ATT&CK威脅框架發展及應用研究

【摘 要】 ATT&CK威脅框架是基于攻擊者視角，從現實世界的網絡威脅中提煉并歸納出各種技戰術特點的知識庫。本文對ATT&CK威脅框架的演進、價值作用、發展難點及應用現狀等進行了研究，闡述了ATT&CK威脅框架在國內外網絡安全企業的實踐落地情況，以期為網絡安全人員在防御體系設計、高級威脅分析、安全應急響應等方面提供借鑒。

【關鍵詞】 ATT&CK 威脅框架 技術發展 防御能力評估 安全能力提升

1 引言

隨著越來越多的威脅事件和攻擊組織被發現、曝光，“曝光”這一手段對于攻擊組織的威懾力正在快速下降。同時，各種追溯方法也大量暴露在對手的視野中，現有追溯方法幾乎都能夠通過技術手段和資源規避或實現仿冒，追溯的有效性也在不斷下降。網絡安全防御工作的重點逐漸轉移到構建有效的積極防御體系及實現防御能力的持續提升等方面。為更好地實現防御目標，使安全人員能夠識別對手活動的趨勢和變化，系統全面地分析對手入侵的戰術、技術、過程（Tactic, Technique and Procedure，TTP），政府部門、研究機構及網絡安全企業提出了一系列威脅框架。其中，ATT&CK（Adversary Tactics Techniques Common Knowledge）威脅框架是一個基于真實世界觀察對手技戰術的知識庫，其將已知對手行為轉換為結構化列表并能夠覆蓋對手入侵活動的全生命周期。ATT&CK威脅框架的理論發展及基于實際產業運用角度的應用，可為網絡安全人員在防御體系設計、高級威脅分析、防御能力評估、安全應急響應等方面提供清晰的思路。

2 ATT&CK威脅框架概述

2.1 發展歷程

美國MITRE公司（The MITRE Corporation）于2013年開始開發ATT&CK威脅框架，于2015年5月正式發布。該威脅框架自發布后迭代更新較快，幾乎每隔3—6個月，就會完成1次更新，更新內容主要包括戰術、技術、攻擊組、軟件、緩解措施等內容。

ATT&CK威脅框架剛推出時還較為單薄，但隨著MIERE公司不斷對其進行豐富，現在該威脅框架涉及的內容已較飽滿，逐漸發展成為原子化、高精準的安全知識庫。ATT&CK威脅框架目前分為3個模塊，包括企業矩陣（Enterprise Matrix）、移動矩陣（Mobile Matrices）、ATT&CK工控系統矩陣（ATT&CK for Industrial Control Systems），其中Enterprise Matrix是針對企業網絡環境下對手入侵技戰術的知識庫。

最初，Enterprise Matrix威脅框架僅包含8個戰術階段，在2016年擴展至10個戰術階段，后續該威脅框架獲得網絡安全領域的廣泛關注并迅速發展。目前，MITRE網站上顯示最早的是V3版本（2018年10月23日），該版本包括11個戰術階段，233種技術；V4版本（2019年4月30日）中增加了“影響”戰術階段，戰術階段增至12個；V5版本（2019年7月31日）在介紹界面中加入“緩解”措施；V6版本（2019年10月24日）增加了云、工控領域的相關技術；V7 Beta版本（2020年3月31日）將攻擊技術進一步細化至子技術層面，2020年7月8日，MITRE公司發布了V7正式版本；V8版本（2020年10月27日）將PRE ATT&CK威脅框架與Enterprise Matrix威脅框架進行結合，形成能夠覆蓋網絡入侵全生命周期的新威脅框架版本，戰術階段擴展至14個；V9版本（2021年4月29日）對數據源的描述方式發生了變化，增加了容器和谷歌工作區（Google Workspace）平臺；V10版本（2021年10月21日）在企業矩陣中添加了一組新的數據源和數組件對象，補充V9版本中數據源名稱更改。2022年4月25日發布V11版本，該版本對技術、子技術作了進一步更新細化，其中包含14個戰術階段、191種技術、386個子技術。

