ATT&CK背景

MITRE是美国政府资助的一家研究机构，该公司于1958年从MIT分离出来，并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。MITRE在2013年推出了ATT&CK模型。

ATT&CK是什么

MITRE ATT&CK是一个针对网络对手行为的精心策划的知识库和模型，反映了对手攻击生命周期的各个阶段以及他们已知的目标平台。ATT&CK专注于外部对手如何在计算机信息网络中妥协和操作。

它起源于一个项目，该项目记录并分类了入侵后针对微软Windows系统的对手战术、技术和程序(TTPs)，以提高对恶意行为的检测。后来它发展到包括Linux和macOS，并扩大到涵盖导致环境妥协的行为，以及技术重点领域，如移动设备、基于云的系统和工业控制系统。从高层次上讲，ATT&CK是一种行为模型，它由以下核心组件组成：
•战术，表示攻击期间的短期、战术对手目标；
•技术，描述对手实现战术目标的手段；
•子技术，描述对手在比技术更低的层次上实现战术目标的更具体的手段；
•记录对手使用的技术，他们的过程，和其他元数据。ATT&CK并不是针对软件的攻击向量的详尽列举。

详细见MITRE官方文档，翻译文件见我的资源

ATT&CK矩阵

最为知名的就是ATT&CK矩阵了，下图是从官网截取的。上面介绍了红队攻击的每一步流程。

看不懂的可以google翻译下

ATT&CK 主要用于以下四个用例：威胁情报、检测和分析、对手仿真和红队，以及评估和工程。每个用例都有不同的复杂级别。
官网也给出了这四个用例的教程：https://medium.com/mitre-attack/getting-started/home

ATT&CK导航栏：https://mitre-attack.github.io/attack-navigator/
可以选择每一个流程的特征进行分析

使用场景

（1）对抗模拟

ATT＆CK可用于创建对抗性模拟场景，测试和验证针对常见对抗技术的防御方案。

（2）红队/渗透测试活动

红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT＆CK，以便防御者和报告接收者以及其内部之间有一个通用语言。

（3）制定行为分析方案

ATT＆CK可用于构建和测试行为分析方案，以检测环境中的对抗行为。

（4）防御差距评估

ATT＆CK可以用作以行为为核心的常见对抗模型，以评估组织企业内现有防御方案中的工具、监视和缓解措施。在研究MITRE ATT＆CK时，大多数安全团队都倾向于为Enterprise矩阵中的每种技术尝试开发某种检测或预防控制措施。虽然这并不是一个坏主意，但是ATT＆CK矩阵中的技术通常可以通过多种方式执行。因此，阻止或检测执行这些技术的一种方法并不一定意味着涵盖了执行该技术的所有可能方法。由于某种工具阻止了用另一种形式来采用这种技术，而组织机构已经适当地采用了这种技术，这可能导致产生一种虚假的安全感。但是，攻击者仍然可以成功地采用其他方式来采用该技术，但防御者却没有任何检测或预防措施。

（5）SOC成熟度评估

ATT＆CK可用作一种度量，确定SOC在检测、分析和响应入侵方面的有效性。SOC团队可以参考ATT＆CK已检测到或未涵盖的技术和战术。这有助于了解防御优势和劣势在哪里，并验证缓解和检测控制措施，并可以发现配置错误和其他操作问题。

（6）网络威胁情报收集