美光科技術語表

MITRE ATT&CK

重疊的霓虹色矩形

MITRE ATT&CK(亦作 Mitre ATT&CK 或 Mitre Attack)是「對抗性戰術、技術與通用知識」(Adversarial Tactics, Techniques and Common Knowledge)的縮寫。這是一個公開可存取且持續更新的知識庫,收錄了現實世界網路攻擊中所使用的攻擊方戰術、技術與程序 (TTP)。

該框架由非營利組織 MITRE 研發,旨在幫助網路安全專業人員瞭解攻擊者的運作方式、模擬威脅情境並加強防禦能力。

探索美光的安全記憶體與儲存解決方案如何與 MITRE ATT&CK 框架相契合,從而強化網路安全防線;您也可以聯絡我們的銷售支援團隊,以獲取更多詳細資料。

什麼是 MITRE ATT&CK?

MITRE ATT&CK 定義:MITRE ATT&CK 是一個綜合性的資料庫,收錄了過去網路攻擊中所使用的戰術、文件和框架,旨在協助改進網路安全實踐。

MITRE ATT&CK 框架源於理解並抵禦現實世界網路威脅的需求,現已成為繪製攻擊者行為圖譜及強化網路安全防禦的全球標準。MITRE ATT&CK 使網路安全專業人員能夠模擬威脅、評估防禦措施並改進事件回應策略。

ATT&CK 框架將威脅行為組織成結構化的矩陣,描繪了攻擊者如何滲透系統、橫向移動以及竊取資料。透過將安全性策略與這些觀測到的模式相契合,組織能夠提升威脅偵測、事件回應以及紅隊演練的水平。

註:MITRE 並非縮寫詞。它指的是建立該框架的組織。ATT&CK 是一個首字母縮略詞,代表「對抗性戰術、技術與通用知識」。

將 MITRE ATT&CK 視為一座龐大的網路威脅情報寶庫,其中的每一項戰術與技術都好比一本「書」,詳盡地描述了攻擊者的運作方式。美光的儲存與儲存技術充當著安全的書架與鎖具,保護這座圖書館免受未經授權的存取。

MITRE ATT&CK 能夠透過多種方式,協助網路安全團隊推廣最佳實踐。其中包括:

  • 模擬過去的網路攻擊,以測試安全準備情況。
  • 識別網路安全防禦中的漏洞
  • 基於威脅相關性,實現自訂化的防護策略。
  • 支援主動威脅狩獵與事件回應。

MITRE ATT&CK 為眾多網路安全團隊提供了極具價值的洞察,不僅幫助他們深入瞭解複雜網路攻擊的精巧程度及最佳應對策略,還提供了在安全、受控環境中進行實戰演練的機會。

MITRE ATT&CK 是如何運作的?

MITRE ATT&CK 採用框架結構,基於現實世界的觀察,將網路攻擊行為歸類整理。它有助於網路安全團隊瞭解威脅如何演變,以及如何抵禦這些威脅。

矩陣結構使使用者能夠以簡便、直觀的方式瀏覽資料庫,從而更易於理解網路威脅與網路攻擊的運作機制。

MITRE ATT&CK 框架分為三個關鍵部分:戰術、技術和程序。

  • 戰術:攻擊的目標(例如,獲取存取權限、維持持久性)。
  • 技術:用於實現上述目標的方法(例如,憑據轉儲)。
  • 程序:關於技術具體如何被執行的真實範例。

網路攻擊還根據所屬領域進行了進一步分類,例如 Windows、macOS、Linux、iOS 及其他平台。這使網路安全團隊能夠追蹤哪些威脅在特定作業系統上更為普遍,並據此評估風險。

例如,一家同時擁有網站和行動應用程式的組織,將需要針對桌面和行動平台制定量身自訂的網路安全性策略。MITRE ATT&CK 協助團隊識別哪些類型的攻擊與特定環境最為相關,無論是針對 Windows 伺服器的惡意軟體,還是滲透行動裝置的虛假應用程式。

透過識別哪些威脅對其業務構成最大風險,網路安全團隊能夠優先部署防禦措施並高效分配資源,從而將重心放在高影響力的威脅上,而非那些低概率的威脅

MITRE ATT&CK 的歷程記錄是怎樣的?

