ATT&CK

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge，入侵者战术、技术和共有知识库）或MITRE ATT&CK，是以骇客的视角，针对网络攻击入侵进行分类和说明的指南，由非营利组织MITRE（英语：Mitre Corporation）所创建，在2013年提出^[1]。会以表格的方式呈现，称为ATT&CK Matrix。

此框架将网络攻击分为十四个战术阶段，像是特权提升（privilege escalation）及指挥控制（command and control），这也是入侵方在各阶段的技术目的^[2]。战术阶段会往下列入为个别的技术和子技术^[2]。例如特权提升的对应技术有13种，包括滥用高级控制机制、访问令牌操作等。

此框架可以替代洛克希德·马丁提出的网络杀伤链（cyber kill chain）^[2]。

Enterprise ATT&CK

Enterprise ATT&CK是以看板工具（英语：kanban board）呈现的全面性框架^[3]。其中定义14类的战术、技术和程序（英语：Terrorist Tactics, Techniques, and Procedures）（TTPs），是网络犯罪者会用的方法，以及其峃关的技术和子技术。

分类	说明	技术数量
侦察（Reconnaissance）	收集有关目标的资讯	10
资源建立（Resource Development）	识别攻击需要的资源，并取得资源	8
初步存取（Initial Access）	开始存取系统或是网络.	10
程式执行（英语：Execution (computing)）（Execution）	在系统中执行恶意的程式	14
持久化（Persistence）	持续的存取系统或是网络	20
特权提升（Privilege Escalation）	在系统或是网络中的特权得以提升	14
防御逃逸（英语：Evasion (network security)）（Defense Evasion）	停用或规避安全措施.	43
凭证存取（Credential Access）	获得存取其他系统或资料的凭证	17
发现（Discovery）	识别系统中的其他系统或是资讯	32
网络横向移动（英语：Network Lateral Movement）（Lateral Movement）	在在受感染的网络内横向移动（移动到其他同层次的设备）	9
收集信息（Collection）	收集受感染系统内的资料	10
指挥控制（Command and Control）	建立和受感染系统之间的通讯	17
数据窃取（Exfiltration）	将从受感染系统中窃取的资料转移到系统外	9
冲击（Impact）	采取行动，达到攻击者的目的	14

参考资料

^ What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. （原始内容存档于2023-04-05）（英语）.
^ ^2.0 ^2.1 ^2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. （原始内容存档于2023-03-19）（英语）.
^ MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].

外部链接

MITRE ATT&CK （页面存档备份，存于互联网档案馆）
用MITRE ATT&CK框架识别攻击链，让入侵手法描述有一致标准（页面存档备份，存于互联网档案馆）

[1] What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. （原始内容存档于2023-04-05）（英语）.

[crowdstrike-2] 2.0 ^2.1 ^2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. （原始内容存档于2023-03-19）（英语）.

[3] MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].

[1]

[2]

[3]