ATT&CK,全称是Adversarial Tactics, Techniques, and Common Knowledges。A是Adversarial,表示攻击者、对手;两个T分別是Tactics和Technical,即战术和技术;CK是Common knowledge,通用知识库。这是一套反应各个攻击生命周期攻击行为的模型和知识库。
ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。
ATT&CK 矩阵知识库,总结了网络攻击手法和案例,对攻击手法和防御做了通用的分类。将网络攻击生命周期拆分为12个阶段,每个阶段细分各类攻击手法和防御策略,ATT&CK框架对研究APT组织攻击手法和检测有非常大的落地指导意义。红蓝队都可以借鉴这个矩阵图,按照网络杀伤链来结合自身安全产品来制定攻防策略。
graph LR;
1.初始访问 --> 2.执行攻击 --> 3.持久化控制 --> 4.提升特权 --> 5.规避防御 --> 6.凭据访问 --> 7.探索发现 --> 8.横向移动 --> 9.搜集信息 --> 10.命令与控制 --> 11.窃取数据 --> 12.危害影响
附一张旧版的翻译图:
原版xlsx下载地址(PRE-ATT&CK,ATT&CK for Enterprise):
https://xeye.io/static/images/20200728135237.xlsx
ATT&CK for Enterprise在线导航:
https://mitre-attack.github.io/attack-navigator/enterprise/
中文翻译版(旧):
参考文章:
从ATT&CK看威胁情报的发展和应用趋势