ATT&CK©框架（Adversarial Tactics, Techniques, and Common Knowledge）是(shì)由美(měi)國(guó)國(guó)φ防部情報(bào)局（DIA）所屬的(de)Mitre公司所開(kāi)發的(de)一(yī)個(gè)網絡攻擊模型，旨在描述黑(hēi)客組織和(hé)攻擊者使用(yòng)的(de)各種策略≥、技(jì)術(shù)和(hé)常見(jiàn)知(zhī)識。ATT&CK框架對(duì)于企業(yè)攻擊面管理(lǐ)具有(yǒu)∑重要(yào)的(de)意義，通(tōng)過對(duì)各類攻擊行(xíng)為(wèi)的(de)分(fēn)類和(hé)描述，能&(néng)夠幫助企業(yè)較全面地(dì)了(le)解自(zì)身(shēn)安全形勢，識别存在的(de)安全威脅和​(hé)防禦弱點，從(cóng)而制(zhì)定合理(lǐ)的(de)安全策略和(hé)應對(duì)措施。

ATT&CK框架對(duì)于攻擊面管理(lǐ)的(de)應用(yòng)主要(yào)表現(xiàn)在以下(x¥ià)幾個(gè)方面：

一(yī)輔助資産管理(lǐ)和(hé)風(fēng)險評估

ATT&CK框架按照(zhào)黑(hēi)客攻擊行(xíng)為(wèi)的(de)方式對(duì)其進行(xíng)分(fēn)類，可(kě)以幫助企業(yè)更加全面地(d♦ì)了(le)解自(zì)身(shēn)網絡上(shàng)存在的(de)安全風(fēng)險和(hé)威脅，并以此為(wèi)基礎對(duì)各種資産進行(xíng)分(fēn)類和(hé)管理÷(lǐ)，同時(shí)可(kě)以對(duì)各個(gè)安全威脅進行(xíng)評估和(hé)度量，從(cóng)而更好(hǎo)地(dì)把握Ω企業(yè)安全态勢。ATT&CK框架中描述的(de)黑(hēi)客攻擊行(xíng)為(wèi)既包括主動攻擊φ行(xíng)為(wèi)，也(yě)包括被動滲透測試，企業(yè)可(kě)以應用(yòng)ATT&CK框架輔助進行(xíng)主動安全威脅模拟，以§此補充常規安全測試，發現(xiàn)更多(duō)的(de)安全風(fēng)險和(hé)漏洞。

舉例：某大(dà)型金(jīn)融機(jī)構利用(yòng)ABI（ATT&CK-based Investigation）解決網絡入侵問(wèn)題

該金(jīn)融機(jī)構一(yī)直受到(dào)來(lái)自(zì)黑(hēi)客和(hé)APT攻擊的(de)困擾。針對(duì)這(zhè)一(yī)情況，安全團隊決定采用(y₩òng)ATT&CK框架進行(xíng)攻擊面分(fēn)析和(hé)風(fēng)險管理(lǐ)。利用(yòng)αABI方法，該銀(yín)行(xíng)安全團隊針對(duì)每個(gè)ATT&CK可(kě)觀察元素組成了(★le)自(zì)己的(de)威脅情報(bào)檔案，逐一(yī)排查與該框架相(xiàng)匹配的(de)攻擊特點。該公司又(yòu)利用×(yòng)提取到(dào)的(de)足以證明(míng)針對(duì)該機(jī)構的(de)攻擊情況數(shù)據對(duì)風(fēng)險分(fēn)析進行(xíng)了(le)跟→進，運用(yòng)ABI方法進一(yī)步評估和(hé)調查目标站(zhàn)點，以便找到(dào)目标站(zhàn)點中威脅行(xíng)為(wèi)可(kě)能(né♠ng)延伸到(dào)的(de)區(qū)域。

二提高(gāo)威脅情報(bào)的(de)利用(yòng)程度

ATT&CK框架可(kě)以幫助企業(yè)更好(hǎo)的(de)獲取、掌握最新的(de)威脅情報(bào)，以此作(zuδò)為(wèi)提高(gāo)網絡安全防禦預案的(de)一(yī)個(gè)重要(yào)依據。基于ATT&CK框架的(de)>威脅情報(bào)可(kě)以幫助企業(yè)了(le)解當前黑(hēi)客攻擊的(de)趨勢和(hé)方式¥，以及識别攻擊者可(kě)能(néng)使用(yòng)的(de)技(jì)術(shù)和(hé)工(gōng)具，企業(yè)可(kě)以将其整合到(dào)自(zì)己的(deα)事(shì)件(jiàn)響應及監控系統中。在自(zì)主威脅情報(bào)收集和(hé)處理(lǐ)的(de)基礎上(shàng)，ATT&CK框架也(yě)提供了♠(le)一(yī)個(gè)公共威脅情報(bào)平台MITRE ATT&CK® FOR CYBER THREAT INTELLIGE≈NCE，攻擊者采用(yòng)的(de)各種技(jì)術(shù)和(hé)行(xíng)為(wèi→)都(dōu)會(huì)被實時(shí)跟蹤，為(wèi)企業(yè)提供一(yī)個(gè)公共的(de)☆威脅情報(bào)共享平台。

