MITRE ATT&CK (對抗策略、技巧和常見知識) 為 MITRE Corporation 公司所開發的架構、資料矩陣和評估工具，旨在協助企業瞭解自身的安全性整備度，並找出其防禦機制的弱點。

MITRE ATT&CK 架構於 2013 年問世，致力於運用對真實環境的觀察，記錄特定的攻擊手法、策略和技巧。ATT&CK 架構會收錄層出不窮的嶄新弱點和攻擊範圍，不斷與時俱進。過去幾年，MITRE ATT&CK 架構及其矩陣，已晉升囊括攻擊者行為知識和修復工具的業界標準。

ATT&CK 矩陣廣為 IT 和安全性專業人員所用，包括負責扮演攻擊者或競爭對手等角色的攻擊團隊、威脅搜尋人員、安全性產品開發工程師、威脅情報團隊，以及風險管理專業人員。

攻擊團隊會使用 MITRE ATT&CK 架構做為藍圖，藉此找出企業系統和裝置中的攻擊範圍及弱點，並透過汲取資訊的方式，著手提升在遭受攻擊後減輕其影響層面的能力。這會包括攻擊者取得的權限、對方如何在受影響的網路中移動，以及採用哪些方法規避偵測。這個工具集可協助企業進一步掌握整體安全態勢、識別和測試防禦機制的落差，並依照對企業帶來的風險排定潛在安全性落差的優先順序。

威脅搜尋人員會使用 ATT&CK 架構，找出攻擊者對其防禦機制採用的特定技巧之間有何關聯性，並使用該架構來掌握哪些攻擊活動將其端點和整體網路周邊的防禦機制，做為攻擊目標。

安全性平台開發人員和工程師則會將 MITRE ATT&CK 做為工具，以評估自身產品的效果、找出先前未知的弱點，並模擬自身產品在網路攻擊生命週期的行為。

MITRE ATT&CK 為「MITRE 對抗策略、技巧和常見知識」(Adversarial Tactics, Techniques, and Common Knowledge) 的縮寫。MITRE ATT&CK 架構為精選的存放庫，當中包含多個矩陣，可提供網路攻擊行為模式。該架構通常會以表格的方式呈現，直欄代表在攻擊生命週期中使用的策略 (或想要的結果)，橫列則表示用來達成策略目標的技巧。此外，該架構也會記錄技巧的使用方式，以及與個別技巧相互連結的其他中繼資料。

MITRE ATT&CK 架構是某項 MITRE 實驗的產物，該實驗的目的在於模擬攻擊者和防禦者，以協助瞭解攻擊如何發生，並使用遙測感應和行為分析來改善入侵後的偵測機制。針對記錄在案的惡意行為，為更瞭解業界偵測這些行為的成效，該公司建立了 ATT&CK 架構，並使用這項工具將上述行為分門別類。

目前，ATT&CK 架構涵蓋四個主要矩陣。ATT&CK 前置作業 (Pre-ATT&CK) 和企業 ATT&CK (ATT&CK for Enterprise)，皆與企業基礎架構息息相關。

ATT&CK 前置作業：惡意人士在入侵企業前進行的許多活動 (例如偵察和資源開發)，皆不在企業能見度的所及範圍之內；因此，這些攻擊前置作業的策略和技巧，往往難以及時遭到偵測。舉例來說，網路攻擊者可能會利用網際網路上免費提供的資訊、與其他已遭入侵企業的關係，或是其他手法，以試圖取得存取權限。ATT&CK 前置作業可讓處於防守方的企業，進一步監控和瞭解這些發生於網路周邊外部的攻擊前置作業活動。

企業 ATT&CK：企業 ATT&CK 可提供模型，以詳細列出網路攻擊者可能採取哪些行動來入侵企業網路，並於當中展開活動。這個矩陣提供的具體策略和技術適用於眾多平台，包括 Windows、macOS、Linux、Azure AD、Office 365、Google Workspace、軟體即服務、基礎架構即服務、網路和容器。由於 ATT&CK 前置作業矩陣也聚焦於試圖入侵企業基礎架構的層面，因此原先就包含在企業 ATT&CK 中。企業架構可協助企業排定其網路防禦機制的優先順序，進而著重在為該企業帶來最大風險之處。

