序言

过去，入侵检测能力的度量一直是网络安全领域的一个行业难题，各个企业每年在入侵防护上都投入了不少钱，但是几乎没有安全人员能回答CEO的问题：“买了这么多安全产品，我们的入侵防御和检测能力到底怎么样，能不能防住黑客？”这个问题很难回答，核心原因是缺乏一个明确的、可衡量的、可落地的标准。所以，防守方对于入侵检测能力的判定通常会陷入不可知和不确定的状态中，既说不清自己能力的高低，也无法有效弥补自己的短板。

MITRE ATT&CK的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非是一个学院派的理论框架，而是来源于实战。ATT&CK框架是安全从业者们在长期的攻防对抗、攻击溯源、攻击手法分析的过程中，逐渐提炼总结而形成的实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的，而且具备非常高的使用价值。

尽管MITRE ATT&CK毫无疑问是近几年安全领域最热门的话题之一，大多数安全行业从业者或多或少都听说过它，但是由于时间、精力、资料有限等原因，能够深入研究ATT&CK的研究者在国内寥寥无几。青藤云安全因为公司业务的需要，早在几年前就开始关注ATT&CK的发展，并且从2018年开始系统性地对ATT&CK进行研究。经过五年多的研究、学习和探索，青藤云安全积累了相对比较成熟和系统化的研究材料，内容涵盖了从ATT&CK框架的基本介绍、战术与技术解析，到攻击技术的复现、分析与检测，再到实际应用与实践，以及ATT&CK生态的发展。

研究得越多，我们越意识到MITRE ATT&CK可以为行业带来的贡献。因此，我们编写了本书，作为ATT&CK框架的系统性学习材料，希望让更多人了解ATT&CK，学习先进的理论体系，提升防守方的技术水平，加强攻防对抗能力。我们也欢迎大家一起加入到研究中，为这个体系的完善贡献一份力量。

青藤云安全创始人兼CEO

张福

2023-05-10