從安全知識庫體系構建來看，ATT&CK威脅框架包含的技戰術逐年細化、覆蓋入侵活動的范圍逐漸增加，呈現出不斷豐富細化的趨勢。

2.2 價值作用

ATT&CK威脅框架具有較大的戰略價值。MITRE公司收集來自全球安全社區貢獻的基于現實世界網絡威脅事件的戰術、技術、過程，不斷充實、更新ATT&CK威脅框架。

網絡安全人員利用ATT&CK威脅框架有機會從對手視角看待入侵事件，并從入侵行為角度進行分析。ATT&CK威脅框架不僅為網絡安全人員分析對手入侵策略、行為等提供理論基礎，還為網絡安全防御部署提供指導，而且可作為一種可行的通用網絡語言。ATT&CK威脅框架能夠提供更易于共享上下文的行動和潛在對策，簡化威脅情報創建過程。網絡安全對抗模式已演進為全面體系化對抗，安全人員能夠基于ATT&CK威脅框架進行威脅對抗行為研究，有利于將對手入侵行為進行原子化拆解、為網絡紅隊提供入侵知識和工具、方便進行滲透測試、開發更全面的應急響應機制。安全人員還可據此為主要場景制定有針對性的行為分析方案、評估攻防差距、構建安全部署、提升防御能力等。

2.3 發展難點

ATT&CK威脅框架是一個由MITRE公司打造并持續進行迭代更新的知識庫，其發展難點主要體現在多種平臺覆蓋、全生命周期入侵行為枚舉等方面。

首先，形成一套能夠應對包括云平臺、移動平臺、工業控制平臺等多種平臺，且被業內認可的通用技術表達體系和通用術語并不容易。威脅框架已經發展成為系統認知網絡威脅、構建有效防御的方法與工具體系。除ATT&CK威脅框架外，還有洛克希德·馬丁公司的殺傷鏈框架（Cyber-Kill-Chain）、美國國家情報總監辦公室的公共網絡威脅框架（Common Cyber Threat Framework，CCTF）、美國國家安全局的技術性網絡威脅框架（Technical Cyber Threat Framework，TCTF）等。這些威脅框架均沒有像ATT&CK威脅框架這樣細粒度的技術刻畫，也未對多種平臺進行覆蓋。雖然ATT&CK威脅框架對研究分析、產品開發、威脅對抗等方面具有更實際的指導作用，但這也成為其面臨的現實挑戰的來源。

其次，高級威脅及未知漏洞發現較為困難，甚至可能威脅已經在受害者網絡環境中造成實際后果，而用戶仍未感知，更無從調查取證。網絡威脅不斷發展變化，不斷出現未被感知到的高級威脅，因此ATT&CK威脅框架如何更全面枚舉入侵技戰術是其面臨的又一發展難點。盡管ATT&CK威脅框架已經對入侵活動進行原子化拆解，但因為無法完全枚舉威脅、入侵手段過于復雜等因素，也可能導致其不能發揮應有作用。

3 ATT&CK威脅框架技術產業落地情況

3.1 威脅框架應用場景

ATT&CK威脅框架得到網絡安全領域的廣泛認可，在技術服務中也取得較好實際效果。此外，隨著網絡威脅的不斷演變和進化，MITRE公司也積極推動ATT&CK威脅框架的迭代更新，以適應不斷變化的入侵環境。ATT&CK威脅框架主要包括威脅情報收集、高級威脅檢測、防御能力評估、安全能力提升等應用場景。

