MITRE ATT&CK 是一套由非营利组织 MITRE 公司主导开发的对抗性战术与技术知识库,其核心理念是从攻击者视角系统化地理解网络入侵行为,帮助防御方更精准地规划检测与响应策略。该框架的概念最初于 2013 年在 MITRE 内部的模拟攻防实验中孕育成型,后经多年迭代演变为全球安全社区公认的通用语言。作为 CVE、CWE 等标准规范的同源项目,MITRE ATT&CK 以真实世界观测为基础,持续收录并归类入侵者生命周期中的战术、技术及常见过程(即 TTPs),为攻防双方提供了统一的参照坐标系。
核心功能
- 战术与矩阵模型: 将攻击行为划分为侦察、资源开发、初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据窃取、影响共 14 个战术阶段,并通过矩阵形式展示各阶段下的具体技术。
- 技术与子技术库: 收录数百项精细化的攻击技术及子技术,每项均附有详细描述、检测建议、缓解措施、示例截图及参考来源,便于安全团队对照排查。
- 攻击组织与恶意软件映射: 持续跟踪已知 APT 组织、网络犯罪团伙及常见恶意软件家族,将其实战使用的 TTPs 与框架中的技术进行关联,为威胁情报分析提供结构化支撑。
- 检测与缓解指南: 针对每项技术提供明确的检测数据源建议(如日志类型、端点遥测)和缓解控制措施(如最小权限、应用白名单),辅助安全运营人员落地防御策略。
- 评估与度量工具: 通过 MITRE 发布的 ATT&CK Evaluations(即企业版评估)及官方工具如 Navigator,用户可自定义筛选技术、评估安全产品覆盖度、规划测试流程。
适用人群
本框架主要面向企业中从事网络安全运营、威胁情报分析、红蓝对抗演练、安全架构设计及产品选型评估的专业人员。典型使用场景包括:建立覆盖攻击全链路的威胁模型、定义检测规则优先级、验证现有安全控制的有效性、开展基于真实 TTPs 的模拟攻击测试、以及对齐行业最佳实践进行合规自查。无论是 SOC 分析师、渗透测试工程师还是安全负责人,都能通过矩阵化坐标快速定位问题并统一团队沟通语言。
MITRE ATT&CK 完全免费开放,无需授权即可访问和使用,其权威性已获得全球数百家安全厂商及企业组织的广泛采纳。MITRE 每年会针对特定 APT 组织展开多轮安全解决方案评估(如针对 Wizard Spider、Sandworm 等),并公开评估结果,推动行业检测能力透明化。作为攻击行为分析的基础设施级知识库,它与 CAPEC、CWE 等框架形成互补,共同构成了对抗性安全知识体系的核心支柱。