ATT&CK技术与数据源映射图 说明：在该图中，选择了12个数据源，来展示通过正确的收集和分析方法，每种数据源能够检测到的技术。 青藤云安全 青藤云安全以服务器安全为核心，采 用自适应安全架构，将预测、防御、监控 和响应能力融为一体，构建基于主机端的 安全态势感知平台，为用户提供持续的安 全监控、分析和快速响应能力，帮助用户 在公有云、私有云、混合云、物理机、虚 拟机等多样化的业务环境下，实现安全的 统一策略管理，有效预测风险，精准感知 威胁，提升响应效率，全方位保护企业数 字资产的安全与业务 的高效开展。 联系我们 地 址：北 京市海淀区创业路8号 1号楼5层 客服热线：400-188-9287 电 话：010-53520955群英科技园Mitre ATT&CK 为了帮助网络防御者了解他们面临的 威胁，MITRE开 发了ATT&CK 框架。这 是一个全球可用的对抗战术与技术知识 库，是基于网络社区提供的真实攻击事件 和开放源代码研究而建立的。ATT&CK框 架提供了对对抗战术、技术和步骤以及如 何检测、预防和/或缓解对抗战术、技术和 步骤的常识知识，得到了全球各地的组织 机构的广泛使用。ATT&CK是 开源的，可 供任何个人或组织免费使用。六十年来， MITRE 解决了许多危及公共安全、稳定和 福祉的复杂问题。MITRE与 网络社区共同 携手，打造更强大的威胁防御方案，共创 更安全的世界。ATT&CK的四大场景 1.威胁情报 有许多来源可以提供威胁情报，包括对过 去事件的了解、商业威胁信息、信息共享组 织、政府威胁情报共享等等。ATT ＆CK为 分析 师提供了一种通用语言，可以让不同的组织机 构就不同报告进行交流沟通，从而提供了一种 组织、比较和分析威胁情报的方法。 2.检测分析 基于ATT&C K框架进行检测分析，这种方 式跟传统检测方式有所不同。基于ATT&CK 检 测分析并不是识别已知的恶意行为然后进行拦 截，而是通过不同数据源收集发生的事件的日 志和事件数据，然后使用这些数据来识别是否 是ATT&CK中所描述的可疑行为。 3.攻击模拟 最好的防御方案是经过验证的防御方案。 ATT&CK提供了一个基于威胁情报的通用对抗 行为框架，红队可以使用该框架来模拟威胁。 这有助于网络防御者发现在可见性、防御工具 和流程方面存在的缺口，然后加以修复。 4.评估改进 评估改进建立在前三个场景的基础之上， 主要是为安全工程师和架构师提供有用数据， 以证明基于威胁的安全改进是有效的。主要包 括以下是三个方面： （1）评估防御技术是否能有效应对 ATT&CK中的攻击技术和攻击者。 （2）确定当前优先级最高的需要补缺的 防御方向。 （3）修改或者新增一个技术去弥补当前 的缺口。