文章总结： 本文作者回顾了从业初期与多年后对ATT&CK框架的认知转变，从最初将其视为报告格式的附录要求，到如今理解其为描述攻击者行为、连接终端安全与身份防御体系的地图。文章通过分析攻击者执着于凭据获取的现象，揭示了终端安全产品功能背后共同保护身份的本质，并阐述了ATT&CK如何帮助将零信任、IAM等不同领域知识串联成整体防御拼图。 综合评分： 87 文章分类： 威胁情报,安全建设,终端安全,身份安全,实战经验

多年后重新理解 ATT&CK

原创

jishuzhain jishuzhain

OnionSec

2026年6月6日 21:45 广东

在小说阅读器读本章

去阅读

最近开始系统阅读 ATT&CK 相关内容，有趣的是，这并不是我第一次接触 ATT&CK。刚进入终端安全行业的时候，我就已经见过它了。

当时负责输出恶意文件分析报告，运营经理建议增加 ATT&CK 覆盖内容。那时候的我并没有真正理解它的意义，只是按照要求找到对应技术点进行点击显示，然后截图放到报告后面。

对于当时的我来说，ATT&CK 更像是一种行业标准格式。至于那些技术编号背后到底代表什么，其实并没有认真思考过。甚至觉得这些都没有意义😮‍💨，因为对当时的我来说没法直接利用起来。

当时的自己所处的团队更偏向安全研究工作，随着高层管理者们对业务要直接产生价值更有倾向的变化，部门还在摸索怎么把能力赋能到内部具体的业务场景中。于是在恶意文件分析报告后面附带 ATT&CK 图谱覆盖内容也是考虑为后续报告能被二次利用打一些基础。

对我个人来说就是基于分析的过程提取出来相关技术痕迹进行点击匹配，完成后截图保留在文档最后，当时更多是在执行者的角度思考这类现象。后来的事情是深信服业务变动非常大，所在团队的这类安全研究工作基本需要放弃而转向 APT 研究与挖掘追踪工作，至于这些截图保留的技战术信息最终也没有被利用起来。当然从理性角度分析，可以发现这些东西对特定的当时而言价值不大。

知道一个趋势后并能把它利用好并不是一件很容易的事情，要做成一件事也是困难重重，必要的因素有很多，比如企业缺乏极度专业且有话语权的引导者、环境土壤以及“魄力”。后来的日子里每次遇到使用微步云沙箱以及偶尔看到 JOE 沙箱报告页面，总会留意一下 ATT&CK 图谱覆盖情况，漂漂亮亮的界面，前端显示的不错。再后来就明白了这是威胁建模工具，非常有用的。

多年后重新打开 ATT&CK 网站，我忽然想起了那段经历。同样的网站，同样的技术分类，但这次看到的东西却完全不同。是我变了吗？可能是也可能没有。以前看到的是技术，现在看到的更像是一张地图。

一、从样本分析到攻击链

刚入行的时候分析恶意样本，关注的往往是：

• 释放了什么文件

• 修改了哪些注册表

• 建立了什么网络连接

因为工作目标是分析样本本身，后来接触 EDR 之后，视角发生了一些变化。关注点开始变成：

• 攻击者做了什么

• 终端上留下了什么痕迹

• 哪些行为能够被检测到

从单纯样本分析的执行者开始转向威胁检测的前沿构想者或者“架构师”这个角色，最大的挑战在于误报率和性能，以前觉得直接编写更多覆盖面的行为规则就可以抵挡大多数入侵了，到后面开始发现实验室理论效果与现实企业级问题之间存在巨大差距，在参与各种应急或者“道歉”救火式事情后感到体会异常深刻。

单条精准规则简单方便性能高，组合形式规则则灵活性高覆盖面广，效益是好的，但性能会差成本高。不过也有比较好的一面，比如内存马之类的防御与以前相比确实是有进步了，进程树的异常是信号，直接导致产生高级别告警等。