MITRE ATT&CK 的歷程記錄相對較短,但 MITRE ATT&CK 對網路安全的影響卻相當深遠。自問世以來,該框架已迅速演進,以應對日益複雜的網路威脅。

這一最初僅作為內部研究專案的成果,現已發展成為一項享譽全球的資源,協助各行各業的網路安全團隊理解、模擬並抵禦現實世界中的攻擊。

  • 2013 年,MITRE ATT&CK 創立:MITRE ATT&CK 始於 2013 年,是 MITRE Corporation 的一項研究計劃的組成部分;MITRE Corporation 是一家非營利組織,致力於為美國聯邦政府提供工程與技術指導。該框架最初旨在支援聯邦網路安全工作,但很快便被證實對於記錄現實世界中攻擊者的行為具有極高的價值。這一最初僅作為內部工具而誕生的產物,現已演變為面向公眾開放的資源,為建立威脅建模與網路防禦領域的全球標準奠定了堅實基礎。
  • 2015 年,公開發行:MITRE ATT&CK 面向公眾發佈,使各行各業的網路安全團隊能夠採用一種通用的語言,來描述攻擊者的戰術、技術與程序。威脅情報的這種民主化,標誌著組織在開展偵測與回應工作的方式上迎來了一個轉捩點。
  • 2017-2020 年,跨領域拓展:該框架已擴充至涵蓋行動及 ICS(工業控制系統)矩陣,反映了行動平台與營運技術領域攻擊面的日益擴大。引入子技術旨在為威脅建模提供更精細的細微性。
  • 2023 年,雲端與行銷活動:ATTACK 新增了對雲端環境、容器及 ATTACK 攻擊活動的支援,使防禦者能夠跨混合基礎設施追蹤威脅行為者的活動。該框架還重新定義了資料來源與偵測對應,從而提升了其對於安全資訊與事件管理 (SIEM) 及威脅狩獵團隊的實用性。
  • 2025 年,AI 整合與策略更新:為應對 AI 驅動攻擊的興起,MITRE 推出了「人工智慧系統對抗性威脅圖譜」(ATLAS),這是一個旨在應對針對 AI 模型及系統之威脅的補充性框架。
  • 2025 年,防禦規避戰術的棄用:MITRE 宣佈計劃棄用「防禦規避」戰術,並將其替換為兩項新戰術:隱匿與削弱防禦 此次重組更準確地反映了攻擊者的目標,並提升了防禦方的清晰度。

自發佈以來,MITRE ATT&CK 框架已演變為威脅建模與攻擊方模擬的全球標準。從業人員常使用 ATT&CK Navigator,一款基於 Web 的工具,它允許團隊對針對其自身環境量身自訂的威脅矩陣進行視覺化、標注及共用。

MITRE ATT&CK 框架的主要類型有哪些?

MITRE ATT&CK 涵蓋多個領域,每個領域均針對特定的威脅環境量身自訂。這些領域有助於網路安全團隊專注於與其系統和平台最為相關的攻擊類型。

Enterprise ATTCK

Enterprise ATT&CK 專注於為企業網路安全提供指導,旨在保護組織系統免受網路攻擊。這些攻擊通常針對 Windows、macOS、Linux 等系統以及雲端環境。這些系統往往承載著關鍵業務應用和資料,使其成為攻擊者的首選目標。

針對企業領域的網路攻擊,涉及企圖未經授權存取敏感性資料的行為;這些敏感性資料可能儲存在組織的資料庫中,也可能透過雲端儲存服務進行遠端儲存。常見的攻擊途徑包括未經授權存取敏感性資料、惡意軟體滲透、濫用管理員權限,以及透過雲端儲存進行資料外泄。

