MITRE ATT&CK 是如何改进、调整和发展的？

MITRE ATT&CK 不断发展，这表明该组织致力于不断改进和调整威胁情报，以帮助安全小组应对网络攻击。ATT&CK 矩阵被越来越多地用作网络安全知识库以及识别攻击者和战术的首选资源，这充分说明了它在增强组织安全态势方面的价值。

ATT&CK 是 "对抗性战术、技术和常识 "的缩写，概括了其作为了解和打击网络威胁的工具的作用。该框架的命名突出了其在网络安全方面提供深入、可操作情报的承诺。

作为一个全面的网络安全框架，MITRE ATT&CK 不断发展和调整，以配合网络威胁团体的步伐，提供有效的威胁检测和应对措施。MITRE ATT&CK 提供有关网络对手不断变化的战术、技术和共享知识（有关程序的信息）的真实信息，以实现快速有效的防御。

MITRE ATT&CK 框架的三个主要组成部分是什么？

ATT&CK 框架由三个相互关联的要素组成：战术、技术和程序（TTPs）。它有多个 ATT&CK 矩阵，每个都针对不同的环境。其中包括企业、移动、云和工业控制系统（ICS）矩阵。MITRE 矩阵为安全小组提供了深入了解网络威胁和威胁参与者采用的 TTP 的途径，并按漏洞进行了分类。

在每个矩阵中，列表示战术，行表示技术，单元格提供补充细节，如程序、小组、软件和每种特定技术的相关缓解措施。

MITRE 框架定期更新，以适应现实世界中不断变化的网络威胁形势，是网络安全专业人员的重要资产。它增强了威胁情报、检测和响应能力。

MITRE ATT&CK 框架围绕三个主要组成部分展开，这些组成部分是最新的，可支持多种用例，包括对手行为洞察和事件响应。

战术

战术概括了潜在网络威胁渴望实现的战略目标，包括获取初始访问、执行、持续参与、权限升级、逃避防御、凭证访问、发现、横向移动、数据收集、外渗、权限升级以及建立指挥和控制。

技术

技术详细说明了威胁参与者为实现战术目标而采用的独特方法。每种技术都能让人深入了解对手将如何努力完成特定战术。

例如，在 "侦察 "战术下，矩阵中包含的几种技术是主动扫描（例如，为初始访问做准备，子技术--扫描 IP 块）、收集受害者身份信息（例如，用于鱼叉式网络钓鱼，子技术--电子邮件地址）和信息钓鱼（例如，凭证式网络钓鱼，子技术--鱼叉式网络钓鱼链接）。

程序

程序指的是对手为达到战术目的而实施某种技术时所采取的行动或步骤。不同威胁参与者采用的程序各不相同，展示了他们所使用的工具、命令和恶意软件（如勒索软件）。

MITRE ATT&CK 框架的历史

MITRE ATT&CK 从一开始就由社区驱动，最初是作为 MITRE 米德堡实验 (FMX) 的维基站点启动的。在这次实验中，网络安全研究人员仿真了对手（红方）和防御方（蓝方）的行为，以了解如何更好地防范网络威胁。这项实验有助于形成该框架及其对真实世界可观测性的关注，包括对手检测。

第一版包括九种战术，反映了对手网络攻击生命周期的各个阶段。随着时间的推移，该框架不断发展壮大，已成为全球可访问的关于对手战术和新网络攻击技术的知识库。

MITRE ATT&CK 框架为弥合安全小组与其他网络利益相关者之间的差距提供了一种共同语言。

MITRE ATT&CK 简要年表

• 2013: MITRE ATT&CK：网络安全框架提供了高级持续威胁针对 Windows 企业网络所使用的通用战术、技术和程序 (TTP)。
• 2015: 企业版 ATT&CK：发布了第一版 ATT&CK 企业矩阵。它提供了一种有条理、有组织的方式来了解针对企业环境的敌对策略和技术。
• 2017: 斜切预铆接：MITRE PRE-ATT&CK 框架解决了社会各界对网络对手在获取访问权限之前的所作所为的担忧。它详细介绍了对手用来选择目标、获取信息和发起行动的战术、技术和程序 (TTP)。
• 2017: MITRE ATT&CK 移动矩阵：MITRE 移动矩阵旨在涵盖涉及设备访问和网络效应的技术，这些技术可被没有设备访问权限的对手使用。从那时起，它已被多次更新，以反映用于侦测试图入侵 iOS 和 Android 移动设备的网络对手的不断变化的 TTP。
• 2019: MITRE ATT&CK Matrix for Cloud Matrix； 通过 MITRE Cloud Matrix，安全小组获得了对威胁参与者针对云环境采用的各种 TTPs 提供有组织的全面了解的途径。矩阵包含 Azure Active Directory、Office 365、Google Workspace、SaaS 和 IaaS 信息。
• 2019: MITRE ATT&CK 子技术：含子技术的 MITRE ATT&CK Beta 版已公开发布。子技术提供了更细化的细节，通过将技术细分为具体的变体或方法，可以更细致地了解对手的运作方式。
• 2019: MITRE Engenuity ATT&CK 评估：MITRE Engenuity ATT&CK 评估提供了结构化流程和框架，用于评估网络安全产品和解决方案在现实世界中检测和减轻对手战术和技术的有效性。通过 ATT&CK 评估，供应商能够展示其安全产品应对特定威胁场景的能力。
• 2021: MITRE 增加了 macOS 和更多数据类型：针对社区的意见，MITRE 增加了对影响苹果 macOS 和容器的威胁信息的支持。它还允许更多的数据源和关系。

MITRE ATT&CK 框架持续发展，以应对不断变化的网络威胁。定期更新、引入新矩阵和附加功能，以加强该框架对网络安全界的相关性和实用性。

MITRE ATT&CK 和云安全

扩展 MITRE ATT&CK 框架，将云安全纳入其中，是适应不断变化的网络安全形势的重要举措。这一演变表明，MITRE ATT&CK 有能力在面对新兴技术和威胁时保持相关性和有效性。

MITRE ATT&CK 在云安全中的作用

MITRE ATT&CK 纳入了针对云的矩阵，概述了攻击者针对云服务使用的战术和技术。这一新增功能对于帮助组织识别和抵御 API 利用、云服务配置错误和跨租户攻击等云基础设施特有的威胁至关重要。

该框架的云适应性使网络安全专家能够根据云环境的复杂性调整防御机制，提供更强大、更有针对性的安全方法。

MITRE ATT&CK 的挑战与未来

随着数字环境的演变，MITRE ATT&CK 等框架也面临着同样的挑战。这些挑战对于塑造该框架的持续发展和有效性至关重要。

当前的挑战

如何跟上威胁参与者快速演变的复杂战术，仍然是一项重大挑战。该框架必须持续更新，以反映新技术和新对策。

另一个挑战在于如何保持其全球适用性，确保其在各行各业和 IT 环境中保持相关性。结合本地部署、云和移动基础设施的混合环境日益复杂，使这项任务变得更加复杂。

MITRE ATT&CK 常见问题解答的演变