北京网安在线

北京网安在线云安全

400-800-0789 预约演示

简体中文

China(简体中文) English

ATT&CK概述实践应用实践成果

ATT&CK概述

由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年，其目标是给予一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一经面世，便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来，ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。MITRE ATT&CK给予了一个复杂框架，介绍了攻击者在攻击过程中使用的14项战术、190多项技术、380多项子技术。

侦察 10项技术	资源开发 7项技术	初始访问 9项技术	执行 12项技术	持久化 19项技术	权限提升 13项技术	防御绕过 42项技术	凭据访问 16项技术	发现 30项技术	横向移动 9项技术	收集 17项技术	命令与控制 16项技术	数据窃取 9项技术	危害 13项技术
主动扫描	获取基础设施	网站挂马攻击	命令与脚本解析器	篡改账户	滥用权限提升控制机制	滥用权限提升控制机制	中间人攻击	账户发现	利用远程服务漏洞	中间人攻击	应用层协议	自动窃取	删除帐户访问权限
收集受害者主机信息	入侵账户	利用互联网上应用程序的漏洞	容器管理命令	BITS任务	篡改访问令牌	篡改访问令牌	暴力破解	应用窗口发现	内部网络钓鱼	压缩收集的数据	顺利获得移动存储介质通信	限制数据传输大小	数据销毁
收集受害者身份信息	入侵基础设施	外部远程服务	容器部署	启动或登录自动启动执行	启动或登录自动启动执行	BITS任务	从密码库中获取凭据	浏览器书签发现	利用工具横向传输	音频捕获	数据编码	顺利获得备用协议窃取	顺利获得数据加密实现影响与破坏
收集受害者网络信息	开发功能	硬件接入	利用客户端漏洞获取执行权限	启动或登录初始化脚本	启动或登录初始化脚本	在主机上构建镜像	利用漏洞获取凭证访问的权限	云基础设施发现	远程服务会话劫持	自动收集	数据混淆	顺利获得C2通道窃取	篡改数据
收集受害者组织信息	创建账户	网络钓鱼攻击	进程间通信	浏览器扩展	创建或修改系统进程	绕过排错程序	强制身份验证	云服务看板	远程服务	浏览器会话劫持	动态域名解析	使用其他网络介质窃取	损坏数据
顺利获得网络钓鱼收集信息	获取功能	顺利获得可移动介质进行赋值	顺利获得本机API执行	入侵客户软件二进制包	域策略修改	反混淆/解码文件或信息	伪造Web凭据	云服务发现	顺利获得可移动介质进行复制	剪贴板数据	加密频道	使用物理介质窃取	磁盘内容擦除
搜索封闭源	发起攻击	供应链攻击	计划任务/作业	创建账户	逃逸到主机	容器部署	输入捕获	容器存储对象发现	软件部署工具	云存储对象中的数据	备用通信信道	顺利获得Web服务窃取	端点拒绝服务
搜索开放的技术数据库		可信关系	共享模块	创建或修改系统进程	事件触发执行	直接访问逻辑卷	修改身份验证流程	容器和资源发现	污染共享内容	配置存储库中的数据	入口工具转移	定期转移	固件破坏
搜索公开网站/域		有效凭证	软件部署工具	事件触发执行	利用漏洞进行权限升级	域策略修改	多因素身份认证拦截	绕过排错程序	使用备用身份验证材料	信息存储库中的数据	多阶段通信信道	将数据传输到云账户	禁用系统恢复
搜索受害者拥有的网站			系统服务	外部远程服务	劫持执行流	执行护栏	多因素身份认证请求	域信任发现		本地系统中的数据	非应用层协议		网络拒绝服务
			用户执行	劫持执行流	计划任务/作业	顺利获得漏洞利用进行防御绕过	网络嗅探	文件与目录发现		网络共享驱动器中的数据	非标准端口		资源劫持
			Windows 管理规范（WMI）	注入容器镜像	有效凭证	修改文件与目录权限	操作系统凭据转储	组策略发现		可移动介质中的数据	隧道协议		系统关机/重启
				修改认证进程		隐藏工件	窃取应用访问令牌	网络服务扫描		数据暂存	代理
				Office应用程序启动		劫持执行流	窃取或伪造Kerberos票据	网络共享发现		收集电子邮件	远程访问软件
				预操作系统启动		破坏防御	窃取Web会话Cookie	网络嗅探		输入捕获	流量信令
				计划任务/作业		删除受害者主机上的指示器	不安全凭证	密码策略发现		屏幕捕获	Web服务
				服务器软件组件		间接命令执行		外围设备发现		视频捕获
				流量信令		伪装		权限组发现
				有效凭证		修改身份验证流程		进程发现
						修改云计算基础设施		查询注册表
						修改镜像仓库		远程系统发现
						修改系统镜像		软件发现
						网络边界桥接		系统信息发现
						混淆的文件或信息		系统位置发现
						属性列表文件修改		系统网络配置发现
						预操作系统启动		系统网络连接发现
						进程注入		系统所有者/用户发现
						反射代码加载		系统服务发现
						恶意域控制器		系统时间发现
						Rootkit		绕过虚拟机/沙箱
						篡改可信控件
						系统二进制文件代理执行
						系统脚本代理执行
						模板注入
						流量信令
						利用可信开发工具代理执行
						未使用/不支持的云区域
						使用备用身份验证材料
						有效凭证
						绕过虚拟机/沙箱
						削弱加密
						XSL脚本处理

