概述
MITRE ATT&CK(常简称为 ATT&CK)是一个面向对手行为的知识库,系统化汇集了攻击者在真实环境中使用的战术(Tactics)与技术(Techniques)。该项目由 MITRE 维护,采用矩阵视图将攻击生命周期分解为多个阶段,并为每项技术提供描述、实现示例、相关组(Groups)、软件(Software)以及检测与缓解建议。ATT&CK 的开放性和可复用性使其成为威胁建模、检测能力评估和安全运营的基石。
核心能力
-
战术与技术矩阵: 提供清晰的矩阵视图,将攻击活动按阶段组织,便于快速定位攻击模式与优先防护点。
-
技术细化与子技术: 每项技术包含详细定义、子技术拆分、具体实施方法与常见变种,帮助安全团队理解攻击实现细节。
-
检测与缓解建议: 为每种技术给出可操作的检测线索与缓解措施,支持从日志、网络、终端与云环境中构建检测规则。
-
情报与归因支持: 关联已知攻击者(Groups)与恶意软件(Software)样本,便于情报分析与入侵溯源。
-
持续更新与社区协作: 通过博客、变更日志与贡献通道(Contribute),不断纳入最新观测与研究成果,鼓励行业共享情报与实践。
推荐原因
ATT&CK 的价值在于其以实证为基础的、可操作的攻击知识体系。对于安全运营团队,ATT&CK 可用于构建覆盖关键检测点的监控矩阵、设计蓝队与红队演练场景、评估安全产品对已知技术的检测覆盖率;对于威胁情报分析师,它能把观测到的 IOC 与行为模式映射到标准化的技术名称,提升情报可读性与可比性。由于 ATT&CK 是免费且开放的,它同样适合研究机构、教育机构和中小型组织用于能力建设与训练。总体而言,ATT&CK 将复杂的对手行为结构化为可执行的防御与检测策略,帮助组织在不断演化的威胁环境中提升防御效能。
