近日，MITRE 發(fā)布ATT&CK的第十個版本，該版本最大的變化是在企業(yè)矩陣（Enterprise ATT&CK）中添加了一組新的數(shù)據(jù)源和數(shù)據(jù)組件對象，以補充ATT&CK v9中發(fā)布的數(shù)據(jù)源名稱更改。新版ATT&CK企業(yè)矩陣包含14個戰(zhàn)術(shù)、188個技術(shù)、379個子技術(shù)、129個組和638個軟件。

　　“數(shù)據(jù)源對象提供數(shù)據(jù)源的名稱以及關(guān)鍵細節(jié)和元數(shù)據(jù)，包括ID、定義、可以收集的位置（收集層）、可以在什么平臺上找到，以及數(shù)據(jù)組件突出顯示構(gòu)成數(shù)據(jù)源的相關(guān)值/屬性，”MITRE ATT&CK內(nèi)容負責人Amy L. Robertson、網(wǎng)絡(luò)安全工程師Alexia Crumpton和Chris Ante解釋說，“這些數(shù)據(jù)源——包括可以映射到PRE平臺的OSINT相關(guān)數(shù)據(jù)源，可用于包括ATT&CK企業(yè)矩陣在內(nèi)的所有平臺?！?/p>

　　“第十版本的重大更新還包括，實現(xiàn)了以前僅在ICS矩陣中表示的軟件跨域映射，包括對 Stuxnet、Industroyer等的映射。要知道我們的對手不會按套路出牌，也不會遵循理論界限，因此我們認為在第十版本中，以企業(yè)為中心的映射，對于更全面地檢測惡意軟件的所有行為至關(guān)重要?！盇TT&CK的內(nèi)容負責人補充道。

　　ATT&CK的ICS工控系統(tǒng)和移動矩陣的更新，側(cè)重于將企業(yè)矩陣中當前的所有功能補充到這兩個矩陣中，比如在ICS工控系統(tǒng)環(huán)境中新增了搜索功能。

　　關(guān)于 ATT&CK

　　ATT&CK的全稱是Adversarial Tactics, Techniques, and Common Knowledge （ATT&CK），由MITRE公司提出，是一個站在攻擊者視角描述攻擊中各階段用到技術(shù)的模型。該模型被CISA（美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局）和FBI以及超過80%的企業(yè)用于威脅調(diào)查，它對于政府或企業(yè)組織來說都非常有用，因為組織需要建立一個基于威脅的防御體系。

　　今年6月份，MITRE發(fā)布開源工具ATT&CK Workbench，允許政府或企業(yè)組織自定義其網(wǎng)絡(luò)對手行為的MITRE ATT&CK數(shù)據(jù)庫本地實例，并與其他組織分享他們的見解。此外，CISA、美國國土安全部下屬安全系統(tǒng)工程與發(fā)展研究所（HSSEDI）和MITRE還發(fā)布了網(wǎng)絡(luò)威脅情報分析師的最佳實踐，以更好地利用該框架。