（1）威脅情報收集

網絡威脅情報能夠使用戶了解威脅并有針對性地應對威脅。雖然威脅情報具有較大價值，但其創建過程卻很復雜。ATT&CK威脅框架可作為通用語言提供統一描述標準，為情報創建提供便利條件，對威脅情報進行規整。此外，ATT&CK威脅框架中展示了近130個攻擊組織的詳細信息，包括其使用的攻擊技戰術及工具。網絡安全工作人員能夠基于ATT&CK威脅框架收集網絡情報，進而有針對性地跟蹤對手，以應對可能出現的威脅。利用ATT&CK威脅框架在化簡情報創建過程、縮短分析時間、提高情報質量等方面具有現實意義。

（2）高級威脅檢測

已知威脅的獵殺及未知威脅的發現通常是高級威脅檢測關注的焦點。針對已知威脅的獵殺，利用ATT&CK威脅框架對對手攻擊戰術、技術、過程的映射能夠獲得已知對手的入侵信息，甚至預測對手可能的入侵行為，從而采取相應措施，進行安全防御部署，使網絡安全防御價值最大化。針對未知威脅的發現，ATT&CK威脅框架能夠實現網絡入侵活動全生命周期的覆蓋，因此即便對手應用未知威脅入侵，也將處于ATT&CK威脅框架覆蓋范圍內，使得未知威脅追蹤有跡可循并最終發現未知威脅。

（3）防御能力評估

防御能力評估的價值在于能夠為安全能力提升奠定基礎，但評估中可能出現當前防御能阻止以某種方式采用某種技術的入侵，而其實無法防御其他方式采用該技術的入侵，使防御者產生一種虛假的安全感。因此，需要基于ATT&CK威脅框架利用接近實戰化的攻防對抗演練才能精準地評估防御能力。

MITRE為ATT&CK威脅框架提供了原子紅隊（Atomic Red Team，ART）“原子化攻擊仿真”測試集合，能夠保障威脅框架武器庫中特定技術或子技術正常發揮作用。模擬入侵人員能夠在原子測試的基礎上，與現實世界入侵事件相結合，根據實際網絡環境調整、利用不同入侵技戰術，盡可能還原對手真實入侵手段。安全防御人員基于現有網絡防御策略及應急響應流程與對手進行對抗，抵御對手的潛在入侵行為，確定現有防御部署中存在的防御不足或可見性缺失的部分。網絡威脅不斷發展變化，因此打造一支能力可靠的藍隊參加常態化的攻防對抗演練，并基于ATT&CK威脅框架對網絡防御能力進行評估，能夠最大程度地為測試網絡安全解決方案、提升安全防御能力提供真實的參考依據。

（4）安全能力提升

基于ATT&CK威脅框架的威脅情報、防御能力評估，網絡安全人員能夠認識到攻防雙方差距，發現安全防御薄弱環節，有針對性地提升安全能力。安全人員可以利用ATT&CK威脅框架構建體系化防御，還可以主動構建欺騙環境，擾亂對手判斷，塑造誘餌環境、誘餌對象、仿真行為等，誘騙對手實施入侵，從而觸發攻擊告警。基于告警信息不斷加強網絡安全防御復雜度，強化網絡系統彈性，提升對手攻擊難度，增加對手攻擊成本。網絡安全人員能夠利用ATT&CK威脅框架改變被動的防御態勢，充分發揮能夠基于自身網絡架構主動部署防御體系的先天優勢，扭轉網絡威脅對抗雙方不對等的情況，真正實現網絡安全積極防御。企業基于ATT&CK威脅框架有針對性地進行安全防御部署，可提高安全防御能力，使網絡安全防御價值最大化。

3.2 威脅框架產業落地

（1）國內產業落地情況

ATT&CK威脅框架為應對日益復雜的網絡威脅，提供了有力的技術支撐。國內網絡安全企業紛紛利用ATT&CK威脅框架來覆蓋其技術分析報告以及產品實現過程，積極推動該框架在安全產品側的落地。

