什么是ATT&CK？

ATT&CK的全称是Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)，即对抗战术、技术和常识，它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。

ATT&CK的关注点是上下文连贯的动作，而态势感知又恰好是根据在一段时间和空间中观察到的元素，同时理解这些元素的意义并预测这些元素在将来的状态，这一点与ATT&CK可以说是不谋而合。

态势感知总共分为三个阶段：观察、理解和预测。观察就是收集可观测对象的状态和事件，理解就是规整观察到的对象反映出的问题，预测是观察到的对象对未来的影响。通过态势感知我们就可以根据用户提供的上下文信息来动态决定我们的安全策略。

我们知道在态势感知系统中，观察数据的分类、归并、关联分析等阶段可以借助ATT&CK对其进行沉淀和格式化表达，使用ATT&CK可以更好地对融合的信息进行综合分析。

举个简单的例子，当态势感知中发现黑IP时，第一次访问或者隔着一段时间访问一下黑IP的行为也有可能是被误导，并不一定是失陷，一段时间内多次访问黑IP行为比较可疑，应当命中失陷。

当然，上面只是举的一个比较简单的例子，更多的还远远不止这些。ATT&CK框架的所有的12项战术，涵盖的具体技术，战术目的，防御方法以及某些特殊情况，还没有完全说明。想要更细致的了解一些ATT&CK细节的也不要着急，可以关注聚铭网络旗下态势感知产品，与ATT&CK配合，综合分析、精准命中失陷，统一管理，实现企业全面、综合的信息安全管理。

聚铭安全态势感知与管控平台是以大数据、人工智能技术为基础，能够统一采集各类结构化和非结构化的数据，包括各类设备、应用日志以及网络流量和各种脆弱性。通过实时分析、离线分析、关联分析、统计分析、机器学习、规则库、专家经验库以及强大的安全情报源碰撞，进行多维度的风险分析，从而准确、高效地感知整个网络的安全状态以及发展趋势，及时发现与处置安全问题，保障信息系统的安全。

并且，平台通过先进的可视化技术，将全球态势感知、内部互联危险、外部威胁态势、外联威胁态势、脆弱性威胁以及用户行为等全方位展现给安全决策者，帮助决策者看清威胁，通过热图分布，追踪攻击来源，发现幕后黑手，及时做好安全决策。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！