ATT＆CK框架实践指南

过去，入侵检测能力的度量是个公认的行业难题，各个企业得安全负责人每年在入侵防护上都投入大量费用，但几乎没有人能回答CEO 的问题："买了这么多产品，我们的入侵防御和检测能力到底怎么样，能不能防住黑客？”。这个问题很难回答，核心原因是缺乏一个明确的、可衡量、可落地的标准。所以，防守方对于入侵检测通常会陷入不可知和不确定的状态中，既说不清自己的能力高低，也无法有效弥补自己的短板。 Mitre ATT&CK 的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非一个学院派的理论框架，而是来源于实战。安全从业者们在长期的攻防对抗，攻击溯源，攻击手法分析的过程中，逐渐提炼总结，形成了实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的，而且具备非常高的使用价值。 青藤是一家专注于前沿技术研究的网络安全公司，自2017年开始关注ATT&CK，经过多年系统性的研究、学习和探索，积累了相对比较成熟和系统化的资料，涵盖了ATT&CK 的设计思想、核心架构、应用场景、技术复现、对抗实践、指标评估等多方面的内容。研究越深入，愈

这是一本全面、深入的对抗战术与技术知识库，它通过提供详细的战术、技术和步骤，帮助防守方更好地理解攻击者的行为，从而制定更有效的防御策略。这本书分为四个部分，从入门篇到提高篇，再到实践篇，最后到生态篇，为读者提供了全面的ATT&CK框架知识。 在入门篇中，作者介绍了ATT&CK框架的整体架构，并详细解释了每个战术和技术的含义和作用。这一部分还介绍了针对容器的ATT&CK攻防矩阵，以及命令和脚本解析器的分析与检测等关键内容点。 在提高篇中，作者深入分析了十大攻击组织和恶意软件的分析与检测，以及十大高频攻击技术的分析与检测等关键内容点。这一部分还介绍了典型攻击技术的复现，以及基于ATT&CK的运营流程等内容。 在实践篇中，作者详细介绍了ATT&CK应用工具与项目，以及ATT&CK场景实践等关键内容点。这一部分还介绍了基于ATT&CK的安全运营，以及基于ATT&CK的威胁狩猎等内容。 在生态篇中，作者介绍了MITRE Shield主动防御框架，以及ATT&CK测评等关键内容点。这一部分还介绍了青藤云安全的企业使命与愿景等内容。