目前主要技術報告的分析成果如下：總結出最常見的十大ATT&CK攻擊技術，即供應鏈失陷、創建或更改系統進程、進程注入、命令和腳本解釋、系統憑證提取、遠程服務、利用C2通道滲漏數據、協議通道、軟件探測、執行流劫持等；應用ATT&CK威脅框架示意圖直觀展示攻擊組織利用哪些技戰術完成入侵；從攻擊戰術、技術、過程、標簽、分析溯源、紅藍知識庫等方面對ATT&CK威脅框架進行研究。

主要產品可實現的功能包括以下3個方面：一是將ATT&CK威脅框架應用到終端產品的研發與能力驗證工作中，不僅使產品在威脅防御和異常事件捕獲方面的能力大幅度提升，還可以支持以ATT&CK威脅框架的形式展現網內威脅事件，并能對事件進行關聯分析；二是結合企業自身對威脅知識、經驗的積累，基于ATT&CK威脅框架構建網絡安全知識圖譜，進行高級持續性威脅（Advanced Persistent Threat，APT）組織追蹤、內部威脅識別、攻擊模擬及知識擴展等相關研究；三是對標ATT&CK威脅框架輸出精準的告警研判信息。

（2）國外產業落地情況

國外眾多領先的網絡安全公司都采用了ATT&CK威脅框架。2021年4月，MITRE公司基于ATT&CK威脅框架對29個不同網絡安全企業的產品進行評估，但不會產生分數和排名。安全產品防御能力的評估結果，不僅取決于與ATT&CK威脅框架的映射覆蓋度，更取決于是否滿足最終用戶的關鍵需求。

除MITRE官方應用之外，還有如下應用方式：將端點檢測與響應（Endpoint Detection & Response，EDR）產品與ATT&CK威脅框架相互映射，并利用該框架豐富其APT情報報告；應用ATT&CK威脅框架檢測產品覆蓋范圍，找出產品能力與攻擊者應用技術間的差距，由應急響應團隊縮小差距；在分析2020年12月的“太陽風”（SolarWinds）軟件供應鏈攻擊事件中，全面采用ATT&CK威脅框架映射、分析該攻擊事件，并認為至少應用了17種技術手段；將ATT&CK威脅框架應用于網絡威脅檢測、描述攻擊者入侵目標網絡行為等方面，并為受害者提供預防和緩解網絡安全威脅的工具；開發公開的劇本查看器（Playbook Viewer），其顯示了ATT&CK威脅框架的部分入侵組織的已知入侵行為。

網絡安全人員是ATT&CK威脅框架實踐的主體，該框架被國內外網絡安全企業廣泛應用，一方面體現在網絡安全的研究分析過程中，另一方面體現在網絡安全產品的開發實踐過程中。國內外網絡安全企業將ATT&CK威脅框架作為分析高級威脅的技術表達體系和分析框架，應用于檢測已知威脅、識別潛在威脅、干擾反制對手行為、提高入侵成本等方面，從而提升安全產品功能，強化用戶網絡安全防御能力。因此，對于網絡安全防御工作來說，ATT&CK威脅框架具有重要的現實意義。

4 結語

本文主要對ATT&CK威脅框架的發展及應用進行梳理和分析。在網絡安全防御領域應用ATT&CK威脅框架，一方面能夠發現現有防御能力的不足，通過評估、分析差距，指導防御能力提升；另一方面能夠通過威脅事件與威脅框架的關聯映射，幫助防御人員直觀地理解已發現威脅事件的戰術、技術或目標、行為，輔助決策，提升威脅檢測、響應與分析處置能力。此外，國內外眾多網絡安全研究人員和安全企業都紛紛采用ATT&CK威脅框架，進行技術分析研究或產品落地實踐，實現用戶網絡安全防御能力的持續提升。未來，隨著ATT&CK威脅框架不斷發展和完善，其將得到更加廣泛的應用。

（原載于《保密科學技術》雜志2022年8月刊）