近日，MITRE 發(fā)布ATT&CK的第十個(gè)版本，該版本最大的變化是在企業(yè)矩陣（Enterprise ATT&CK）中添加了一組新的數(shù)據(jù)源和數(shù)據(jù)組件對(duì)象，以補(bǔ)充ATT&CK v9中發(fā)布的數(shù)據(jù)源名稱更改。新版ATT&CK企業(yè)矩陣包含14個(gè)戰(zhàn)術(shù)、188個(gè)技術(shù)、379個(gè)子技術(shù)、129個(gè)組和638個(gè)軟件。

　　“數(shù)據(jù)源對(duì)象提供數(shù)據(jù)源的名稱以及關(guān)鍵細(xì)節(jié)和元數(shù)據(jù)，包括ID、定義、可以收集的位置（收集層）、可以在什么平臺(tái)上找到，以及數(shù)據(jù)組件突出顯示構(gòu)成數(shù)據(jù)源的相關(guān)值/屬性，”MITRE ATT&CK內(nèi)容負(fù)責(zé)人Amy L. Robertson、網(wǎng)絡(luò)安全工程師Alexia Crumpton和Chris Ante解釋說，“這些數(shù)據(jù)源——包括可以映射到PRE平臺(tái)的OSINT相關(guān)數(shù)據(jù)源，可用于包括ATT&CK企業(yè)矩陣在內(nèi)的所有平臺(tái)?！?/p>

　　“第十版本的重大更新還包括，實(shí)現(xiàn)了以前僅在ICS矩陣中表示的軟件跨域映射，包括對(duì) Stuxnet、Industroyer等的映射。要知道我們的對(duì)手不會(huì)按套路出牌，也不會(huì)遵循理論界限，因此我們認(rèn)為在第十版本中，以企業(yè)為中心的映射，對(duì)于更全面地檢測惡意軟件的所有行為至關(guān)重要。”ATT&CK的內(nèi)容負(fù)責(zé)人補(bǔ)充道。

　　ATT&CK的ICS工控系統(tǒng)和移動(dòng)矩陣的更新，側(cè)重于將企業(yè)矩陣中當(dāng)前的所有功能補(bǔ)充到這兩個(gè)矩陣中，比如在ICS工控系統(tǒng)環(huán)境中新增了搜索功能。

　　關(guān)于 ATT&CK

　　ATT&CK的全稱是Adversarial Tactics, Techniques, and Common Knowledge （ATT&CK），由MITRE公司提出，是一個(gè)站在攻擊者視角描述攻擊中各階段用到技術(shù)的模型。該模型被CISA（美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局）和FBI以及超過80%的企業(yè)用于威脅調(diào)查，它對(duì)于政府或企業(yè)組織來說都非常有用，因?yàn)榻M織需要建立一個(gè)基于威脅的防御體系。

　　今年6月份，MITRE發(fā)布開源工具ATT&CK Workbench，允許政府或企業(yè)組織自定義其網(wǎng)絡(luò)對(duì)手行為的MITRE ATT&CK數(shù)據(jù)庫本地實(shí)例，并與其他組織分享他們的見解。此外，CISA、美國國土安全部下屬安全系統(tǒng)工程與發(fā)展研究所（HSSEDI）和MITRE還發(fā)布了網(wǎng)絡(luò)威脅情報(bào)分析師的最佳實(shí)踐，以更好地利用該框架。