ATT&CK

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge，入侵者戰術、技術和共有知識庫）或MITRE ATT&CK，是以駭客的視角，針對網路攻擊入侵進行分類和說明的指南，由非營利組織MITRE（英语：Mitre Corporation）所創建，在2013年提出^[1]。會以表格的方式呈現，稱為ATT&CK Matrix。

此框架將網路攻擊分為十四個戰術階段，像是特權提昇（privilege escalation）及指揮控制（command and control），這也是入侵方在各階段的技術目的^[2]。戰術階段會往下列入為個別的技術和子技術^[2]。例如特權提昇的對應技術有13種，包括濫用高級控制機制、訪問令牌操作等。

此框架可以替代洛克希德·馬丁提出的網路殺傷鏈（cyber kill chain）^[2]。

Enterprise ATT&CK

Enterprise ATT&CK是以看板工具（英语：kanban board）呈現的全面性框架^[3]。其中定義14類的戰術、技術和程序（英语：Terrorist Tactics, Techniques, and Procedures）（TTPs），是網路犯罪者會用的方法，以及其峃關的技術和子技術。

分類	說明	技術數量
偵察（Reconnaissance）	收集有關目標的資訊	10
資源建立（Resource Development）	識別攻擊需要的資源，並取得資源	8
初步存取（Initial Access）	開始存取系統或是網路.	10
程式執行（英语：Execution (computing)）（Execution）	在系統中執行惡意的程式	14
持久化（Persistence）	持續的存取系統或是網路	20
特权提升（Privilege Escalation）	在系統或是網路中的特權得以提昇	14
防御逃逸（英语：Evasion (network security)）（Defense Evasion）	停用或規避安全措施.	43
憑證存取（Credential Access）	獲得存取其他系統或資料的憑證	17
發現（Discovery）	識別系統中的其他系統或是資訊	32
網路橫向移動（英语：Network Lateral Movement）（Lateral Movement）	在在受感染的網路內橫向移動（移動到其他同層次的設備）	9
收集信息（Collection）	收集受感染系統內的資料	10
指揮控制（Command and Control）	建立和受感染系統之間的通訊	17
数据窃取（Exfiltration）	將從受感染系統中窃取的資料轉移到系統外	9
衝擊（Impact）	採取行動，達到攻擊者的目的	14

參考資料

^ What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. （原始内容存档于2023-04-05）（英语）.
^ ^2.0 ^2.1 ^2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. （原始内容存档于2023-03-19）（英语）.
^ MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].

外部連結

MITRE ATT&CK （页面存档备份，存于互联网档案馆）
用MITRE ATT&CK框架識別攻擊鏈，讓入侵手法描述有一致標準（页面存档备份，存于互联网档案馆）

[1] What is the MITRE ATT&CK Framework?. Rapid7. [2022-04-18]. （原始内容存档于2023-04-05）（英语）.

[crowdstrike-2] 2.0 ^2.1 ^2.2 What is the Mitre Attack Framework?. crowdstrike.com. [2022-04-18]. （原始内容存档于2023-03-19）（英语）.

[3] MITRE ATT&CK. mitre.org. MITRE. [1 March 2024].

[1]

[2]

[3]