自《ATT&CK框架实践指南》首次发布以来，已过去了将近2年的时间。

正如我们所知，ATT&CK框架每年都会更新2个版本，目前已更新至V13版本，频繁更新让ATT&CK框架在很多方面都发生了重大变化。

在这段时间里，青藤也在 ATT&CK 的应用方面积累了更为丰富的实践经验。鉴于此，我们出版了《ATT&CK框架实践指南》（第2版），对ATT&CK框架的内容做了大量更新。为感谢青藤粉丝一直以来的支持与信赖，我们准备了100本新书，免费赠送，现在就转发文章扫码参与活动吧！

图1：转发文章并扫码参与赠书活动吧

10大内容更新

《ATT&CK框架实践指南》（第2版）不仅新增了ATT&CK框架V12版本更新的基本内容，我们还主要围绕ATT&CK框架新增/更新了以下10大内容版块。

01 针对内部威胁的TTPs攻防知识库

对于组织机构来讲，内部恶意人员是一种特殊威胁。如今，企业网络注重抵御外部威胁，但往往默认信任内部人员。然而，这种信任给了内部人员滥用权限的机会，可能导致数据窃取、系统破坏等恶意行为，给企业带来经济、运营和声誉损失。因此，检测和缓解内部威胁成为网络安全领域的难题。

研究内部威胁的应对措施非常困难，其主要原因在于：首先，SOC和内部威胁分析人员需要了解每个内部人员可能使用的技术威胁及相应的安全控制措施。其次，制定统一的防范措施是很困难的，需要共享和分析整个行业的数据，但许多组织不愿分享有关内部事件的信息。这些事件可能导致声誉、经济或运营重大损失，并暴露组织在网络安全技术上的薄弱点。由于这些原因，即使组织发生内部事件，它们也不愿公开相关信息，以避免将弱点暴露给其他潜在威胁行为者。为解决这一难题，MITRE威胁防御中心（CTID）开发了针对IT环境中内部威胁的TTPs公开知识库，可帮助网络防御者更好地检测和缓解内部威胁。

图2：内部威胁TTPs热图

02 针对网络安全对策的知识图谱MITRE D3FEND

在日常的网络安全运营中，安全运营人员不仅需要知道自己面对哪些安全威胁，知道阻止或者防御这些安全威胁的相关对策，还需要了解这些对策是做什么的、如何实现的，以及是否具有局限性。在这种情况下，MITRE D3FEND 知识图谱应运而生，它将防御性战术和技术以表格的形式呈现出来，并明确说明了其层次结构：

• 防御战术：位于D3FEND矩阵的第一行，是防御者对攻击者采取的防御性战略，目前包含加固、检测、隔离、欺骗、排除等。

• 基础技术：位于D3FEND矩阵的第二行，是防御者对攻击者采取的顶层技术，所有其他技术都由基础技术派生而来，例如文件分析是“检测”战术下的一个基础技术。

• 防御技术：负责实现战术的具体防御过程或技术，例如动态分析是文件分析基础技术下的一项子技术。

图3：MITRE D3FEND 知识图谱

03 针对软件供应链的OSC&R ATT&CK 框架

随着技术进步，软件供应链变得越来越复杂。现代应用主要是由开源库中的代码和内部开发团队编写的代码结合在一起而创建的。这种扩展使得软件能够更快地发布，但也因协作团队和工具增多，导致软件供应链的复杂性大大提高，给安全带来巨大风险。

数字化转型加速，保护软件供应链安全迫在眉睫。

2023 年 2 月，OX 安全团队宣布正式发布 OSC&R（开放式软件供应链攻击参考框架），这是第一个也是目前唯一一个评估软件供应链安全的开源框架，为了解攻击者的行为和技术提供了一个全面、系统、可落地的方法。该框架按照攻击者使用的战术、技术和步骤（TTPs）组织排列，涵盖了大量的攻击向量，并重点关注攻击过程。安全团队可以利用该框架评估现有防御措施，了解自身的脆弱性和应重点改善的地方，并跟踪攻击组织的攻击行为。

