文章总结： ThearticleintroducesMITRE’sATT&CKframework,aglobalknowledgebaseforadversarytacticsandtechniques.Itdetailstheframework’sevolution,corecomponentsincluding14tacticsandhundredsoftechniques,anditsmatricesforEnterprise,Mobile,andICSenvironments.Additionally,itexplainsthesupportsystemfeaturingdatasourcemapping,mitigationstrategies,detectionmethods,andtoolslikeNavigatorandAtomicRedTeam.Thiscomprehensiveguideassistsorganizationsinstructuringdefenses,predictingattackeractions,andstandardizingthreatanalysistoeffectivelycounterAPTattacks. 综合评分： 88 文章分类： 威胁情报,安全建设,安全运营,红队,网络安全

一文了解ATT&CK框架

金天的网络安全

2026年1月20日 14:58 北京

在网络安全领域，高级持续性威胁（APT）攻击凭借其隐蔽性、持续性和针对性，给企业和组织的网络系统带来了巨大挑战。为了有效应对这些威胁，MITRE公司开发了ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）框架。该框架是一个基于真实世界观测的对手战术与技术通用知识库，为网络安全防御提供了全面且结构化的参考，已成为全球威胁分析、防御设计和红蓝对抗的通用语言。

  ATT&CK框架概述

1. 框架定义与核心价值

ATT&CK框架将抽象的攻击行为转化为结构化、可操作的防御参考。详细描述了攻击者在不同阶段可能采取的战术和技术，通过将已知攻击者行为汇总成战术和技术的一种结构化列表，解决了传统安全模型“重工具轻行为”的痛点。

例如，在面对APT攻击时，可以借助ATT&CK框架，从攻击者视角分析入侵行为，预测其可能的行动，从而制定更有效的防御策略。

2. 框架发展历程

ATT&CK框架的发展是一个不断丰富和完善的过程。美国MITRE公司于2013年开始开发该框架，2015年5月正式发布。此后，迭代更新较快，几乎每隔3—6个月就会完成一次更新，更新内容涵盖战术、技术、攻击组、软件、缓解措施等多个方面。

最初，企业矩阵威胁框架仅包含8个战术阶段，2016年扩展至10个;

2018年10月23日的V3版本包括11个战术阶段、233种技术；

2019年4月30日的V4版本增加了“影响”战术阶段，战术阶段增至12个；

2020年10月27日的V8版本将PRE ATT&CK威胁框架与Enterprise Matrix威胁框架结合，战术阶段扩展至14个；

2022年4月25日发布的V11版本，对技术、子技术作了进一步更新细化，包含14个战术阶段、191种技术、386个子技术。

随着框架的不断演进，其内容逐渐饱满，成为原子化、高精准的安全知识库。

  ATT&CK框架组成

1. 战术（Tactics）

战术表示攻击者在攻击过程中的短期战术目标，是框架的横向维度。目前ATT&CK框架包含14项核心战术，覆盖了从侦察到影响的完整链条，具体如下：

侦察：攻击者尝试获取目标信息，为后续攻击做准备，例如发现目标网络的关键细节，如系统漏洞和潜在攻击媒介。

资源开发：攻击者建立开展活动所需的资源，如获取基础设施、开发能力以及破坏账户与基础设施。

初始访问：攻击者用来在网络中获得初始据点的各种入口载体，像鱼叉式网络钓鱼、公开的应用程序漏洞、供应链失陷等。

执行：实现在目标系统上运行攻击者控制的恶意代码或者远程访问工具的技术，通常与其他战术中的技术结合，以在更广范围内实现目标。

持久化：攻击者用来保持对目标系统访问的技术，因为攻击者会面临重新启动或者凭据更改等活动切断访问的情况。

权限提升：攻击者用来在系统或网络上获得更高级别权限和访问权限的技术和活动，例如利用系统错误配置及漏洞。

防御规避：攻击者通过使用独特技术，在整个入侵过程中避免被检测到，包括禁用安全控制和混淆数据。

凭据访问：攻击者使用暴力攻击、键盘记录和凭证倾销等技术来窃取凭证，因为合法凭证可以让攻击者访问更多系统并使他们更难被发现。

发现：攻击者用来获取有关内部网络知识的技术，以便观察环境并决定下一步入侵。

横向移动：从网络上某个受感染系统移动到另一个系统的过程，作为获取更多信息、扩大占领网络区域的一种手段。

收集：攻击者用来收集与实现其目标相关的信息及信息来源的技术，常见的信息源包括浏览器、音频、视频以及电子邮件。

命令与控制：攻击者尝试与目标网络上受其控制的系统进行通信的阶段，采用的技术包括数据混淆。

泄露：攻击者用来从目标网络窃取数据，同时通过压缩和加密避免检测的技术。

影响：攻击者为实现最终目标而使用的技术，例如破坏可用性或损害目标操作的完整性。

2. 技术（Techniques）

技术是实现战术的具体手段，是框架的纵向维度。每种技术都有唯一的ID号码，例如网络钓鱼为T1566，沙箱规避为T1497。

目前企业矩阵包含196项技术、411项子技术。以“初始访问”战术下的“鱼叉式链接”技术（ID为T1192）为例，攻击者可能通过发送包含恶意链接的电子邮件，诱导用户点击，从而实现对目标系统的初始访问。

