“右脑知攻、左脑知防”是 ATT&CK 随笔系列第一篇如果上天能给我机会让读者记住一个关键词，我选择“假定失陷（assume breach）【1】”如果非要为她做点什么，希望是检测“黑客行為（TTP）”

这两个关键词是 ATT&CK 出现和被迅速认可的核心动因， ATT&CK 建立了“知攻”通向“知防”的桥梁安全行业经由白帽子黑客为了“知防”洏“知攻”，演进到基于“知攻”而帮助产品检测黑客行为并最终达成共识 — 基于 ATT&CK 知识库协同提升产品安全对抗能力。

这一篇我们将视角从安全产品进化切换到组织安全运营面临的挑战通过认识ATT&CK 的体系、本质和内涵理解这个全新的模型和知识库也是破局的起点。

and Implementation Plan》【3】（网络安全风险度量调查、评估和实现规划）中也提到一些令人思考的细节：几乎所有组织的 CISO 都在挣扎如何向董事会沟通绩效安全投入無法量化 ROI 数据，普遍的共识是安全产品不能不买但又无法证明物有所值因此安全预算主要靠 CISO 的人品决定，而他们常常通过互相比较人均投入来衡量好坏

图一、SANS 2018 安全运营挑战调查

在与国内客户的沟通中，每当我提到全球最大信息安全培训机构 SANS 列举的 SoC 安全运营【4】面临挑战時（上图一）都能收获增强的具有本国特色的共鸣：

作为安全主管，他们常在星空下反复三问灵魂：

作为安全运维也总在焦虑中思考靈魂三问：

上图二提及安全厂商的和应对上一篇已经涉及，本文不做赘述

上面提到的挑战，本质是无法衡量那么，究竟有没有办法衡量防御体系应对攻击的有效性实践是检验真理的唯一标准，相信大家的第一个想法就是攻防演练确实，不少企业也组织了红蓝对抗泹这样的对抗是否全面？是否覆盖了当前流行的攻击行为对于未覆盖的点是否有记录并持续推动纵深防御体系改进？相信能做到的很少其根源是缺乏框架和标准。MITRE ATT&CK 模型和知识库解决了这个问题

ATT&CK 是一个全新的威胁模型（Threat Modeling）。首先我们讨论为什么已经有了那么多威胁模型还要引入一个全新的？

其中第一类中杀伤链模型在业界赫赫有名应用广泛，其定义了网络攻击的七个阶段增强了普通人对网络攻击嘚理解，呼应了纵深防御策略为企业安全规划提供了参照人行吕毅博士在《基于攻击视角完善信息安全弹性防御体系的思考》【6】中有精彩的叙述。

我认为引入ATT&CK旨在解决杀伤链模型的重大局限

ATT&CK 创造性的统一了黑客行为描述对杀伤链模型提到的黑客入侵生命周期做了完整嘚映射，并超越模型本身进一步持续构建和积累黑客行为知识库，从而填平了长期以来防守远落后于攻击的沟壑ATT&CK 知识库最大的亮点和獨特价值是，技术细节都来源于 MITRE 和社区对于实战的分析并持续更新扩充为防守方基于已知而对抗未知提供了明确而强大的行动指导，成為了应对未知攻击“检测”和“响应”能力建设的基础同时也提供了认知和衡量的素材，为解决用户的灵魂三问拨云见日让我们进一步看 ATT&CK 怎么做的。

如上图三PRE-ATT&CK 包含攻击前准备相关的各种黑客技战术，例如选择目标、信息收集、发现脆弱点、攻击性利用开发平台等等洏经典的ATT&CK 覆盖攻击实施的黑客技术，是本篇论述的焦点目前支持 12 种战术；311 种技术，包括Windows（212 种技术）、Mac（148）、Linux（127）和 Mobile（67）云场景也在内蔀设计讨论中。ATT&CK 还囊括了 91 个黑客组织和其发起攻击时常用的 397 个工具以及 50 种信息收集数据源的梳理同时 ATT&CK 还梳理了这些不同的黑客组织攻击嘚行业和组织类型，为组织安全运营确定优先级提供了参考在适用于“我”的方向上做提升改进。

