ATT&CK模型由MITRE公司于2013年创建。MITRE是一个面向美国政府提供系统工程、研究开发和信息技术支持的非盈利性组织。我们所熟知的CVE、CWE、CVSS等安全标准规范都是出自该组织之手。

ATT&CK是由MITRE创建并维护的一个对抗战术和技术的知识库，全称 Adversarial Tactics, Techniques, and Common Knowledge, 简称ATT&CK。ATT＆CK是针对网络攻击行为的精选知识库和模型，反映了攻击者攻击生命周期以及各个攻击阶段的目标，由以下核心组件组成:

战术（Tactics）：表示攻击过程中的短期战术目标；

技术（Techniques）：描述对手实现战术目标的手段；

子技巧（Sub-Techniques）：描述对手在比技术更低的级别上实现战术目标的技术手段。

现阶段ATT&CK将已知的攻击行为分为12个战术、156个技术和272个子技术；

“战术”、“技术”和“子技术”之间的关系通过ATT&CK矩阵实现可视化。

“战术”就是“目标”，从某种意义上讲“战术”就是“技术”执行的意义，也是对手执行具体攻击技术的原因；“战术”是个别“技术”的上下文类别，涵盖了对手在行动过程中所做事情的标准表示法，例如持久性（Persistence）、发现（Discovery）、横向移动（Lateral Movement）、执行（Execution）和泄露（Exfiltration）等。“战术”也被视为ATT&CK中的标签，不同的“技术”或“子技术”如果实现相同的目的就会被打上同一个“战术”的标签；每个“战术”都有一个定义描述了该类别，并作为“技术”的分类依据。例如：“执行”被定义为一种表示“导致在本地或远程系统上执行敌对控制代码”的“(子)技术”的“战术”，这种“战术”通常与“初始访问”一起使用，作为一旦获得访问就执行代码的手段，以及横向移动以扩展对网络上远程系统访问。

“技术”代表着一个对手如何通过执行一个行动来达到一个“战术”目标。例如，对手可能从操作系统转储凭据，以获得对网络中有用凭据的访问权。

“技术”也可以代表一个对手通过执行一个动作所获得的“什么”，对于“发现（Discovery）”战术来说，这是与其他“战术”最大的区别，因为这些技术可以突出对手通过特定行动获得的信息类型。

实现“战术”目标的方法或技术可能很多，因此每个“战术”类别中都有多种“技术”。同样，可能有多种方法来执行一项“技术”，因此一项“技术”下可能有多种不同的“子技术”。

要完成一次成功的进攻，仅仅有好的“战术”和“技术”是不够的，攻击者需要使用一种称为“过程”的特殊动作序列来执行其攻击周期中的每一步。在ATT＆CK中，“过程”是对手用于“技术”或“子技术”特定的实施方式。

还需要注意的”过程“可以跨越多种“技术”和“子技术”。例如，攻击者用于“转储凭据”的“过程”包括PowerShell、Process Injection和LSASS Memory，它们都是不同的行为，所以“过程”还包括如何使用特定工具。

ATT＆CK在2020年增加了子技术，这标志着知识库中行为描述方式的发生重大转变。这种变化是由于需要解决随着ATT＆CK多年来的发展而出现的一些技术抽象级别问题。有些“技术”描述非常广泛，有些却很狭窄（仅描述了非常具体的行为）。这种不平衡导致ATT&CK变得异常臃肿，不仅使ATT&CK难以可视化，而且也使理解某些技术背后的目的变得困难。

子技术主要改善ATT&CK以下几点：

• 使技术的抽象级别在整个知识库中相似；

• 将技术数量减少到可管理的水平；

• 提供一种允许轻松添加子技术的结构，这将减少随着时间的推移对技术进行更改的需求；

• 某些技术可能并不简单，可以采用多种方法进行实施，而这些方法是需要考虑的；

• 简化向ATT&CK添加新技术（重叠的技术）域的过程；

• 启用更详细的数据源和描述，让行为可以在特定的平台可被观察。

“子技术”与“技术”没有一对多的关系，每个“子技术”将只与一个父“技术”有一个关系，这样可以避免整个模型变得复杂且难以维护。

在ATT&CK中，“组(Groups)”是用来跟踪已知攻击者的对象，“组”被定义为命名的入侵集、威胁组、参与者组或活动，它们通常代表有目标的、持续的威胁活动。

攻击者通常在入侵期间使用不同类型的软件。软件可以代表一种“技术”或“子技术”的实例，因此在ATT＆CK中进行分类也是必须的。

工具：指商业、开源、自研或公开可用的软件，可以由防御者，渗透测试者，红队成员或对手使用。该类别既包括通常在企业系统上找不到的软件，也包括通常作为环境中已经存在的操作系统的一部分而获得的软件。例如PsExec，Metasploit，Mimikatz，以及Windows实用程序，例如Net，netstat，Tasklist等。

