推荐序

自有互联网以来，网络安全问题相伴而生，随着互联网渗透到经济社会的方方面面，网络安全问题也愈演愈烈，危害也越来越大。网络安全问题从个别网络精英炫耀个人能力的恶作剧到具有明显目的的有组织犯罪，甚至成为有政府背景的网络战的一种形式。

网络安全问题的内因是网络设备的后门和网络软件的漏洞以及人为操作失误，外因是遭遇外部入侵或感染病毒，受影响的程度取决于网络安全防御能力，或者说是网络安全对抗的战术和技术水平，即网络攻防实力较量的结果。攻防两方面总是动态博弈，攻防的格局不断迭代演进，表现出一些特点：首先是攻防的不对称性，防在明处而攻在暗处，导致攻易防难，网络安全处于被动应对状态；其次是攻防格局的不确定性，网络业务是动态变化的，网络拓扑也会调整升级，加上攻击手段不断翻新，总是未知多于已知；最后，防御效果的不可信性，网络或业务的所有方对所采取的网络安全措施的效果缺乏把握，对系统安全心中无底，甚至不知道从哪些方面做改进，不知道该从何下手来加固网络安全。

习近平总书记2016年4月19日在网络安全和信息化工作座谈会上的讲话中指出：

“网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’，长期‘潜伏’在里面，一旦有事就发作了。”

“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓‘聪者听于无声，明者见于未形’。感知网络安全态势是最基本最基础的工作。”

要感知网络风险得从内部和外部两方面并举，内部要摸清家底找出漏洞并强化管理，外部要把握网络入侵的规律、动向与趋势。尽管攻击手法出奇、靶点众多，但网络攻击的目的不外乎通过劫持网络或数据的控制权，致瘫网络和窃取数据等获取政治和经济利益。总体上看，网络入侵还是有一定套路可循的，需要利用大数据分析从大量网络入侵案例中来总结。

ATT&CK（对抗战术与技术知识库）从网络入侵者的角度归纳网络入侵、攻击的方法与步骤。开发ATT&CK的目的不是为黑客提供教程，而是知己知彼百战不殆，通过梳理实现对网络入侵足迹的留痕，给网络安全防御以清晰的维度和明确的思路。尽管ATT&CK不可能准确预测新的网络入侵的目标与路径，但可以显著收窄需要重点关注的范围，大大降低了网络安全防御措施的盲目性。

《ATT&CK框架实践指南》的作者团队长期研究MITRE的ATT&CK技术，通过丰富的实践加深了对ATT&CK框架的理解，积累了有实战价值的经验体会。本书介绍了ATT&CK在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用，给出了有效的关于防御措施的建议。网络攻防总是“魔高一尺，道高一丈”，在博弈中升级，ATT&CK来源于实践案例的总结，也会随时间而不断丰富、更新。期待本书能起到抛砖引玉的作用，在全球ATT&CK中贡献中国智慧，更重要的是善于运用ATT&CK的方法来提升我国网络安全防御能力。

中国工程院院士

2023-04-12