正如《孙子兵法.谋攻篇》书中所述“知己知彼,百战不殆”，在网络作战中也是同样道理，只有更了解攻击者，才能更好地发现自身薄弱环节，从而弥补自身缺陷和优化防御方式，保护企业网络安全。

当前，ATT&CK已经成为实战化攻防演练中重要的参考标准。它是一种攻防战术框架，反映攻击者攻击生命周期中各个阶段的攻击行为模型和知识库，主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎、日常监测与检测、攻击模拟与分析、缓解与防御差距评估等场景和领域，站在攻击者的视角来描述攻击过程中用到的战术技术的模型。站在攻击者视角，通过不断地攻防演练测试和评估，学习攻击者的技术和方法，就可以提升安全检测与分析系统的检测能力，不断扩大技术覆盖范围，丰富技术知识库，不断缩小与攻击者的技术和知识差距，其目标是以攻促防，以防验攻。

ATT&CK改变了我们对IP、域名、哈希和静态特征码等低级威胁指标(IOC)的认知，让安全业界从行为视角来看待攻击者和防御措施，即攻击指标(IOA)，它描述了攻击者所使用的攻击战术、技术和过程(TTP)。

ATT&CK(v10)将安全事件划分为14个阶段，即14种战术指导思想(从v9开始增加了PRE-ATT&CK：侦查、资源开发)，在同一次实战攻击场景中不太会同时覆盖全部的战术，以减少被发现的机率，但其顺序和方向是固定的，理论上通过攻击者的TTP分析，攻击者行为方向和目标是可以预测的。

高级可持续性威胁的手段和方法越来越贴近用户日常操作，如信息收集、分析工具使用等，具有潜伏性、隐蔽性、持续性、针对性及多样化等特点，攻击力量分散和无明显攻击特征，这也给传统检测方法带来了挑战，威胁分析检测已不能通过常规的单一风险告警和攻击活动来判定，通过ATT&CK模型可提升网络攻击感知能力，增加未知威胁检测能力，同时防御方也可以通过该矩阵继续细化未覆盖技术检测点。

ATT&CK战术及解释(v10)

ATT&CK之所以越来越受大众青睐，是因为它提供了理论基础，适应多种应用场景和价值。

 ATT&CK的价值体现

回到开头的案例，基于ATT&CK框架能够有效识别资产（终端/服务器）风险，发现疑似被攻陷的内网主机。在AXDR上通过为每个资产创建独立的ATT&CK主机威胁分布矩阵图，汇聚了该主机上近期被检测到的所有攻击技术活动。然后根据ATT&CK矩阵的攻击技术的分布特征训练异常模型，来监控主机是否失陷。异常模型从以下三个维度甄别攻击：

AXDR不仅在攻击行为态势感知上能够准确识别，还可对风险技术点可视化展示，定位到风险告警点进行失陷判定和溯源。根据攻击行为告警判断，攻击者利用系统NetLogon 特权提升漏洞（CVE-2020-1472）进行了权限维持、建立反弹shell、域控主机信息发现、凭证访问等操作，然后横向渗透目标是访问并控制AD(Active Directory)域控主机窃取数据。

 原始告警列表

ATT&CK来源于真实场景应用框架，是威胁情报抽象的最高层次，从攻击战术、技术和过程(TTP)来分析的攻击层面，在安全运营、攻击检测等方面都具有重大指导作用。该框架提供了一种方法来描述开发的新技术，希望防御者能够紧随技术发展的新步伐，在红蓝对抗时，也逐步成为红队和蓝队的通用语言和通用技术库。AXDR与ATT&CK相结合的技术，帮助企业发现未知威胁，防患于未然。