這些攻擊可能擾亂營運、危及客戶資料並損害品牌信任,從而使企業安全成為重中之重。

Mobile ATTCK

MITRE ATTCK 的行動框架旨在應對針對智慧型手機、平板電腦及移行應用程式的威脅。隨著行動裝置在個人和商業工作流程中佔據核心地位,攻擊者日益將其作為攻擊目標,以竊取憑據、監視活動或植入惡意軟體。

範例包括:

  • 模仿銀行介面以竊取登入憑證的虛假應用程式
  • 含有嵌入惡意軟體連結的惡意 SMS(文字)訊息
  • 透過遭入侵的應用程式來篩選漏洞攻擊

行動威脅往往繞過傳統的安全措施,因此,提升安全意識並採取主動防禦至關重要。

工業控制系統 ATT&CK

MITRE ATT&CK 的工業控制系統 (ICS) 框架專注於針對工業環境(如工廠、公用事業設施及基礎設施)的網路威脅。這些系統控制泵、閥門和電機等實體裝置,並通常連接至營運網路。

該領域的攻擊可能導致:

  • 工業流程中斷。
  • 裝置遭受實體損壞。
  • 人員及公眾面臨安全風險。

由於 ICS 環境往往依賴於傳統系統,且對停機時間的容忍度極低,因此其網路安全性原則必須既穩健又高度專業化。

MITRE ATT&CK 是如何使用的?

自從 MITRE ATT&CK 公開發行以來,該架構已成為企業網路資安訓練不可或缺的一環。MITRE ATT&CK 廣泛應用於:

  • 威脅偵測與模擬:自 MITRE ATT&CK 公開發行以來,該框架已成為各類組織網路安全訓練中不可或缺的一環。
  • 安全差距分析:透過將已知的攻擊技術與現有的安全控制措施進行對應,組織能夠識別出潛在的漏洞以及需要加強的領域。
  • 網路安全訓練與教育:ATT&CK 可作為面向各層級專業人員的學習工具,提供結構化的洞察,幫助其深入瞭解攻擊者的運作模式以及如何對其進行有效反制。
  • 主動威脅獵捕:分析師利用 ATT&CK 框架在系統中搜尋惡意活動的跡象,通常是在傳統警示觸發之前,從而實現更早期的偵測與回應。

美光的安全記憶體與儲存解決方案透過實現對威脅情報的快速、可靠存取,並確保企業及工業環境中的資料完整性,從而為上述工作提供有力支援。

常見問答

MITRE ATT&CK 常見問答

MITRE 並非縮寫詞。這是 MITRE 公司於 1958 年成立時,作為一家從麻省理工學院林肯實驗室分拆而出的軍事智庫,由一位早期董事會成員選定的名稱。儘管該組織的名稱偶爾會以不同的書寫形式出現,但「MITRE」依然是其正式名稱,尤其是在提及像 MITRE ATT&CK 這樣的框架時

MITRE ATT&CK 為網路安全團隊提供了多項關鍵優勢。它透過記錄實際的攻擊者行為,實現了對現實世界威脅的建模,從而協助組織為應對逼真的攻擊情境做好準備。

 

其公共可存取性確保了各類規模的團隊,從初創企業到全球性大型企業,都能從中獲益。該框架的跨領域適用性使其能夠跨作業系統、環境及產業應用。

 

最重要的是,MITRE ATT&CK 透過鼓勵基於不斷演變的威脅對防禦策略進行定期更新與完善,從而支援網路安全態勢的持續改進。

MITRE ATT&CK 的一個顯著局限在於缺乏層級優先順序劃分。儘管該框架提供了一份詳盡的戰術與技術索引,但並未依據嚴重程度或發生概率對其進行排序。這可能會給安全團隊帶來挑戰,使其難以對威脅進行分級分類,並確定應優先應對哪些攻擊向量,尤其是在資源受限的環境中。

您可以下載 MITRE ATT&CK 框架,獲取 STIX 格式的資料集,並探索 ATT&CK Navigator 和 Workbench 等工具,網址為 attack.mitre.org