美光科技术语表

Mitre Att&ck

霓虹矩形互相交叠

MITRE ATT&CK(也称为 Mitre ATT&CK 或 Mitre Attack) 是“Adversarial Tactics, Techniques and Common Knowledge”(“对抗性战术、技术与常识”)的首字母缩写。它是公开可访问、持续更新的知识库,收录了现实世界网络攻击中所使用的对抗性战术、技术和程序 (TTP)。

该框架由非营利组织 MITRE 开发,旨在帮助网络安全专业人员了解攻击者的运作方式、模拟威胁场景并加强防御能力。

了解美光的安全内存和存储解决方案如何契合 MITRE ATT&CK 框架,从而强化网络安全防御,也可联系美光的销售支持团队了解更多详情。

什么是 MITRE ATT&CK?

MITRE ATT&CK 的定义:MITRE ATT&CK 是汇集了以往网络攻击中所使用的战术、文档和框架的综合数据库,旨在帮助改进网络安全实践。

MITRE ATT&CK 框架源于对了解和应对现实世界网络威胁的需求,已成为描绘攻击者行为及加强网络安全防御能力的全球标准。MITRE ATT&CK 使网络安全专业人员能够模拟威胁、评估防御能力并改进事件响应策略。

ATT&CK 框架将威胁行为组织成结构化矩阵,清晰展示了攻击者如何渗透系统、横向移动以及外泄数据。通过将安全策略与这些观察到的模式相匹配,组织可以提升威胁检测、事件响应能力以及红队演习效果。

注意:MITRE 并非首字母缩略词,而是指创建该框架的组织。ATT&CK 是首字母缩略词,代表“对抗性战术、技术与常识”(“Adversarial Tactics, Techniques and Common Knowledge”)。

不妨将 MITRE ATT&CK 看作庞大的网络威胁情报图书馆,其中的每种战术和技术都是一本“书”,详细记录了攻击者的运作方式。美光的内存和存储技术犹如安全的书架和锁具,保护着这座“图书馆”免受未经授权的访问。

MITRE ATT&CK 通过多种方式帮助​网络安全团队促进良好实践。其中包括:

  • 模拟以往的网络攻击,以测试安全准备情况。
  • 识别网络安全防御中的缺漏。
  • 根据威胁的相关性,实施量身定制的保护策略。
  • 支持主动威胁猎捕和事件响应。

MITRE ATT&CK 为众多网络安全团队提供了极具价值的见解,帮助他们深入了解复杂网络攻击的手段,并获取最佳应对策略,同时还能有机会在安全、受控的环境中对攻击行为进行测试。

MITRE ATT&CK 的工作原理是什么?

MITRE ATT&CK 是框架结构,其根据现实世界的观察结果,将网络攻击行为进行整理归类。这有助于网络安全团队了解威胁的发展情况,以及如何加以防御。

矩阵结构使用户能够以简单直观的方式浏览数据库,从而更轻松了解网络威胁和网络攻击的运作机制。

MITRE ATT&CK 框架分为三个关键部分:战术、技术和程序。

  • 战术:攻击的目标(例如,获取访问权限、实现持久性)。
  • 技术:为实现这些目标所采用的方法(例如,凭证转存)。
  • 程序:技术执行方式的现实示例。

网络攻击还会按域(例如,Windows、macOS、Linux、iOS 等)进一步分类。这使网络安全团队能够追踪特定操作系统上哪些威胁更为常见,并据此评估风险。

例如,如果组织同时拥有网站和移动应用,则需要针对桌面和移动平台量身定制的网络安全策略。MITRE ATT&CK 可帮助团队识别哪些类型的攻击与特定环境最相关,无论是针对 Windows 服务器的恶意软件,还是渗透进移动设备中的山寨应用。

通过了解哪些威胁对业务构成最大风险,网络安全团队可以合理安排防御优先级并高效配置资源,将精力集中在影响重大的威胁上,而非发生概率较低的威胁。

MITRE ATT&CK 的发展历程是怎样的?

MITRE ATT&CK 的发展历史虽然相对较短,但 MITRE ATT&CK 对网络安全的影响却极为深远。自创建以来,该框架一直迅速发展,以应对日益复杂的网络威胁。

MITRE ATT&CK 最初只是内部研究项目,如今已发展成为广受全球认可的资源,帮助各行各业的网络安全团队了解、模拟并防御现实世界中的攻击。

  • 2013 年,MITRE ATT&CK 创立:MITRE ATT&CK 始于 2013 年,是 MITRE Corporation 一项研究计划的一部分。MITRE Corporation 是一家非营利组织,致力于为美国联邦政府提供工程与技术指导。该框架最初的开发旨在支持联邦网络安全工作,但很快便证明其在记录现实世界中攻击者行为方面很宝贵的价值。这一最初作为内部工具开发的项目,后来演变为公开可访问的资源,为威胁建模和网络防御领域的全球标准奠定了基础。
  • 2015 年,公开发布:MITRE ATT&CK 已向公众发布,使各领域的网络安全团队能够采用一种共同的语言来描述攻击者的战术、技术和程序。威胁情报的普及化标志着组织在检测和响应方法方面发生了重大转变。
  • 2017-2020 年,跨领域扩展:该框架已扩展至涵盖移动设备和工业控制系统 (ICS) 矩阵,反映了移动平台和操作技术领域日益扩大的攻击面。这一期间,还推出了子技术,旨在提高威胁建模的粒度。
  • 2023 年,云及相关活动:ATT&CK 增加了对云环境、容器和 ATT&CK 活动的支持,使防御人员能够跨混合基础设施追踪威胁行为者的行为。该框架还重新定义了数据源和检测映射,从而提升了其在安全信息和事件管理 (SIEM) 以及威胁猎捕团队中的实用价值。
  • 2025 年,AI 融合与策略更新:为应对 AI 驱动的攻击增多,MITRE 推出了“人工智能系统对抗性威胁全景”(ATLAS) 框架。该补充框架旨在应对针对 AI 模型和系统的威胁。
  • 2025 年 -“防御规避”战术被废止:MITRE 宣布计划弃用“防御规避”战术,取而代之的是两种新战术:隐匿防御和弱化防御。此次结构调整更准确地反映了攻击者的目标,并使防御人员能够对此有更清晰的了解。

