前言

由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年，其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一诞生，便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来，ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。ATT&CK框架提供了许多企业过去一直在努力实现的关键能力：开发、组织和使用基于威胁信息的防御策略，以便让合作伙伴、行业、安全厂商能够以一种标准化的方式进行沟通交流。

本书按照由浅入深的顺序分为四部分，第一部分为ATT&CK入门篇，介绍了ATT&CK框架的整体架构，并对当前备受关注的ATT&CK容器矩阵以及在入侵检测中容易被忽视的数据源问题进行了介绍；第二部分为ATT&CK提高篇，介绍了如何结合ATT&CK框架来检测一些常见的攻击组织、恶意软件和高频攻击技术，并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析；第三部分为ATT&CK实践篇，介绍了ATT&CK的一些应用工具与项目，以及如何利用这些工具进行实践（实践场景包括威胁情报、检测分析、模拟攻击、评估改进），改善安全运营，进行威胁狩猎等；第四部分为ATT&CK生态篇，介绍了MITRE的主动防御项目——MITRE Shield（它能够有效地与MITRE ATT&CK映射起来，对ATT&CK框架中的攻击技术给出有效的防御措施）以及ATT&CK的另一个应用场景——ATT&CK测评。

在ATT&CK框架出现之前，评估一个组织的安全态势可能是一件很麻烦的事情。当然，安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法，但始终有一个问题萦绕在他们的心头：“如果我漏掉了某些攻击，会产生什么后果？”但如果安全团队验证了很多攻击方法，就很容易产生一种虚假的安全感，并对自己的防御能力过于自信。毕竟，我们很难了解我们并不知道的东西。

幸运的是，ATT&CK框架的目标就是解决这一问题。MITRE公司经过大量的研究和整理工作，建立了ATT&CK框架。ATT&CK框架创建了一个包括所有已知攻击方法的分类列表，将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来，可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT&CK框架的目标是成为一个不断更新的数据集，一旦行业内出现了经过验证的最新信息，数据集就会持续更新，从而将ATT&CK打造成为一个所有安全人员都认为是最全面、最值得信赖的安全框架。

现在，信息安全团队可以根据ATT&CK提供的知识体系对自己进行评估，以便确定他们已经覆盖了所有必要领域，不会遗漏任何重要的“未知的未知”。因此，通过不断更新经行业验证的攻击方法和相关信息，ATT&CK框架提供了行业中最全面的与已知攻击方法相关的信息，为评估网络防御方面的差距提供了一个非常有用的工具。