1.1.3　ATT&CK框架与Kill Chain模型的对比

从ATT&CK框架的前期发展来看，ATT&CK模型在洛克希德·马丁公司提出的Kill Chain模型的基础上，构建了一套更细粒度、更易共享的知识模型和框架。如图1-6所示，2014年ATT&CK只有8项战术，基本上和Kill Chain模型的7个步骤一致。

图1-6　2014年的ATT&CK框架

现在整个Enterprise ATT&CK矩阵内容变得丰富，已发展为14项战术，其中，前两项战术——侦察和资源开发（由原来的PRE ATT&CK矩阵演变而来）覆盖了Kill Chain的前两个阶段，包含了攻击者利用特定目标网络或系统漏洞进行相关操作的战术和技术，后面的12项战术则覆盖了Kill Chain的后五个阶段（见图1-7）。

图1-7　Enterprise ATT&CK与Kill Chain的映射图

但是，ATT&CK的战术与Kill Chain的不同之处在于，攻击者在使用ATT&CK战术时不遵循任何线性顺序。相反，攻击者可以随意切换战术来实现最终目标。ATT&CK框架的14项战术没有高低之分，都同样重要。组织机构需要对当前防御策略的覆盖范围进行分析，评估其面临的风险，并采用措施来补足防御短板。

ATT&CK除了在Kill Chain的基础上更加细化，还介绍了在每个防御阶段可以使用的技术，而Kill Chain则没有这些内容。