3. 子技术（Sub – Techniques）

子技术是在更细的粒度上描述对手实现战术目标的技术手段，是对技术的进一步细分。

例如，网络钓鱼的子技术包括鱼叉式网络钓鱼附件、鱼叉式网络钓鱼链接以及通过服务的鱼叉式网络钓鱼。通过子技术的细分，能够更精准地描述攻击者的行为，提高防御的针对性。

4. 程序（Procedures）

程序是威胁组织使用特定技术达到其目标的具体方式，展示了攻击者如何执行某项技术。ATT&CK框架为每种技术提供了具体场景示例，说明攻击者是如何通过某一恶意软件或行动方案来利用该技术的，并且采用类似Wikipedia的风格，引用了许多博客和安全研究团队发表的文章，方便深入了解技术的利用方式。

  ATT&CK框架矩阵

1. 企业矩阵（Enterprise Matrix）

企业矩阵是针对企业网络环境下对手入侵技战术的知识库，覆盖Windows、MacOS、Linux、云（Azure AD、Office 365、谷歌Workspace、SaaS、IaaS）、网络和容器环境。

例如，在企业网络中，攻击者可能利用Windows系统的漏洞进行初始访问，然后通过横向移动技术控制其他主机，窃取企业核心数据。企业矩阵还包括一个攻击者准备阶段的技术的“PRE”子部分，帮助提前了解攻击者的准备工作。

2. 移动矩阵（Mobile Matrices）

移动矩阵包含针对移动设备的战术与技术，以及在不需要访问移动设备的基于网络的移动攻击中使用的技术，包括iOS和Android移动平台的子矩阵。随着移动设备的广泛应用，移动攻击也日益增多，移动矩阵为防范移动设备相关的攻击提供了重要参考。

例如，攻击者可能通过发送恶意短信或利用移动应用程序的漏洞，获取移动设备的控制权，进而窃取用户信息。

3. 工控矩阵（ATT&CK for Industrial Control Systems）

工控矩阵针对工业控制系统，特别是用于控制或自动化工厂、公用事业、交通系统和其他关键服务提供商运营的机械、设备、传感器和网络。工业控制系统一旦遭受攻击，可能会导致严重的生产事故和社会影响。

例如，攻击者可能通过修改工业控制系统的控制逻辑，破坏生产流程，造成设备损坏或生产中断。

ATT&CK框架的支撑体系

1. 数据源映射

ATT&CK框架关联了技术所需的日志类型，例如“进程监控”对应检测“进程注入”T1055。明确数据源对于有效检测攻击行为至关重要，需要知道每种攻击技术过程相关的数据源，以便采集和分析相关数据。

例如，对于“登录脚本”（编号为T1037）技术，其数据源就是文件监控与过程监控，通过监测这些数据源，可以及时发现该技术的使用情况。

2. 缓解措施

针对每项技术，ATT&CK框架都提供了防御建议，例如“启用多因素认证”可缓解“凭证窃取”T1555。缓解措施为企业制定防御策略提供了具体指导，帮助企业降低攻击风险。

例如，企业可以通过启用多因素认证，增加攻击者窃取凭证后进行非法访问的难度，提高系统的安全性。

3. 检测方法

框架指导如何通过日志或工具发现攻击痕迹，例如EDR监控LSASS内存读取。可以根据检测方法，选择合适的工具和技术，对网络中的攻击行为进行监测和分析。

例如，通过EDR系统监控LSASS内存读取操作，可以及时发现攻击者窃取凭证的行为。

4. 工具支持

ATT&CK Navigator：一个可视化工具，支持自定义矩阵绘制与防御覆盖分析。可以快速识别和比较特定威胁团伙使用的计策和技术，识别用于执行特定技术的软件，将缓解措施与特定技术相匹配等。例如，可以通过ATT&CK Navigator绘制企业的防御覆盖矩阵，直观地了解企业在不同战术和技术上的防御情况，找出防御薄弱环节。

Atomic Red Team：一个开源项目，提供技术对应的模拟攻击脚本，例如Mimikatz测试T1555。可以利用脚本进行红队演练，模拟攻击者的行为，检验企业的防御能力。例如，通过使用Atomic Red Team中的模拟攻击脚本，可以测试自身对特定技术的检测和防范能力，发现防御体系中存在的问题。

【历史热文】

一体化数据安全运营体系探索

探索BAS技术在数据安全防护中的应用

入侵与攻击模拟（BAS）：网络安全防御能力验证新利器

“银狐”病毒进程注入排查

网络疆域的实战演练：揭秘尖端网络靶场技术

网络战——全球博弈新战场

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：金天的网络安全 《一文了解ATT&CK框架》