1.1.2　ATT&CK框架背后的安全哲学

ATT&CK框架之所以能够从各类安全模型和框架中脱颖而出，获得众多安全厂商的青睐，主要是因为其核心的三个概念性想法，具体内容如下所示。

●　攻击视角：保持攻击者的视角。

●　实践证明：通过实例介绍跟踪攻击活动的实际情况。

●　抽象提炼：通过抽象提炼，将攻击行为与防御对策联系起来。

1.攻击视角

ATT&CK模型中介绍的战术和技术是从攻击者的视角出发的，而其他许多安全模型是从防守方的视角自上而下地介绍安全目标的（例如CIA模型），有的侧重漏洞评级（例如CVSS），有的侧重风险计算（例如DREAD）。ATT&CK使用攻击者的视角，相比于纯粹的防守方视角，更容易理解上下文中的行动和潜在策略。从检测角度而言，其他安全模型只会向防守方展示警报，而不提供引起警报事件的任何上下文。这只会形成一个浅层次的参考框架，并没有提供导致这些警报的原因，以及该原因与系统或网络上可能发生的其他事件的关系。

视角的转换带来的关键变化是，从在一系列可用资源中寻找发生了什么事情转变为按照ATT&CK框架将防守策略与攻击策略进行对比，预测会发生什么事情。在评估防守策略的覆盖范围时，ATT&CK会提供一个更准确的参考框架。ATT&CK还传达了对抗行动和信息之间的关系，这与使用何种防御工具或数据收集方法无关。然后，防守方就可以追踪了解攻击者采取每项行动的动机，并了解这些行动和动机与防守方在其环境中部署特定防御策略之间的关系。

2.实践证明

ATT&CK所描述的活动大多数取材于公开报告的可疑高级持续威胁组织的行为事件，这为ATT&CK能够准确地描述正在发生或可能发生的在野攻击奠定了基础。攻击技术研究一般会研究攻击者和红队可能通过哪些技术来攻击企业网络，这些技术可能会绕过目前常用的防守方案。ATT&CK也会将进攻性研究中发现的技术纳入其中。由于ATT&CK模型与事件密切相关，因此该模型基于可能遇到的实际威胁，而不是那些仅存于理论中的威胁。

ATT&CK主要通过以下几个渠道来收集新技术相关的信息：

●　威胁情报

●　会议报告

●　网络研讨会

●　社交媒体

●　博客

●　开源代码仓库

●　恶意软件样本

因为很多企业发现的绝大多数事件并未进行公开报道，所以除了以上几个渠道，ATT&CK还会通过未报告的安全事件获得新技术相关的信息。未报告的安全事件可能包含有关攻击者的作战方式和攻击手法的宝贵信息。通常，需要将潜在的敏感信息或危害性信息与攻击技术区分开来，这有助于发现新技术或者技术变体，也便于展示统计数据，显示技术使用的普遍性。

3.抽象提炼

ATT&CK框架的抽象提炼程度是该框架与其他威胁模型之间的一个重要区别。Cyber Kill Chain®、Microsoft STRIDE等模型对于理解攻击过程和攻击目标很有用，但是这些模型不能有效地传达攻击者要采取哪些动作，一个动作与另一个动作之间的关系，动作序列与攻击战略目标的关系，以及这些动作与数据源、防御措施、配置和用于特定平台与领域的其他应对措施之间的关系。

与漏洞数据库相关的“低级抽象模型”介绍了漏洞利用的软件实例（通常也会提供代码示例），但真实攻击环境与这些软件的使用环境和使用方式相去甚远。同时，恶意软件库通常缺少有关恶意软件的使用方式和使用者的背景信息，而且也没有考虑将合法软件用于恶意目的的情况。

像ATT&CK这样的“中级对抗模型”将各个组成部分联系了起来。ATT&CK中的战术和技术定义了攻击生命周期内的对抗行为，信息详细到足以据此制定防御方案，诸如控制、执行、维持之类的高级概念被进一步细分为更详细的类别，可以对攻击者在系统中的每个动作进行定义和分类。此外，中级模型可以补充低级模型所不具备的上下文信息，这一点很有用。ATT&CK的重点是基于行为的技术，而不是基于漏洞利用和恶意软件的技术，因为漏洞利用和恶意软件种类繁多，除了常规漏洞扫描、快速修补和IoC，很难通过整体防御程序对其进行梳理。

漏洞利用和恶意软件对于攻击者很有用，但要充分了解它们的效用，必须了解在哪种环境下可以借此实现哪些目标。相比之下，中级模型的作用更大，它可以结合威胁情报和事件数据来显示谁在做什么，以及特定技术的使用普遍性。表1-3显示了低级、中级和高级抽象模型与威胁知识数据库之间抽象级别的比较。

ATT&CK技术抽象提炼的价值体现在以下两方面：

●　通过抽象提炼，ATT&CK形成一个通用分类法，让攻击者和防守方都可以理解单项对抗行为及攻击者的攻击目标。

●　通过抽象提炼，ATT&CK完成了适当的分类，将攻击者的行为和具体的防守方式联系起来。