自发布以来,MITRE ATT&CK 框架已发展成为威胁建模和攻击者仿真领域的全球标准。从业者通常使用​ ​ATT&CK Navigator,这是一款基于 Web 的工具。借助该工具,团队能够可视化、标注和共享针对其环境量身打造的定制化威胁矩阵。

MITRE ATT&CK 框架有哪些主要类型?

MITRE ATT&CK 涵盖多个领域,每个领域都针对特定威胁环境进行了量身定制。这些领域有助于网络安全团队将精力集中在与其系统和平台最为相关的攻击类型上。

企业版 ATT&CK

企业版 ATT&CK 侧重于为企业网络安全提供指导,保护组织系统免受网络攻击。此类攻击通常针对 Windows、macOS、Linux 等系统以及云环境。这些系统通常支持业务关键型应用程序和数据,因此成为了攻击者的首要目标。

针对企业域的网络攻击涉及企图未经授权地访问敏感数据,这些数据可能存储在组织的数据库中,也可能通过云存储远程存储。常见的攻击向量包括:未经授权访问敏感数据、恶意软件渗透、滥用管理员权限,以及通过云存储进行数据外泄。

此类攻击可能导致运营中断、客户数据泄露以及品牌信任受损,因此企业安全已成为重中之重。

移动 ATT&CK

MITRE ATT&CK 的移动框架旨在应对针对智能手机、平板电脑和移动应用发起的威胁。随着移动设备在个人和业务工作流中日益占据核心地位,攻击者也越来越多地将移动设备作为目标,以窃取凭证、监控活动或安装恶意软件。

示例包括:

  • 山寨应用:这些应用伪装成银行界面,以窃取登录详细信息。
  • 恶意短信:其中嵌有恶意软件链接。
  • 屏幕录制:通过被入侵应用进行漏洞利用。

移动威胁往往能绕过传统的安全措施,因此提高安全意识并采取主动防御至关重要。

工业控制系统 ATT&CK

MITRE ATT&CK 的工业控制系统 (ICS) 框架专注于针对工业环境(如工厂、公用事业和基础设施)的网络威胁。这些系统控制泵、阀门和电机等物理设备,并且通常连接到运营网络。

该领域的攻击可能导致:

  • 工业流程中断。
  • 设备遭受物理损坏。
  • 对人员和公众构成安全风险。

由于 ICS 环境通常依赖于旧有系统,对停机时间的承受能力有限,因此网络安全策略必须既稳健又高度专业化。

MITRE ATT&CK 是如何应用的?

自 MITRE ATT&CK 公开发布以来,该框架已成为各组织网络安全培训不可或缺的一部分。MITRE ATT&CK 广泛应用于:

  • 威胁检测与模拟:安全团队利用该框架在安全环境中复现现实攻击场景,从而帮助他们在实际威胁出现之前对其进行测试并完善防御措施。
  • 安全漏洞分析:通过将已知攻击手段与现有安全控制措施进行对映,组织可以识别出漏洞以及需要加强的方面。
  • 网络安全培训与教育:ATT&CK 作为面向所有层级专业人士的学习工具,在攻击者运作方式以及有效应对策略方面提供了结构化见解。
  • 主动威胁猎捕:通常在传统警报触发之前,分析人员会使用 ATT&CK 来搜索系统内的恶意活动迹象,从而实现更早的检测和响应。

美光的安全内存和存储解决方案可助力对威胁情报的快速、可靠访问,并确保整个企业和工业环境中的数据完整性,从而为这些工作提供支持。

常见问答

MITRE ATT&CK 常见问答

MITRE 并非首字母缩略词。MITRE 这一名称由一位早期董事会成员选定。当时,作为麻省理工学院 (MIT) 林肯实验室分拆出来的军事智库,MITRE Corporation 于 1958 年成立。尽管该组织的名称偶尔会出现不同的写法,但“MITRE”仍是其官方形式,特别是在提及 MITRE ATT&CK 等框架时。 

MITRE ATT&CK 为网络安全团队提供了多项关键优势。其能记录实际的攻击者行为,支持现实世界威胁建模,从而帮助组织为真实攻击场景做好准备。

 

其公开可访问性确保了各种规模的团队(从初创公司到全球性企业)都能从其提供的见解中获益。该框架具有跨领域的适用性,因此可在各种操作系统、环境和行业中使用。

 

最重要的是,MITRE ATT&CK 鼓励根据不断演变的威胁定期更新和完善防御策略,从而为网络安全态势的持续改进提供支持。 

MITRE ATT&CK 的一个显著局限在于其缺乏分层优先级排序。虽然该框架提供了全面的战术和技术目录,但并未按严重程度或发生概率对它们进行排序。这可能会给安全团队带来挑战,使其难以对威胁进行分类处理并确定应首先应对的攻击向量,在资源受限的环境中尤其如此。

请访问 attack.mitre.org,下载 MITRE ATT&CK 框架,访问 STIX 格式的数据集,并了解 ATT&CK Navigator 和 Workbench 等工具。