MITRE ATT&CK（敌方战术、技术和常识）是由 MITRE Corporation 开发的框架、数据矩阵集和评估工具，可帮助企业了解其安全状况并发现其防御中存在的漏洞。

MITRE ATT&CK 框架的开发始于 2013 年，它使用真实的观察结果来记录特定的攻击方法、战术和技术。当新的漏洞和攻击面出现时，它们会被添加到 ATT&CK 框架中，因此该框架一直不断发展。在过去几年中，MITRE ATT&CK 框架及其矩阵已成为与攻击者行为相关的知识和修复工具的行业标准。

ATT&CK 矩阵被广泛的 IT 和安全专业人员使用，包括扮演攻击者或竞争对手角色的红队人员、威胁追踪者、安全产品开发工程师、威胁情报团队和风险管理专业人员。

红队成员使用 MITRE ATT&CK 框架作为蓝图，以帮助发现企业系统和设备中的攻击面和漏洞，并通过了解相关信息，提高在发生攻击后抑制攻击的能力。这些信息包括攻击者获得的访问权限、他们如何在受影响的网络中移动，以及使用了哪些方法来逃避检测。企业利用此工具集能够更好地了解其整体安全状况，识别和测试防御漏洞，并根据潜在安全漏洞给企业带来的风险来确定安全漏洞的优先级。

威胁追踪者使用 ATT&CK 框架来找出攻击者针对其防御所使用的特定技术之间的关联，并使用该框架来了解他们是否有能力发现以其端点和整个网络边界的防御为目标的攻击。

安全平台开发人员和工程师使用 MITRE ATT&CK 作为工具来评估其产品的有效性，发现以前未知的薄弱环节，以及对其产品在网络攻击生命周期中的行为进行建模。

MITRE ATT&CK 是 MITRE Adversarial Tactics, Techniques, and Common Knowledge 的缩写。MITRE ATT&CK 框架是一个精心打造的存储库，其中包括提供网络攻击行为模型的矩阵。此框架通常以表格形式呈现，其中列表示攻击期间使用的战术（或预期结果），行表示用于实现其战术目标的技术。此框架还记录了各个技术的用法以及与各项技术关联的其他元数据。

MITRE ATT&CK 框架是 MITRE 实验的产物，该实验模拟攻击者和防御者以帮助了解攻击如何发生，并使用遥测感知和行为分析来改进入侵后的检测。为了更好地了解业界在检测所记录的敌方行为方面的表现，他们创建了 ATT&CK 框架作为对这些行为进行分类的工具。

当前，ATT&CK 框架主要由四个矩阵组成。Pre-ATT&CK 和 ATT&CK 企业版都与针对企业基础架构的攻击有关。

PRE-ATT&CK：在企业受到攻击之前，恶意攻击者进行的许多活动（例如侦察和资源开发）通常都是在企业可觉察范围之外完成的，因此在这个阶段，很难检测到这些攻击前的战术和技术。例如，网络攻击者可能会利用 Internet 上可随意获取的信息、企业与其他已遭入侵企业的关系或其他方法来尝试访问。防御企业利用 PRE-ATT&CK 能够更好地监控和了解发生在其网络边界之外的攻击前活动。

ATT&CK 企业版：ATT&CK 企业版提供了一个模型，其中详细说明了网络攻击者可能会采取哪些行动，来入侵企业网络并执行破坏活动。矩阵中提供了针对各种平台的特定战术和技术，这些平台包括 Windows、macOS、Linux、Azure AD、Office 365、Google Workspace、SaaS、IaaS、网络和容器。PRE-ATT&CK 矩阵最初属于 ATT&CK 企业版的一部分，因为前者也侧重于入侵企业基础架构。企业版框架可帮助特定企业确定其网络防御的优先级，以专注于会对其企业带来最大风险的入侵。

ATT&CK 移动版：ATT&CK 移动版矩阵描述了用于入侵 iOS 和 Android 移动设备的战术和技术。为此，ATT&CK 移动版基于 NIST 的移动威胁目录而构建，截至本文撰稿之日，该矩阵已收录了十几种战术和 100 多种技术，它们被恶意攻击者用于影响移动设备并实现其想要实现的恶意目标。此外，ATT&CK 移动版还列出了基于网络的效果 - 无需访问实际设备即可使用的战术和技术。

ICS ATT&CK：ATT&CK 系列中的最新矩阵是针对工业控制系统 (ICS) 的 MITRE ATT&CK 矩阵，此矩阵与 ATT&CK 企业版类似，不同的是它专门面向工业控制系统，例如电网、工厂、制造厂以及其他依赖于互联机械、设备、传感器和网络的企业。

每个矩阵都包含在整个敌方攻击生命周期中用于每种战术的每种技术的详细说明、每种技术的目标资产和系统，并指出每种技术的抑制和应对方法、用于发现该技术的检测分析以及现实中的使用示例。

查看矩阵时，战术以线性方式呈现，描述了攻击生命周期，从侦察点开始一直到最终目标，无论目标是窃取信息、加密文件以进行勒索，还是其他恶意操作。

ATT&CK 框架的主要优势在于，企业可以了解攻击者的运作方式，以及他们为获得初始访问权限、发现、横向移动、窃取数据而可能计划采取的步骤。这样，团队可以从攻击者的视角看攻击活动，从而更深入地了解攻击者的动机和战术。最终，企业可以利用所获得的理解和知识来确定其安全状况中的漏洞，以及改善威胁检测和响应，并通过使其团队能够预测攻击者的后续行动，从而快速补救。体育界常说，最好的防守就是进攻，而在网络安全领域，了解进攻的具体部署可以极大地帮助为网络、设备和用户提供防御。

此外，在当前的工作环境中，网络安全方面的技能严重短缺，这些框架可以为初级或新聘用的安全人员提供帮助，为他们提供所需的知识和研究工具，使他们能够利用之前为 MITRE ATT&CK 框架矩阵做出贡献的所有安全专业人员的集体知识，从而快速应对任何给定的威胁。

随着 ATT&CK 矩阵的数量和规模不断增加，矩阵也变得越来越复杂。框架中战术和技术的排列组合虽然非常全面，但由于需要消化和处理的数据量巨大，可能会让人不堪重负。

例如，ATT&CK 企业版中描述的 14 种战术下列出了 400 多种不同的技术或攻击模式。其中许多技术还包含会进一步增加排列组合数量的子技术。许多企业尚未将所有数据自动映射到其当前的安全基础架构，这会是一项艰巨的任务。

UC Berkely 最近进行的一项研究发现，尽管几乎所有企业都使用该框架来标记各种安全产品的网络事件，但只有不到一半的受访者能够自动执行框架所指示的安全策略更改。

其他挑战包括难以将云端事件与本地事件关联起来，或者无法关联移动设备和端点中的事件。

美国网络安全与基础架构安全局 (CISA) 近期发布了一份报告，其中列出了企业利用 MITRE ATT&CK 框架将攻击与修复和保护技术对应起来的最佳实践。尽管研究发现大型企业组织正在采用该框架，但大多数用户认为，他们当前的安全产品无法检测到 ATT&CK 矩阵中与其基础架构相关的所有已知威胁。