ATT&CK在安全運營中的應用研究

◆王海林 顏穎 唐旭玥

（云南電網有限責任公司信息中心 云南 650000）

隨著互聯網5G技術、人工智能和云計算等新型先進技術的不斷涌入，越來越多的資產設備信息暴露在未知的威脅下，世界級安全風險呈明顯指數形式增長，高級持續威脅APT（Advanced and Persistent Threat，APT）的出現便是這一趨勢的鐵證，互聯網安全技術受到了前所未有的嚴峻挑戰。如此復雜的新型技術背景之下，以威脅情報驅動的新型網絡安全防御機制也應運而生，對于高級持續威脅的研究，眾多學者對于威脅情報的定義也不盡相同，但總結歸納都可以概括為包括相關常見威脅指標、含義和可行性建議等決策依據，同時也有學者提出了新型的金字塔數字模型，通過該模型分析，將風險將威脅情報數據按照收集難易程度以此劃分為哈希、IP地址、域名、網絡或者主機特征、攻擊工具及TTPs等。不同類型的劃分體現出網絡信息安全下持續復雜變化的現狀。如何利用先進的網絡技術和手段精準、實時且智能的感知網絡空間的安全態勢，同時捕捉并解除，已經成為互聯網安全防御體系最重要的內容。

ATT&CK（Adversarial Tactics Techniques and Common Knowledge）是誕生于2013年的一套反映網絡安全實時攻擊現狀的模型，該模型自誕生以來引起了領域的眾多學者的關注，越來越多的研究者將其視為一套可靠的具有重要意義的網絡安全攻擊知識模型，已經成為互聯網攻擊事件分析的最新標準，在眾多的APT事件中已經得到了非常廣泛的應用，同時也取得了預想的成果。……