的《MITRE ATT&CK框架（攻防实战版本）》。在攻防实战来临之际，相信这份作战指挥图定能为您迎接挑战助一臂之力。【不要问，问就是在新书里，赶快去参加文末的领书活动吧】

图12 MITRE ATT&CK框架（攻防实战版本）