舉例：電(diàn)商公司利用(yòng)ATT&CK框架提高(gāo)安全情報(bào)分(fēn)析能(néng)力

某全球電(diàn)商企業(yè)成功應用(yòng)ATT&CK框架，使得(de)該企業(yè)有(yǒu)效地(dì)使用(yòng)了(le)日(r®ì)志(zhì)審計(jì)數(shù)據，并且利用(yòng)該框架發現(xiàn)了(le)一(yī)些(xiē)以前無法識别的(de)黑(hēi)客行(xíng)動。該電(d&iàn)商企業(yè)利用(yòng)ATT&CK框架指導安全情報(bào)分(fēn)析，加強了(le)&其威脅狩獵活動，同時(shí)提高(gāo)了(le)安全分(fēn)析的(de)效率。該企業(yè)還(hái)開(kāi)發了(le)一(₩yī)些(xiē)高(gāo)度可(kě)視(shì)化(huà)的(de)攻擊行(xíng)動概述，并将其納入了(le)≤其安全報(bào)告中。

三指導安全團隊的(de)事(shì)件(jiàn)響應和(hé)監控

ATT&CK框架可(kě)以作(zuò)為(wèi)安全團隊的(de)一(yī)個(gè)重要(yào)參考，指導安全事(shì)件(jiàn)響應和(hé)網絡監控。根據ATT&♦CK框架中對(duì)惡意攻擊者使用(yòng)的(de)策略、技(jì)術(shù)和(hé)常見(jiàn)知(zhī)識的(de)描述，安全團隊可(kě)以制(zhì)定完善✘的(de)響應計(jì)劃和(hé)策略，更快(kuài)、更準确地(dì)響應各種安全事(shì)件(ji​àn)，并對(duì)從(cóng)網絡日(rì)志(zhì)中的(de)監控數(shù)據不(bù)斷優化§(huà)自(zì)己的(de)事(shì)件(jiàn)響應方式。在ATT&CK框架的(de)指導下(xià)進一(yī)步'優化(huà)自(zì)己的(de)事(shì)件(jiàn)響應和(hé)監控系統，可(kě)以讓安全團隊更好(hǎo)地(dì)控制(zhì)針對(duì)企業(yè≠)的(de)攻擊，從(cóng)而減少(shǎo)風(fēng)險和(hé)損失。

舉例：國(guó)防企業(yè)通(tōng)過ATT&CK框架制(zhì)定網絡保護方案

某美(měi)國(guó)政府安全承包商使用(yòng)ATT&CK框架來(lái)定位其網絡中的(de)“創新簇”，并确定了(le£)一(yī)組完善的(de)控制(zhì)點（
ingress/egress/filtering/inspection points），以幫助區(qū)分(fēn)針對(duì)這(zhè)些(xiē)簇的(de)攻擊行(xí↕ng)為(wèi)。該承包商還(hái)利用(yòng)該框架的(de)特征，編寫實施指導，以幫助其網絡安全團隊執行(xíng)文(wé←n)件(jiàn)審計(jì)、網絡審計(jì)和(hé)日(rì)志(zhì)審計(jì)，并以此為(wèi)基礎構建起基于ATT&CK框架Mitre Shield的(de)網絡₹保護計(jì)劃。

四整合多(duō)種安全套件(jiàn)與方法

針對(duì)某些(xiē)特定的(de)灰色領域，ATT&CK框架可(kě)以幫助整合多(duō)個(gè)安全組件(ji→àn)，并提供一(yī)個(gè)攻擊維度的(de)安全風(fēng)險分(fēn)析平台。ATT&CK框架還(hái)允許第三方廠(chǎng)商以框架分(f™ēn)類為(wèi)基礎構建自(zì)己的(de)安全産品或服務。通(tōng)過ATT&CK框架的(de)整合，大(dà×)大(dà)提高(gāo)了(le)企業(yè)的(de)安全分(fēn)析速度和(hé)準确度。

此外(wài)，ATT&CK框架為(wèi)攻擊面管理(lǐ)注入了(le)諸多(duō)新思路(lù)和(hé)方法。通(tōng)過攻擊者行(xíng)為(wèi)的(de)分(f÷ēn)類，安全團隊可(kě)以更加全面地(dì)理(lǐ)解自(zì)己面臨的(de)安全情況，發現(xiàn)隐藏的(de)威脅，同時(shí)深入 理(lǐ)解黑(hēi)客所使用(yòng)的(de)技(jì)術(shù)和(hé)工(gōng)具，以此指導企業(yè)進行(xíng)合理(lǐ)的(de)安全投資<和(hé)部署。針對(duì)不(bù)同行(xíng)業(yè)、不(bù)同企業(yè)，ATT&CK框架也(yě)提供定制(zhì)化(huà)解決方案​，根據不(bù)同需求定制(zhì)不(bù)同的(de)攻擊面分(fēn)類和(hé)行(xíng)為(wèi)分(​fēn)析，以更從(cóng)容應對(duì)不(bù)同領域的(de)攻擊态勢。

企業(yè)在使用(yòng)ATT&CK框架時(shí)，可(kě)以輔助資産管理(lǐ)和(hé)≥風(fēng)險評估、提高(gāo)威脅情報(bào)的(de)利用(yòng)程度、指導安全團隊的(de)事(shì)件(jiàn)響應 和(hé)監控、整合多(duō)種安全組件(jiàn)等。安數(shù)雲作(zuò)為(wèi)業<(yè)內(nèi)領先的(de)全環節雲服務安全解決方案供應商，已經在旗下(xià)系列産品中逐步融合ATT&CK框架。通(tōβng)過引入業(yè)界先進的(de)威脅管理(lǐ)方法論，再結合自(zì)身(shēn)的(de)安全架構和(hé)策略，從(cóng)而能(néng)✘夠更好(hǎo)地(dì)理(lǐ)解客戶所面臨的(de)風(fēng)險和(hé)威脅，制(zhì)定更有(yǒu)效的(de)安全方案，'全面提高(gāo)企業(yè)安全事(shì)故的(de)預防和(hé)應急處置能(néng)力。