MITRE ATT&CK框架已成为现代企业组织开展网络安全防护工作的宝贵资源，提供了基于真实世界观察的网络攻击战术、技术和流程的全面映射，能够帮助企业安全运营团队更加有效地应对这些威胁和攻击。多年来，这套框架随着组织和威胁领域的创新和升级而不断发展。不过由于涉及180余种技术和数百种子技术，这套框架看起来非常复杂，因此让很多企业在实际应用时挑战重重。

ATT&CK框架的典型用例

为了让组织更好利用Mitre ATT&CK框架改进网络安全计划，帮助安全团队尽快上手使用这一工具。研究人员总结了5种ATT&CK框架的典型应用场景，企业可以优先将ATT&CK框架应用到这些安全工作场景中。

1 红队测试

开展红队测试已经成为现代企业网络安全能力体系建设中不可或缺的环节。这一工作的本质就是扮演潜在攻击者的角色，全面梳理组织的IT资产，寻找其中的漏洞和攻击路径，以便更好地修复或应对风险。红队测试的作用不仅仅在于发现安全问题，对系统开发人员深入了解计算机系统也会大有帮助。

鉴于红队测试工作的重要性，组织应该寻找广泛的资源以确保其能够充分实施。而ATT&CK框架能够有效帮助红队开展测试演练工作，并实现以下目标：

• 识别网络中被疏忽的安全漏洞；

• 评估当前的防御计划和措施是否能够达到预期的防护效果；

• 发现并预警未知的新型攻击源；

• 寻找被忽视的网络安全环节，并对防护策略进行整体优化。

2 提升安全运营成熟度

通过Mitre ATT&CK框架，有助于评估组织现有的安全运营工作实践和技术措施是否足以保护企业免受攻击。安全运营团队可以根据框架中概述的技术进行测试，以确定组织的实践和流程能否检测潜在威胁和可疑行为，并生成警报。

Mitre认为，组织可以借助ATT&CK框架指导SOC成熟度评估。安全运营团队可以使用MITRE ATT&CK框架来提供上下文威胁情报，以改进优先级、根本原因分析和响应，并从以下方面提高安全运营中心的成熟度：

• 分类警报——将警报分类到ATT&CK矩阵中，以便根据严重程度更合理地确定处理优先级；

• 识别补救措施——将检测到的行为与ATT&CK技术相对应，以指导制定遏制和补救计划的工作；

• 确定调查范围——使用ATT&CK框架针对指挥和控制、发现和横向移动等类别指导进一步调查；

• 充实警报——添加ATT&CK技术ID为一线分析师提供关键的上下文；

• 详细记录——记录与ATT&CK技术对应的事件可以帮助团队了解事件、改进检测。

3 防范内部威胁

内部威胁已经成为现代企业必须面对的重要安全挑战，很多重大网络安全事件都是由内部因素所引发。然而，由于内部人员行为的复杂性，很多企业对内部威胁缺乏有效的应对措施，只能在事件发生后被动地进行补救响应。

虽然 ATT&CK框架主要针对外部攻击，但在其最新版本中，也提供了多种与内部攻击相关的防护策略，能够帮助组织快速识别攻击并确定威胁分子来自内部还是外部。比如说，ATT&CK框架建了安全团队使用应用程序身份验证日志来跟踪内部攻击，因为这些日志会关注用户身份，而其他安全工具往往会更多地关注设备信息。

4 主动开展威胁狩猎活动

威胁狩猎是一种主动和可持续的网络安全方法，旨在识别和缓解威胁，避免其对组织造成重大危害。组织实施威胁狩猎计划的核心目标就是要缩短出现危险和完成攻击之间的时间差，即所谓的“停留时间”。因为当攻击行为者在企业环境中停留的时间越长，他们可能造成的伤害后果就越大。

ATT&CK框架能够从以下方面支持更高效的威胁狩猎活动：

• 进行假设——ATT&CK框架为安全分析师提供了针对初始访问、执行和持久潜伏等类别所要检查的已知技术；

• 确定狩猎范围——安全分析师可以将范围限定于特定的行为类别，以提高效率；

• 检测盲点——ATT&CK技术可以快速发现并显示当前安全分析工作的缺口；

• 扩大狩猎——狩猎引发的检测可以揭示相关的ATT&CK技术，并扩大调查范围；

• 方法和报告——ATT&CK框架为威胁狩猎计划、报告发现和跟踪覆盖范围提供了一致的表述。

5 入侵和攻击模拟

尽管企业实施了各种安全控制措施和攻击防护程序，但许多组织仍然发现他们的网络安全战略并不够全面，仍然会面临较大的网络攻击风险。而BAS是一种功能强大的工具，主要用于测试IT安全工作、持续模拟攻击和运行场景。大量的应用实践表明，BAS能够为企业是否足以抵御日益复杂的攻击提供有效见解。

在Mitre官网，列出了主要的威胁分子团伙以及他们攻击的企业和政府类型。安全团队可以利用这些信息来模拟这些团伙常用的攻击手法。一些供应商还推出了专门面向Mitre ATT&CK框架的BAS工具，借助这些工具，组织能够全面了解当前的整体安全性。

ATT&CK框架的最佳实践

为了更充分利用ATT&CK框架，Mitre同时建议组织应该采取以下最佳实践措施：

• 优先考虑检测——专注于自动化检测常用的ATT&CK技术和影响力很大的那些技术。

• 建立威胁狩猎矩阵——制定基于ATT&CK的狩猎计划，涵盖演练过程中发现的常见风险和缺口，并优先考虑实现高价值技术检测的自动化。

• 映射检测——确定每个检测规则、工具或控制机制针对ATT&CK中的哪些攻击者技术。对测试中所发现的任何安全性缺口都应该及时修补。

• 充实警报——在安全警报中加入ATT&CK技术ID，以加快安全事件的调查和响应。

• 培训分析师——培训安全分析师学会如何在日常安全运营工作和事件调查中熟练利用ATT&CK框架。

• 加强演练——应该在红队测试、桌面演练和渗透测试中广泛使用ATT&CK框架中的技术模拟攻击者的行为。

• 指导补救措施——快速确定安全事件中所使用的ATT&CK技术，并以此指导后续的攻击遏制和补救措施。

• 基于ATT&CK的分析技术——优先考虑基于ATT&CK技术分析行为的解决方案，力求检测更精准。

• 最新的框架版本——组织应该选择与ATT&CK知识库相一致的的检测、分析和响应解决方案，并密切关注MITRE的框架定期更新、攻击者模拟计划和新技术细节，保持与时俱进。

参考链接：

https://www.techtarget.com/searchsecurity/tip/Mitre-ATTCK-framework-use-cases

Making the Most of the MITRE ATT&CK Framework: Best Practices for Security Teams