点击查看ATT&CK战术详解

实践应用

ATT&CK框架在很多防御场景中都很有价值。ATT&CK不仅为网络防守方给予了通用技术库，还为渗透测试和红队给予了基础信息。就对抗行为而言，ATT&CK还为防守方和红队成员给予了通用语言；企业组织可以顺利获得差距分析、优先排序和缓解措施来改善安全态势。总结起来，ATT&CK最典型的四个应用场景是威胁情报、检测分析、模拟攻击、评估改进。

威胁情报

ATT&CK从行为分析角度记录、分析攻击组织信息。顺利获得分析，防守方可以更好地理解不同攻击组织的通用行为，更有效地将这些攻击行为与自身的防御体系映射起来，从而提高威胁报告的价值。
点击查看详情
检测分析

除了使用传统的失陷指标（IOCs）或恶意活动特征来检测，行为检测分析可以在不分析攻击工具或攻击指标的情况下检测系统或网络中的潜在恶意活动。ATT&CK可用作构建和测试行为分析的工具，用来检测环境中的入侵行为。
点击查看详情
模拟攻击

模拟攻击针对特定攻击者的网络安全情报，模拟攻击者的攻击方式，以此来评估某一技术领域的安全性。ATT&CK可以用作创建攻击者模拟场景的一项工具，以此来测试和验证防守方是否能够对常见的攻击者技术进行有效防御。
点击查看详情
评估改进

防御差距评估，可以让组织组织确定其网络中哪些部分缺乏防护或可见性。ATT&CK可以作为常见行为的攻击模型，可以用于评估组织组织的防御措施，验证其工具、监控和缓解措施是否有效。
点击查看详情

实践成果

新书丨《ATT&CK框架实践指南》（第2版）

自《ATT&CK框架实践指南》首次发布以来，受到广大粉丝的热爱。ATT&CK每年都会更新2个版本，现在已更新至V13版本，北京网安在线在探索ATT&CK的应用方面积累了丰富的实践经验。鉴于此，北京网安在线于2023年7月新出版了《ATT&CK框架实践指南》第2版，对ATT&CK相关内容做了10大更新。

针对内部威胁的TTPs攻防知识库

针对网络安全对策的知识图谱MITRE D3FEND

针对软件供应链的OSC&R ATT&CK 框架

ATT&CK共享工具Workbench

主动作战框架MITRE Engage

攻击行为序列数据模型 ATT&CK Flow

ATT&CK测评

攻击模拟

MITRE ATT&CK映射实践

基于TTPs的威胁狩猎

立即获取新书

全球首部系统化研究ATT&CK的专著

《ATT&CK框架实践指南》对备受信息安全行业青睐的ATT&CK框架进行了详细的介绍，并顺利获得丰富的实践案例帮助读者分析ATT&CK框架，更好地将ATT&CK框架用于提高企业的安全防御能力。

期待本书能起到抛砖引玉的作用,在全球ATT&CK中贡献中国智慧,更重要的是善于运用ATT&CK的方法来提升我国网络安全防御能力。
——邬贺铨中国工程院院士
MITRE ATT&CK毫无疑问是近几年安全领域最热门的话题之一。经过多年研究、学习和探索，北京网安在线积累了相对比较成熟和系统化的研究资料，编制此书，旨在让更多网络安全从业者分析ATT&CK，学习先进的理论体系，提升防守方的技术水平，加强攻防对抗能力。
——张福北京网安在线CEO

干货分享

电话咨询

售前业务咨询
400-800-0789转1

售后业务咨询
400-800-0789转2

复制成功

在线咨询

扫码咨询

预约演示