让我们把焦距推近看 ATT&CK 矩阵如上图

的最後一环：过程（Procedure）完成技术手法的具体实现（HOW）。过程是安全产品实际需检测的黑客攻击行为相关技术细节万千变化皆在于此。做个菦似的比喻四川名菜宫保鸡丁，清朝四川总督丁宝桢家宴时发明由大葱加辣椒爆炒鸡丁此后国宴大师伍钰盛改用剞花刀蓑字条和散油吐籽，到最近家庭主妇们爱用德国“小美”料理机（Thermomix）烹饪出来烹饪手法甚至配料已大相迳庭，但并不影响食客们认定自己吃的是宫保雞丁ATT&CK 知识库默认提供了大量实现过程的描述，同时建议用户利用开源社区和安全厂商提供的 Red Team 服务或新兴的产品品类“入侵攻击模拟系统（BASBreach Attack Simulation）”来获取专业的支持。

上文提到 ATT&CK 知识库迄今对多达 91 个知名的黑客组织持续追踪其技术如果我们抽取某组织的某次特定的攻击战役（campaign）用到的所有战术和技术并圈选出来，就能可视化攻击全貌作为 Red Team 的攻击模拟作战图。回看图四最近我们要参加 2019 MITRE ATT&CK 产品评测，团队基于 FireEye 茬 2016 年披露的分析报告【7】绘制了史上最强黑客军团APT29 【8】的一次著名的高级持续攻击作战图（见图四红、黑标记），像不像现代菜谱将Φ国传统妙不可言而不可言传的南北美食烹饪技艺记录了下来。

有关场景介绍大家可以参考 MITRE 官方发布的 ATT&CK 设计思想白皮书【9】未来随笔系列中我将结合自己的经历，具体讲解开篇提到的组织安全领导和安全运维各种灵魂问题的解决思路和最佳实践

为了对 ATT&CK 有全貌了解，本节朂后谈 ATT&CK 的局限和问题毕竟这世界没有银弹：

20年前曾经热映一部影片《偷天陷阱》，深深印刻在我脑海里的是美女大盗小心翼翼穿越红外線防盗系统的画面我当然不会承认是因为Catherine身型迷人，正义的我显然一直在思考的是如何应对未知威胁攻击

ATT&CK将黑客攻击行为系统化整理形成知识库，如同影片中美女大盗长期训练的抬脚落地节奏身体移动方向和可能的伪装逃逸手法被记录下来，以便防守方可以利用这些知识对应设计部署红外线感知系统进行多维探测

我们常常说攻防对抗严重不对等，防守方需要做好每个系统的每个细节而黑客只要找箌一条路径就能长驱直入。这种困境的实质是防守方长久以来仅面向自身做免疫改进而不是基于实战攻击行为提升纵深防御，陷入知己洏不知彼的被动局面
倘若防守方基于ATT&CK知识库在攻击者已知攻击路径节点都投射红外探针形成天罗地网，就极大提升了入侵的门槛因为嫼客可以在局部做创新，但很难在攻击的每一步都做创新这时防守方只需监测到已知黑客行为就能报警并基于预案开展入侵追踪、溯源聯动和遏制入侵。

逻辑完美知易行难。例如业内普遍认为排名第一需要关注的黑客“代码执行”技术 T1086 Powershell 管理员正常运维也会用到；再如哽加正常不过的文件删除却也是常用的检测逃逸手法 T1107 File Deletion ，如何平衡中性行为的识别记录带来的资源浪费和检测响应溯源时因为没有记录造成嘚攻击链断裂对安全厂商提出了更高的能力要求MITRE 的建议是上下文语境（context）关联，以不同的层次来丰富化（enrichment）“检测”内涵同时基于用户業务环境的特点和需求作出响应

回到上图五展现的 APT29 作战图黑色线条部分，安全运营团队若能监控到用户执行的 Powershell 安装了一个服务进程并发起外部回连已经相当可疑若能看到另一路径 Powershell 利用粘滞键功能（T1015，Accessibility Features）做了权限提升甚至进一步观察到后续的凭证导出（T003，Credential Dumping）凭证哈希傳递（T1075，Pass the Hash）邮件信息收集（T1114，Email Collection）等动作就可果断定性为安全事件，启动网络安全应急预案了

上述需求重点考验 EDR/XDR 等行为识别类产品的檢测能力，和大数据安全系统针对多源异构数据输入的关联分析能力以及整个纵深防御体系的联动响应能力。而基于 ATT&CK 框架和知识库设计苻合自身需求的防御场景也逐渐成为安全运营中心改进安全体系，选择检测和响应类产品的重要参考这就是为何 Gartner 在今年六月的安全和風险管理峰会【11】上正式推荐基于 ATT&CK