恶意软件：指商业、开源或闭源、用于用于恶意目的软件。例如：PlugX、CHOPSTICK等。

ATT＆CK中的缓解措施（Mitigations）是用于描述”如何阻止某种技术或子技术成功执行“的一种安全概念和技术类别；

截至2020年3月，Enterprise ATT＆CK中有41种缓解措施，其中包括应用程序隔离和沙箱，数据备份，执行预防和网络分段等缓解措施。缓解措施与供应商产品无关，仅描述技术的类别，而不是特定的解决方案。

讲了ATT&CK那么多，最关键的还是使用场景。ATTCK使用场景主要有4个场景，每个场景官方都有最佳实践的指导。

传统的检测通常使用入侵特征（IOCs）或恶意活动签名来检测。行为检测分析与传统的特征检测不同，行为检测分析不依赖于先验的知识（IOCs或签名），与对手的使用的工具也无关。

ATT&CK可以作为构建和测试行为分析的工具，用于检测环境中的敌对行为，识别系统或网络中潜在的恶意活动。

网络行为分析库（Cyber Analytics Repository，CAR）是MITER基于MITER ATT＆CK对手模型开发的分析知识库，可以作为组织作为ATTCK进行行为检测分析的起点。

网络威胁情报涵盖网络和影响网络安全的威胁行动者（集团）的知识，它包括有关恶意软件、工具、TTPs、谍报技术、行为和其他威胁相关的指标信息。

ATT&CK从行为分析角度理解攻击者，收录形成文档，这些文档记录与攻击者可能使用的工具无关。

通过这些文档，分析人员和防御者可以更好理解各攻击者的通用行为，并有效的映射到自身的防御体系上。另外，ATT&CK的结构化格式可以对标准之外的行为进行分类来增加威胁报告的价值。

“对手仿真”和“红队攻击”都是一种验证防御能力的行为，但两者又有不同。

“对手仿真”首先假定其模拟的是哪一个攻击组织，并根据该组织的威胁情报信息，模拟该攻击组织的行为。通过模拟攻击者的行为，来评估某一技术领域的安全全过程。“对手仿真”关注的是组织在其生命周期的所有适用点上验证检测和（或）缓解对手活动影响的能力。

ATT&CK是可以用于作创建“对手模拟场景”的工具，以测试和验证对手常见技术的防御。特定的攻击者详情会以文档的形式记录在ATT&CK结构化文档中，防御者和风险狩猎可以使用这些文档来调整和改机防御措施。

“红队攻击”是指不使用已知的威胁情报，以对抗的心态进行攻击演示。红队重点是在不被发现的情况下完成行动的最终目标，以显示成功入侵的任务或行动的影响。

ATT&CK可以作为一个工具用来创建“红队计划”和组织行动，用以在网络中避免某些防御措施。

另外，ATT&CK还可以用作研究的路线图，用来开发普通防御系统可能无法检测的新攻击手段或方法。

差距分析可以让组织确定环境中哪些部分缺少防护或缺少可见性，这些缺口代表在环境中存在潜在的防御或监控盲点，可以让攻击者在未被发现的或未被有效拦截的情况下访问其网络。

ATT&CK可以作为一个以常见行为为中心的攻击模型，用于评估防御措施中的工具、监控和拦截是否有效。识别出差距后，就可以根据优先级安排防御体系建设的投资计划。类似的，在购买安全产品之前，也可以与一个常见的对手攻击模型进行比较，以评估在ATT&CK中的覆盖范围。

另外，组织的安全运营中心（SOC）是许多大中型企业网络的重要组成部分，可以持续监控网络中的威胁。理解SOC的成熟度对于确定SOC的有效性非常重要。ATT&CK可以作为一种测量方法用来确定SOC在检测、分析和响应入侵方面的有效性。与差距分析评估相似，SOC成熟度评估关注SOC用于检测、理解和响应网络中不断变化的威胁和过程。