ATT&CK

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge，入侵者戰術、技術和共有知識庫）或MITRE ATT&CK，是以駭客的視角，針對網絡攻擊入侵進行分類和說明的指南，由非牟利組織MITRE（英語：Mitre Corporation）所創建，在2013年提出^[1]。會以表格的方式呈現，稱為ATT&CK Matrix。

此框架將網絡攻擊分為十四個戰術階段，像是特權提昇（privilege escalation）及指揮控制（command and control），這也是入侵方在各階段的技術目的^[2]。戰術階段會往下列入為個別的技術和子技術^[2]。例如特權提昇的對應技術有13種，包括濫用高級控制機制、訪問令牌操作等。

此框架可以替代洛歇·馬丁提出的網絡殺傷鏈（cyber kill chain）^[2]。

Enterprise ATT&CK

Enterprise ATT&CK是以看板工具（英語：kanban board）呈現的全面性框架^[3]。其中定義14類的戰術、技術和程序（英語：Terrorist Tactics, Techniques, and Procedures）（TTPs），是網絡犯罪者會用的方法，以及其嶨關的技術和子技術。

分類	說明	技術數量
偵察（Reconnaissance）	收集有關目標的資訊	10
資源建立（Resource Development）	識別攻擊需要的資源，並取得資源	8
初步存取（Initial Access）	開始存取系統或是網絡.	10
程式執行（英語：Execution (computing)）（Execution）	在系統中執行惡意的程式	14
持久化（Persistence）	持續的存取系統或是網絡	20
特權提升（Privilege Escalation）	在系統或是網絡中的特權得以提昇	14
防禦逃逸（英語：Evasion (network security)）（Defense Evasion）	停用或規避安全措施.	43
憑證存取（Credential Access）	獲得存取其他系統或資料的憑證	17
發現（Discovery）	識別系統中的其他系統或是資訊	32
網絡橫向移動（英語：Network Lateral Movement）（Lateral Movement）	在在受感染的網絡內橫向移動（移動到其他同層次的設備）	9
收集信息（Collection）	收集受感染系統內的資料	10
指揮控制（Command and Control）	建立和受感染系統之間的通訊	17
數據竊取（Exfiltration）	將從受感染系統中竊取的資料轉移到系統外	9
衝擊（Impact）	採取行動，達到攻擊者的目的	14

參考資料

^ What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. （原始內容存檔於2023-04-05）（英語）.
^ ^2.0 ^2.1 ^2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. （原始內容存檔於2023-03-19）（英語）.
^ MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].

外部連結

MITRE ATT&CK （頁面存檔備份，存於互聯網檔案館）
用MITRE ATT&CK框架識別攻擊鏈，讓入侵手法描述有一致標準（頁面存檔備份，存於互聯網檔案館）

[1] What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. （原始內容存檔於2023-04-05）（英語）.

[crowdstrike-2] 2.0 ^2.1 ^2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. （原始內容存檔於2023-03-19）（英語）.

[3] MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].

[1]

[2]

[3]