图4：开放式软件供应链攻击参考框架OSC&R

04 ATT&CK共享工具Workbench

长期以来，MITRE ATT&CK的高级用户一直努力将其组织内的TTPs知识库与公开的ATT&CK知识库结合起来。

ATT&CK Workbench项目降低了防御者在这方面的难度，确保可以将他们的威胁情报与公开的ATT&CK知识库拉齐。

Workbench是一个简单易用的开源工具，能够帮助企业管理和扩展他们自己的本地ATT&CK，同时与ATT&CK知识库保持同步更新。用户可以利用Workbench探索、创建、注释和分享ATT&CK知识库。组织或个人可以启动自己的应用实例，将它作为定制化ATT&CK知识库的核心，并根据需要添加其他工具和接口。通过Workbench，用户可以增加或更新技术、战术、缓解措施、攻击组织和攻击软件等本地知识库内容。此外，用户还可以通过Workbench与更广泛的ATT&CK社区分享他们扩展的内容，促进社区内更高水平的合作。简而言之，Workbench 有三大功能：

• 注释 ATT&CK 技术；

• 扩展组织自身的 TTPs 知识库；

• 与安全社区共享自己的知识库。

图5：Workbench三大功能示意图

05 主动作战框架MITRE Engage

由于网络失陷往往是不可避免的，防守方可以通过对抗作战来确保失陷并不一定会造成损失。MITRE Engage主动作战框架有助于规划和执行对抗作战战略和战术。Engage矩阵分为战略活动和作战活动两类。战略活动包括下图中两端的黄色部分，旨在确保防守方按照规划推动行动，并在确定的规则范围内进行。作战活动是针对攻击者采取的具体技术。Engage矩阵进一步细分为作战目标、作战方法和作战活动，用于实现高层次的结果并推动作战目标的实现。随着作战逐渐深入，用户需要不断调整作战活动以实现目标。

图6：Engage 矩阵中的作战目标、作战方法与作战活动

06 攻击行为序列数据模型 ATT&CK Flow

防守方在跟踪攻击行为时，往往一次只关注一个具体行动。诚然，这是采取威胁防御的第一步，但攻击者会使用一系列技术来实现其目标。了解这一系列技术的背景信息以及它们之间的关系，可以实现额外的防御能力，让防御更有效。Attack Flow开发了一种用于描述攻击行为序列的数据格式。通过Attack Flow，安全社区可以可视化、分析和分享行动序列及受影响的资产，从而促进我们对攻击威胁和威胁处理方式的理解。图7 展示了勒索软件Conti 的一个完整攻击流程示例。【不要问，问就是在新书里，赶快去文末领书吧！】

图7：勒索软件 Conti 的完整攻击流程图

07 ATT&CK测评

虽然企业知道强大的安全解决方案是必不可少的，但要确定什么是最好的安全解决方案并非易事。

安全解决方案提供商和用户之间往往存在信息脱节的情况，特别是在这些解决方案如何解决真实威胁这一方面。

ATT&CK测评旨在旨在以公平透明的方式客观地评估安全厂商是否具有他们所说的安全能力。

ATT&CK测评可以评估安全厂商产品在防御攻击行为方面的水平，为安全厂商提供无偏见的反馈，使其能够清楚了解自身技术水平和能力的限制，并不断改进解决方案，推动网络安全的防御建设。

MITRE会与每个安全厂商独立合作，了解其威胁检测方式。测评结果不涉及竞争性分析，不包含分数、排名或评级，但MITRE会向公众公布测评方法和结果。ATT&CK测评结果会提供关键的背景信息，包括具体的实施细节和时间，有助于组织机构选择适合的安全厂商产品，并更有效地利用这些产品的功能。

截至目前，ATT&CK 测评提供四类测评：ATT&CK for Enterprise测评、ATT&CK for ICS测评、托管服务测评及欺骗类测评。其中，ATT&CK for Enterprise测评是发展得最久的测评项目，截至目前已经进行了四轮测评，第五轮测评正在进行中。