顺便提一下至于误报率高影响运营效率后采用各种 AI 技术实现“降噪”系统就是后话了，长期以往就会感觉到威胁检测还能做好吗？如今业界第一梯队到底实力如何？救火道歉行为还能减少吗？为什么各家厂商与测评就会提到 ATT&CK ？🤔

如今转向体系与架构和治理思维，后来再看 ATT&CK，突然发现它并不关心某个恶意程序长什么样，它更关心攻击者想做什么，很明显地视角转变🌚。

二、为什么攻击者总是执着于获取凭据

浏览 ATT&CK 的过程中，有一个分类让我停留了很久，例如 Credential Access，凭据获取。最开始觉得这个分类很普通，因为这些年：

• LSASS Dump

• 浏览器密码提取

• Kerberoasting

已经见过很多次，但继续思考后，一个问题慢慢浮现出来，为什么攻击者总是如此执着于获取凭据？如果把企业网络想象成一栋办公楼，漏洞利用、钓鱼邮件和恶意程序更像进入大楼的方法，而身份凭据则是真正的钥匙。攻击者进入一台主机并不意味着成功，很多时候那只是开始。真正有价值的是身份，因为身份意味着信任。又开始“零信任理念”了是吧？逃～

三、多年后重新理解终端安全

以前研究终端安全产品的时候，经常关注这些，例如检测率、查杀能力以及行为监控。后来开始接触MDE、CrowdStrike 以及 SentinelOne，会发现很多能力都在围绕同一个目标展开。

例如：

• Credential Guard

• ASR Rules

• Token Protection

• Identity Signals

零信任理念除了架构上的框架需要灵活适配外必然涉及每家企业必须具备的身份安全领域（不然没有支点，玩不转了），而对终端来说终端是与人接触的第一道实体，必须要具备身份安全的防御能力，权利与身份紧密绑定，攻击者必然无法逃脱对它的觊觎。

以前觉得这些安全产品功能彼此独立，后来发现它们其实都在保护同一个东西，那就是身份。

四、从终端安全到身份安全

前段时间阅读零信任相关书籍时，书中提到了 Passkeys。当时只是简单了解了一下，最近重新思考 Credential Access 时，又想起了这个概念。这时候突然发现一个有意思的现象，攻击者一直在想办法获取凭据。而行业也一直在思考如果凭据总会被偷怎么办？

于是出现了MFA、Passwordless 或者 Passkeys这些方案，它们并不是在改进密码，而是在尝试减少对密码的依赖。

遇到身份安全相关问题的时候又想到了总是提到的“猫鼠游戏”，这不就是明显减少了攻击面嘛 hhh，我都“没有密码”了，你还利用个啥呢？攻击成本直线上升。

拼图开始连接起来，刚开始学习安全的时候总觉得终端安全、IAM、PAM 以及零信任 Zero Trust 属于不同领域。后来发现它们更像是一张拼图里的不同部分，终端安全保护身份，IAM 管理身份，PAM 控制高权限身份，零信任  Zero Trust 重新定义信任。

以前看到的是产品，后来看到的是体系。以前看到的是功能，后来看到的是问题。

嘻嘻，回归问题本质🤫。

五、结尾

写到这里，又想起很多年前那张被我贴在报告后面的 ATT&CK 截图。当时觉得那只是一个附录，如今再回头看，反而觉得它比样本本身更有意思。因为它描述的不是某个恶意程序，而是攻击者如何思考。它描述的也不是某个安全产品，而是整个安全行业为什么会发展出今天这些防御体系。

对于刚入行时的我来说，ATT&CK 是报告里的一个截图。而对于今天的我来说，它更像是一张地图。这张地图没有告诉我答案，但它帮助我把过去几年接触过的很多知识慢慢连接了起来。或许成长本身就是这样，很多当年觉得理所当然甚至有些多余的东西，在多年之后重新遇见时，才会慢慢看懂它真正想表达的内容。

借用一句古诗最终结尾，此情可待成追忆？只是当时已惘然。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《多年后重新理解 ATT&CK》