前段時間我們介紹了一些防禦的工事，也提到了一些攻擊方法，不過對大多數新手來說，要如何把理論化為實際才是最重要的。而在這之中，有一個公開的知識庫用來追踪並分類駭客攻擊技術和行為，雖然他主要的目的在幫助安全專家理解並防禦現實駭客攻擊，不過我們也能藉由這些資料來學習駭客們常用得技術及策略，那便是今天要分享的內容:MITRE ATT&CK。

什麼是 MITRE ATT&CK？

MITRE ATT&CK 是一個詳細列舉出大部分駭客技術、工具、戰術的知識庫，他提供系統性的框架來描述駭客如何執行攻擊。這些技術被分為不同的戰術，每個戰術對應不同的攻擊階段。

主要架構

ATT&CK 架構是由一系列的 Tactics、Techniques組成，每一種策略代表攻擊過程中的不同階段，每一種技術則代表駭客在這些階段中可能使用的方法。

• Tactics： 描述駭客在攻擊過程中的不同目標階段。可以是「初始訪問」、「執行」或「數據竊取」。

• Techniques： 技術是具體的攻擊方法，對應於特定戰術。例如使用釣魚攻擊來獲取初始訪問權限，或利用憑證竊取來獲取系統的訪問權限。

• Sub-Techniques： 在某些技術下，可能還會有更細化的子技術，這些子技術針對具體的方法進行說明。例如憑證竊取可以分為使用工具或利用內存中的憑證來竊取信息。

• Procedures： 每種技術在現實攻擊中的具體執行方式，描述駭客如何實際操作和利用這些技術來達到攻擊目標。

如何查看 MITRE ATT&CK?

官網:https://attack.mitre.org/

開啟官網後可以看到下面的表格:

第一欄代表的是Tactics，像是:Reconnaissance、Execution等等
第二欄寫的10 techniques則是在戰術分類下，有10個技術。
所以說，如果駭客想完成TA0043，也就是Reconnaissance的戰術，就需要用到以下十個技術中的一個，如Active Scanning(T1595)。

如果要查看技術細節的話，點入該技術後會看到其附屬的子技術，這邊用Active Scanning(T1595)來解釋。

若使用得剛好是Scanning IP Blocks，便可以標明自己是使用T1595.001。
除了子技術外，還同時附上了攻擊範例、如何緩解及如何偵測。

MITRE ATT&CK 的優勢

1. 系統化框架： 他將駭客技術、戰術進行了標準化分類，使防禦者可以依據這些分類建立對應的防禦機制。

2. 全球共享的知識庫： 他會不斷更新知識庫，基於全球範圍內的真實攻擊案例來更新技術和策略。

3. 適用於多種環境： 她不僅適用於企業環境，還可以應用於雲端系統、虛擬化環境以及工業控制系統（ICS）。

對各方勢力的用處

• 如果是防禦方，可以使用 ATT&CK 來分析當前的防禦措施是否足夠，並補足那些可能被駭客利用的技術或戰術。還可以用來優化威脅檢測系統，並提高事件響應的效率。

• 若是想成為駭客的人，除了從範例攻擊程式中學習攻擊的邏輯、手法外，理解 ATT&CK 的技術和戰術還可以更深入理解安全系統如何檢測這些技術，從而找到繞過檢測的方法。