行動裝置 ATT&CK：行動裝置 ATT&CK 矩陣旨在說明，入侵 iOS 和 Android 行動裝置的所用策略及技巧。因此，行動裝置 ATT&CK 會以 NIST 的行動裝置威脅目錄 (Mobile Threat Catalogue) 為基礎，該目錄囊括惡意人士用來達成各種不法目標的數十個策略和上百個技巧。此外，行動裝置 ATT&CK 也列出了網路式效果，也就是無需存取實際裝置，就能遭到利用的策略和技巧。

工業控制系統 ATT&CK：工業控制系統 (ICS) MITRE ATT&CK 矩陣為 ATT&CK 系列的最新矩陣，內容雖與企業 ATT&CK 十分相似，卻專門運用在工業控制系統上，包括電力網路、工廠、製造廠，以及仰賴彼此互連之機械、裝置、感應器和網路的其他組織。

每個矩陣都會詳細說明對抗攻擊生命週期內各個策略所採用的每項技術，以及每項技術所適用的系統；另外也會指出每項技術的風險降低措施和對策、用來找出所用技術的偵測分析，以及真實環境的使用範例。

檢視矩陣時，當中的策略會以線性化方式呈現，以說明以偵察為始，到達成最終目標為止的攻擊生命週期；無論目標為外洩資料、用於勒索的加密檔案，還是其他惡意活動。

ATT&CK 的主要優勢，在於可讓企業瞭解對手如何運作，以及對方會採取哪些步驟，取得初步存取權限、橫向移動並外洩資料。此舉可讓團隊從攻擊者角度來檢視活動，以更妥善地掌握對方的動機和策略。最後，企業可運用相關的理解和知識，找出其安全態勢中的落差，並協助團隊預測攻擊者的下一步，藉此快速進行修正，繼而改善威脅偵測與回應。在運動賽事中，良好的防守往往為對抗敵手的最佳途徑，而在網路安全領域中，深入瞭解目前部署的防守措施，則對網路、裝置和使用者防禦機制大有助益。

此外，現行的網路環境正面臨嚴重的網路安全技能短缺，這些架構可為資歷尚淺或新進的資安專業人員，提供必要的知識和研究工具，以協助他們快速運用所有專業資安前輩為 MITRE ATT&CK 架構矩陣集思廣益而成的知識結晶，藉此應對眼前的任何威脅。

隨著 ATT&CK 矩陣在規模和數量上持續增長，內容也變得更加複雜。儘管架構所含策略和技巧的排列組合相當詳盡，由於待消化或處理的資料量相當龐大，所需心力極為可觀。

舉例來說，目前，企業 ATT&CK 的 14 項策略，共有超過 400 個不同的技巧或攻擊模式。當中的多項技巧皆涵蓋子技巧，因而衍生了大量的排列組合。讓矩陣中的所有資料與現行的安全性基礎架構自動對應，是一項十分浩大的工程，而許多企業仍無法做到這點。

加州大學柏克萊分校的近期研究顯示，儘管絕大多數的企業會使用該架構來標註網路事件和各種安全性產品，但只有半數不到的受訪者，會自動執行架構所指明的安全性原則變更。

其他挑戰還包括：難以建立雲端式和地端事件的關聯性，或是無法建立行動裝置和端點事件的關聯性。

美國網路安全暨基礎設施安全局 (CISA) 的近期報告提供了一份最佳實踐方式清單，可協助企業運用 MITRE ATT&CK 架構，將攻擊及其修復及保護技巧相互對應。雖然該研究發現，大型企業早已採用此一架構，但多數使用者皆不認為現行安全性產品可在 ATT&CK 矩陣中，偵測與自身基礎架構相關的所有已知威脅。