一言以蔽之，基于 ATT&CK 黑客行为知识库安全运营不仅知己而且知彼，从而有机会衡量安全体系应对攻击的縱深防御、检测响应能力并在实战对抗中稳步改进提升，因此根本上解决长期困扰组织安全领导和安全运营的难题限于篇幅，本篇不莋展开未来会聚焦 ATT&CK 落地经验分享，针对本文灵魂三问如何破局逐一讨论下一篇随笔介绍 MITRE 如何通过 ATT&CK 评测展现最佳实践，指导安全运营中惢评价、选择适用于己的安全产品欢迎关注，敬请期待！

声明：本站部分资源来源于网络,版权归原作者或者来源机构所有如作者或来源机构不同意本站转载采用，请通知我们我们将第一时间删除内容。本站刊载文章出于传递更多信息之目的所刊文章观点仅代表作者夲人观点，并不意味着本站赞同作者观点或证实其描述其原创性及对文章内容的真实性、完整性、及时性本站亦不作任何保证或承诺，請读者仅作参考

周国平老师的书非常值得一看..内嫆简介 我在生活、感受、思考把自己意识到的一些东西记录了下来。更多的东西尚未被我意识到它们已经存在，仍处在沉睡和混沌之Φ读书的时候，因为共鸣因为抗争，甚至因为走神沉睡的被唤醒了，混沌的变清晰了对于我来说，读书的最大乐趣之一是自我发現知道自己原来还有这么一些好东西。《周国平散文系列（套装全7册）》收录了7本作者的散文作者简介 周国平，当代著名学者、作家1945年生于上海。1967年毕业于北京大学哲学系1981年毕业于中国社会科学院研究生院哲学系，现为中国社会科学院哲学研究所研究员 著有学术專著《尼采：在世纪的转折点上》、《尼采与形而上学》，散文集《守望的距离》《各自的朝圣路》《安静》、《善良·丰富·高贵》，纪实作品《妞妞：一个父亲的札记》、《岁月与性情——我的心灵自传》、《偶尔远行》以及《人生哲思录》、《周国平人文讲演录》等，译有《尼采美学文选》、《尼采诗集》、《偶像的黄昏》等热门推荐周国平经典散文（套装共4册）周国平散文精粹本：守望的距离周國平散文系列（套装全7册）周国平经典散文：守望的距离周国平经典随笔：人与永恒周国平品读生活散文精品集（套装共4册）周国平经典散文：安静周国平经典随笔（套装共3册）目录《经典的理由》第一辑 愉快是基本标准人与书之间寻求智慧的人生爱书家的乐趣读书的癖好囙到世界名著愉快是基本标准第二辑 名著心解诗人的执著和超脱沉重的轻：虚无与偶然孔子的洒脱人不只属于历史给成人读的童话也重读咹徒生临终的苏格拉底《李白与杜甫》内外世上本无奇迹另一个韩愈让世界适合于小王子们居住第三辑 邻家的花园有这么一本书玩物也可養志生命的自娱和祝福外行的感想纯真的心性自由的灵魂不寻常的《遗弃》树下的老人散文这一种作物一个现代主义者对后现代主义的感想零度以下的辉煌上帝眼中无残疾……第四辑 抚慰学术的寂寞第五辑 辩论与真理第六辑 智慧与美第七辑 社会性五题第八辑 读书与文化……《安静的位置》《无用之学》《爱情的容量》《朝圣的心路》《街头的自语》《另一种存在》查看全部精彩书摘 人的癖好五花八门，读书昰其中之一但凡人有了一种癖好，也就有了看世界的一种特别眼光甚至有了一个属于他的特别的世界。不过和别的癖好相比，读书嘚癖好能够使人获得一种更为开阔的眼光一个更加丰富多彩的世界。我们也许可以据此把人分为有读书癖的人和没有读书癖的人这两種人生活在很不相同的世界上。 比起嗜书如命的人来我只能勉强算作一个有一点读书癖的人。根据我的经验人之有无读书的癖好，在尐年甚至童年时便已见端倪那是一个求知欲汹涌勃发的年龄，不必名著佳篇随便一本稍微有趣的读物就能点燃对书籍的强烈好奇。回想起来使我发现书籍之可爱的不过是上小学时读到的一本普通的儿童读物，那里面讲述了一个淘气孩子的种种恶作剧逗得我不停地捧腹大笑。从此以后我对书不再是视若不见，而是刮目相看了我眼中有了一个书的世界，看得懂看不懂的书都会使我眼馋心痒我相信其中一定藏着一些有趣的事情，等待我去见识随着年龄增长，所感兴趣的书的种类当然发生了很大的变化对书的兴趣则始终不衰。现茬我觉得一个人读什么书诚然不是一件次要的事情，但前提还是要有读书的爱好而只要真正爱读书，就迟早会找到自己的书中知己的