iT邦幫忙

2025 iThome 鐵人賽

DAY 16
0
Security

跨出第一步:D 從0到0.1的Web security 系列 第 16

DAY15:什麼是 MITRE ATT&CK

  • 分享至 

  • xImage
  •  

如果說 Cyber Kill Chain 描繪了攻擊的「流程骨架」,那麼 MITRE ATT&CK 就是一本詳細拆解了敵人所有「技能」的百科全書。它是一個全球共用的、基於真實世界觀察的、對抗性戰術與技術的知識庫。

ATT&CK 不再專注於攻擊的線性流程,而是聚焦在「攻擊者實際做了什麼」(How) 以及「他們為什麼這麼做」(Why)。它提供了一套共通的語言,讓資安人員、威脅情資分析師、紅藍隊等,能夠精確地描述與交流駭客的行為。

ATT&CK 的核心組成:TTPs
ATT&CK 的精髓在於它的核心結構:戰術 (Tactics)、技術 (Techniques) 與程序 (Procedures)。

1. 戰術 (Tactics) - 攻擊者的「為什麼」
戰術代表了攻擊者在某個階段想要達成的高層級目標。每一個戰術都對應著一個攻擊意圖。在 ATT&CK Enterprise Matrix 中,總共有 14 個戰術,例如:

Initial Access (初始存取):如何進入你的網路?

Execution (執行):如何在你的系統上運行惡意程式碼?

Persistence (持續性):如何在重啟後依然能控制你的系統?

Privilege Escalation (權限提升):如何從普通使用者權限變成管理員權限?

Lateral Movement (橫向移動):如何在內網中從一台電腦移動到另一台?

Exfiltration (資料竊取):如何將偷來的資料傳送出去?

2. 技術 (Techniques) - 攻擊者的「如何做」
技術是攻擊者用來達成某個「戰術」的具體方法。一個戰術底下可以包含多種技術。每個技術都有一個唯一的 ID (例如 T1566)。

範例:為了達成 Initial Access (初始存取) 這個戰術,攻擊者可能使用以下技術:

Phishing (釣魚) - T1566

Drive-by Compromise (路過式攻擊) - T1189

Exploit Public-Facing Application (利用對外應用程式漏洞) - T1190

3. 程序 (Procedures) - 攻擊者的「具體實現方式」
程序是某個攻擊團體 (APT) 或某個惡意軟體如何實現一個「技術」的具體描述。

範例:同樣是 Phishing (T1566) 這個技術,不同的攻擊團體有不同的程序:

APT28 (Fancy Bear) 可能會發送一封帶有惡意 Word 文件附件的魚叉式釣魚郵件。

FIN7 這個金融犯罪團體,可能會發送一封偽裝成發票、內含惡意連結的釣魚郵件。

MITRE ATT&CK 框架是現代主動防禦的基礎。它將資安防禦的重心從過去關注「特徵」(Indicators of Compromise, 如 IP、Domain、File Hash) 轉向了關注「行為」(Behavior)。因為特徵容易改變,而攻擊者的核心行為和戰術則相對穩定。

透過理解和應用 ATT&CK,企業能夠更精準地模擬敵人、評估自身防禦、鎖定盲點,並從被動的警報回應,轉變為主動、基於情報的威脅獵捕,從而建立起更具韌性的防禦體系。


上一篇
Day 14: Cyber kill Chain
下一篇
Day 16: Web 滲透測試策略
系列文
跨出第一步:D 從0到0.1的Web security 20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言