前言

由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年，其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。

ATT&CK一经问世，便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来，ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。ATT&CK框架提供了许多企业过去一直在努力实现的关键能力：开发、组织和使用基于威胁信息的防御策略，以便让合作伙伴、行业、安全厂商能够以一种标准化的方式进行沟通交流。

在ATT&CK框架出现之前，评估组织机构的安全态势是一件很麻烦的事情。当然，安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法，但始终有一个问题萦绕在他们的心头：“如果我漏掉了某些攻击，会产生什么后果？”但如果安全团队验证了很多攻击方法，就很容易产生一种虚假的安全感，并对自己的防御能力过于自信。毕竟，我们很难了解“未知的未知”。

幸运的是，ATT&CK框架的出现解决了这一问题。MITRE公司经过大量的研究和整理工作，建立了ATT&CK框架。ATT&CK框架创建了一个包括所有已知攻击方法的分类列表，将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来，可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT&CK框架旨在成为一个不断更新的数据集，一旦行业内出现了经过验证的最新信息，数据集就会持续更新，从而将ATT&CK打造成为所有安全人员心目中最全面、最值得信赖的安全框架。

虽然ATT&CK框架在评估安全态势、增强安全防御能力等诸多场景下都能发挥重大作用，但国内安全从业人员受限于时间、精力、语言差异等因素，很难深入地、系统化地研究该框架。为了让相关从业人员了解该框架，作者编写了本书。本书的上一版面世以来，受到了广大安全从业人员的喜爱，曾连续数月蝉联京东计算机类图书周榜第1名，并受台湾出版社之邀，发行了繁体版本。ATT&CK框架每年都会更新两个版本，自本书上一版出版后，ATT&CK框架的内容发生了重大变化。与此同时，作者在探索应用ATT&CK方面也积累了更为丰富的实践经验。鉴于此，第二版做了大量更新。本书按照由浅入深的顺序分为五部分，第一部分为ATT&CK入门篇，介绍了ATT&CK框架的整体架构，并详细介绍了近几年来基于ATT&CK框架的扩展知识库，例如针对容器和K8S的知识库、针对内部威胁的TTPs知识库，以及针对网络安全对策的知识图谱MITRE D3FEND；第二部分为ATT&CK提高篇，介绍了如何结合ATT&CK框架来检测一些常见的攻击组织、恶意软件和高频攻击技术，并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析；第三部分为ATT&CK场景与工具篇，介绍了ATT&CK的一些应用工具与项目，以及如何利用这些工具进行实践（实践场景包括威胁情报、检测分析、模拟攻击、评估改进）；第四部分为ATT&CK运营实战篇，主要介绍了数据源的应用、ATT&CK的映射实践、基于ATT&CK的运营和威胁狩猎；第五部分为ATT&CK生态篇，介绍了ATT&CK生态内的几个重点项目，包括攻击行为序列数据模型Attack Flow、主动作战框架MITRE Engage，以及旨在验证安全工具检测能力的ATT&CK测评。

最后，本书主要基于ATT&CK框架相关的开源资料，以及作者的ATT&CK框架实践经验总结而来，旨在为那些限于时间、精力、语言等原因而未能深入研究ATT&CK的人员提供便利，帮助大家利用这一框架筑牢安全屏障。但由于作者能力和精力有限，书中难免有错漏之处，恳请广大读者批评指正。