MITRE的ATT&CK评估由紫队专家构建，围绕已知对手行为的能力的关键上下文设计。评估的整个过程由3个阶段的9个步骤构成：

一、设计

选择威胁（事件、组织、恶意软件等）；创建仿真计划；开发仿真

二、执行

访问环境；部署解决方案；进行评估

三、发布

处理结果；接收反馈；发布结果

因为厂商之间描述信息的方式有差异，所以MITRE抽象了一个标准来衡量。MITRE定义了两类检测类型，主要分为两类：主要检测类型、修饰词（modifier）

官方认为遥测也属于检测的一部分，不过这估计得是存储足够日志+有专业人士的前提下。

主要保护类型则比较简单，只有三类，受保护、没有、不适用

仿真对象：Turla(G0010)

别名：IRON HUNTER, Group 88, Belugasturgeon, Waterbug, WhiteBear, Snake, Krypton, Venomous Bear

国内代号：APT-Q-78、APT-C-29

Turla简介：

Turla是一个总部位于俄罗斯的威胁组织，自2004年以来，该组织已感染了45多个国家的受害者，涉及政府、大使馆、军事、教育、研究和制药公司等多个行业。2015年活动有所增加。Turla以开展水坑和鱼叉式网络钓鱼活动以及利用内部工具和恶意软件而闻名。Turla的间谍平台主要用于Windows机器，但也被用于macOS和Linux机器。

本次评估仿真的两个场景名为Carbon、Snake，主要步骤如下：

以上两个场景一共19步操作。和国内安全验证厂商倾向于在甲方客户对乙方标准产品一个个case测试不同。ATT&CK评估是从攻击者视角，按照一定逻辑开展，映射ATT&CK子技术143项。Linux是本次评估的重点，但只占评估的一小部分。除了这两个场景的检测，评估还单独评估了保护能力，一共13步，映射子技术129项。厂商也可以不参加Linux平台、保护能力的评估。

和往次评估一样，本次评估还是使用Microsoft Azure云服务进行，MITRE Engenuity说明其可视为一个本地环境，网络环境见下图：

评估使用的技术细节、工具源码、Yara规则已开源在Github，链接见文末。

厂商评估结果

• https://github.com/center-for-threat-informed-defense/adversary_emulation_library/blob/master/turla/README.md

• https://attackevals.mitre-engenuity.org

• https://mitre-evals.kb.europe-west1.gcp.cloud.es.io:9243

• https://app.powerbi.com/view?r=eyJrIjoiNWRhYzY1YjItOTAxZC00MGM5LThlNzYtOTYxNzViYzM1ZGY2IiwidCI6IjgyOTNjZmRmLThjMjQtNDY1NS1hMzA3LWVhMjFjZDNiMjJmZiIsImMiOjF9

• https://medium.com/mitre-engenuity/making-sense-of-att-ck-evaluations-data-42ca844940b9