图8：ATT&CK for Enterprise测评（2022）的技术范围

08 攻击模拟

攻击模拟是通过模拟真实世界的攻击行为来测试网络安全防御能力的方法，旨在评估组织对高级威胁和APT的应对能力。攻击模拟可以帮助组织发现安全漏洞、修复弱点、提高员工的安全意识，以及改进安全策略和流程。攻击模拟通常由红队或紫队负责，他们模拟真实攻击者使用的战术、技术和步骤（TTPs），利用真实的威胁情报进行攻击，以便检测组织的安全措施是否足够强大、响应能力是否快速有效。

攻击模拟可分为三种不同类型：全流程模拟、微模拟和原子测试。全流程模拟包括多个攻击阶段和多个技术，在攻击过程中模拟出真实的攻击场景。微模拟则专注于某一具体攻击阶段或技术的模拟，以深入理解它们的影响和后果。原子测试则是单一技术的模拟，主要用于检测特定漏洞或弱点。虽然有许多不同的框架可用于开展模拟攻击练习，不过，由于 MITRE ATT&CK 框架是根据真实攻击行为形成的广泛知识库，它成为很多人开展模拟攻击的参考框架。本次更新对三种不同类型的模拟进行了详细介绍。

图9：微模拟与原子测试、全流程模拟的对比

09 Mitre ATT&CK映射实践

在与ATT&CK框架进行映射时，通常有两种常用方式：根据事件报告进行映射；根据原始数据进行映射。在根据事件报告进行映射时，分析人员需要通过搜索表示攻击行为的迹象而非IoC、哈希值、URL、IP等工件来找出攻击行为，然后根据上下文信息研究攻击行为，将攻击行为转化为战术，并最终确定适用于该行为的技术和子技术。在根据原始数据进行映射时，分析人员可以从数据源入手来分析攻击者的攻击对象、操作步骤和攻击方式；也可以从特定的工具或属性入手，然后逐步扩大范围，确定攻击的攻击技术；还可以从制定分析方案入手，进行数据关联和检测分析。

图10：ATT&CK映射的两种常用方式

10 基于TTPs的威胁狩猎

在网络安全领域，虽然基于签名和基于异常的检测方法被广泛应用，但存在各自的局限性。越来越多的实验数据表明，采用基于攻击战术、技术和步骤（TTPs）的威胁狩猎方法可以更加有效地检测恶意活动。这种方法利用攻击者所使用的有限技术、系统以及攻击方式来筛选和收集数据，并且投资成本相对较低，效率更高。这三种不同的检测方法并不是相互排斥的，而是相互补充的，但采用基于TTPs的威胁狩猎方法可以带来更大的收益。如下图所示，基于TTPs的威胁狩猎方法有两个组成部分：恶意活动表征和威胁狩猎执行。这两部分都是持续的活动，根据关于攻击者和攻击形势的新信息不断地更新。

图 11：信息的更新流程

One More Thing

青藤连续多年参与攻防实战，几乎覆盖了所有参演单位，并为多家单位担任主防。根据多年的一线攻防实战经验，青藤总结了一份自己的《MITRE ATT&CK框架（攻防实战版本）》。在攻防实战来临之际，相信这份作战指挥图定能为您迎接挑战助一臂之力。【不要问，问就是在新书里，赶快去参加文末的领书活动吧！】

图12：MITRE ATT&CK框架（攻防实战版本）

福利时间

• 系统化的研究

• 实战化的内容

• 精美实用的作战指挥挂图

• 五位安全老兵联袂撰写

• 数十名专家权威推荐

• 《ATT&CK框架实践指南》（第2版）

• 现已全面升级

• 你值得拥有

• 动动你的手指

• 即刻带它回家吧

奖品： 书籍（100本） 帆布包（5个） 遮阳伞（5个） 数据线（5个） 盲盒（10个）

操作步骤：

1.转发：将本文分享至朋友圈。

2.截图：将朋友圈页面截图。

3.参与抽奖：扫描上面的小程序码，上传截图，参与抽奖，抽奖结果的通知会在活动结束后自动发送（如转发时设置分组，或活动未结束就删除文章，则奖品无效）。

4.领取奖品：获奖后，请在抽奖页面“联系我们”或在“活动说明”中领取奖品。

5.活动时间：7月25日18:00-7月27日18:00。

PS：我们为未中奖的小伙伴申请了友情五折优惠购买链接，需要的可以扫码购买。