如果說 Cyber Kill Chain 描繪了攻擊的「流程骨架」，那麼 MITRE ATT&CK 就是一本詳細拆解了敵人所有「技能」的百科全書。它是一個全球共用的、基於真實世界觀察的、對抗性戰術與技術的知識庫。

ATT&CK 不再專注於攻擊的線性流程，而是聚焦在「攻擊者實際做了什麼」(How) 以及「他們為什麼這麼做」(Why)。它提供了一套共通的語言，讓資安人員、威脅情資分析師、紅藍隊等，能夠精確地描述與交流駭客的行為。

ATT&CK 的核心組成：TTPs
ATT&CK 的精髓在於它的核心結構：戰術 (Tactics)、技術 (Techniques) 與程序 (Procedures)。

1. 戰術 (Tactics) - 攻擊者的「為什麼」
戰術代表了攻擊者在某個階段想要達成的高層級目標。每一個戰術都對應著一個攻擊意圖。在 ATT&CK Enterprise Matrix 中，總共有 14 個戰術，例如：

Initial Access (初始存取)：如何進入你的網路？

Execution (執行)：如何在你的系統上運行惡意程式碼？

Persistence (持續性)：如何在重啟後依然能控制你的系統？

Privilege Escalation (權限提升)：如何從普通使用者權限變成管理員權限？

Lateral Movement (橫向移動)：如何在內網中從一台電腦移動到另一台？

Exfiltration (資料竊取)：如何將偷來的資料傳送出去？

2. 技術 (Techniques) - 攻擊者的「如何做」
技術是攻擊者用來達成某個「戰術」的具體方法。一個戰術底下可以包含多種技術。每個技術都有一個唯一的 ID (例如 T1566)。

範例：為了達成 Initial Access (初始存取) 這個戰術，攻擊者可能使用以下技術：

Phishing (釣魚) - T1566

Drive-by Compromise (路過式攻擊) - T1189

Exploit Public-Facing Application (利用對外應用程式漏洞) - T1190

3. 程序 (Procedures) - 攻擊者的「具體實現方式」
程序是某個攻擊團體 (APT) 或某個惡意軟體如何實現一個「技術」的具體描述。

範例：同樣是 Phishing (T1566) 這個技術，不同的攻擊團體有不同的程序：

APT28 (Fancy Bear) 可能會發送一封帶有惡意 Word 文件附件的魚叉式釣魚郵件。

FIN7 這個金融犯罪團體，可能會發送一封偽裝成發票、內含惡意連結的釣魚郵件。

MITRE ATT&CK 框架是現代主動防禦的基礎。它將資安防禦的重心從過去關注「特徵」(Indicators of Compromise, 如 IP、Domain、File Hash) 轉向了關注「行為」(Behavior)。因為特徵容易改變，而攻擊者的核心行為和戰術則相對穩定。

透過理解和應用 ATT&CK，企業能夠更精準地模擬敵人、評估自身防禦、鎖定盲點，並從被動的警報回應，轉變為主動、基於情報的威脅獵捕，從而建立起更具韌性的防禦體系。