ATT&CK（AdversarialTactics, Techniques, and Common Knowledge）是一個攻擊行為知識庫和威脅建模模型，主要應用於評估攻防能力覆蓋、APT攻擊防護、威脅狩獵、威脅情報關聯及攻擊模擬等領域。自發布以來，知識社群相當活躍，引發工業界和研究界的熱捧，已逐漸發展為網路威脅分析語境下的通用元語。ATT&CK以相對適當的知識抽象層次，充分覆蓋威脅領域的技戰術場景，給安全防禦能力的匹配與對比提供了標杆和抓手，是其成功的關鍵。

在ATT&CK的驅動下，越來越多的資料來源採集能力成為企業威脅防護的標配。不過，對於安全運營團隊來說，大規模、規範化的採集資料的接入只是起點，如何利用資料對抗愈發隱匿的高階威脅行為，持續降低企業和組織的風險才是關鍵所在。本文將從實踐出發，探討總結ATT&CK驅動下安全運營資料分析的實用性挑戰。

一、資料探勘的新機遇

ATT&CK之前，LockheedMartin的攻擊鏈模型（Cyber Kill Chain），微軟的STRIDE模型等是威脅建模、告警分類分級、知識庫建設的重要基礎。各個安全廠商普遍量身定做了細粒度威脅模型。MITRE透過開源眾籌的ATT&CK知識庫，以適中的抽象方法，較成功地實現了系統化的攻擊者技戰術行為建模，有效地降低了威脅情報、威脅建模等領域的溝通成本。如果說傳統威脅分析能力的建設是大家在各自的語境方言裡自說自話，那麼ATT&CK就給出了一個詞典基線，識不識字、能力強弱的問題大家對齊語義就可以拿出來比一比了。

圖1  APT29的預防手段與檢測（資料來源）[1]

 ATT&CK為網路戰場的防守方提供了一個攻防備戰全景手冊，上圖展示了覆蓋APT29的預防和檢測需要實現的緩解措施列表和檢測資料來源列表。包括終端、網路、檔案等多源、多維度的二十餘類資料的採集，給威脅分析帶來全新的分析機遇，包括多維度細粒度的線索與關聯、深度的事件取證、更準確的威脅態勢風險評估等。可以說，ATT&CK知識庫在一定程度上促進了XDR（Extended Detection and Response）解決方案的概念炒作。多源多維資料來源的整合本身不是新鮮事，但以真實APT情報驅動，並層次化對映到威脅行為的戰術和技術實現層面，ATT&CK矩陣例項化展示了高階威脅防護的落地思路。總結來看，ATT&CK驅動下的資料融合為威脅防禦方帶來以下新的機遇：

1、促進資料歸一化、本體化及關聯性提升。無論是內部檢測能力命名，還是與外部威脅情報對接，ATT&CK矩陣為企業或組織內資料湖的資料融合提供了技戰術抽象層次的對齊方案。基本的，類似告警或事件有了明確的歸類層次。進階的，資料中隱含的資料實體及其關聯關係，能夠在統一的框架下實現本體化建模，為知識圖譜等基於網路和圖的資料結構構建提供基礎。

2、促進分析能力與業務的解耦。諸多機器學習演算法已經應用於威脅檢測、溯源等環節。然而，許多技術底層整合類似的分析演算法卻形成看似不同的應用方案。其中的技術冗餘為資料分析能力的可擴充性帶來瓶頸。ATT&CK矩陣從攻防視角為“安全能力中臺”的構建提供了新思路。通用演算法能力能夠從傳統的資料分析孤島中抽象出來，並與上一層的安全業務需求解耦。例如，經典的序列分析模型可用於事件預測、異常檢測等不同層次的場景。在統一的資料湖之上，分析演算法能夠充分模組化，形成可編排的呼叫介面以供靈活的呼叫與整合。

3、促進分析演算法的語義化。欠語義化一直以來都是資料驅動威脅檢測的痛點。基於統計的模式識別與因果分析，往往需要在適當先驗知識的約束下，才能適應安全資料的分析目標。ATT&CK透過矩陣的戰術階段劃分，在目標層、分析層以及資料層上自然的提供了有明確語義的關聯關係。這一語義增強，給資料驅動威脅分析結果提供了講故事的範本，為運營人員提供了可解釋、可理解的線索入口。

圖2  融合ATT&CK與KillChain的攻擊建模[2]

 二、資料探勘的實用性挑戰

ATT&CK是攻防世界裡的一次知識標準化的浪潮，已經切實的滲透到安全能力發展的各個角落。我們看到愈發多的框架設計、解決方案、產品實現已經融合ATT&CK的思想與知識標籤。當開始直面ATT&CK驅動下新的資料形勢，在看到威脅狩獵新機遇的同時，我們也發現更大規模、更全面的資料覆蓋，給安全運營帶來全新的挑戰。當然，這些挑戰絕大部分不是ATT&CK引入的新話題。ATT&CK引發的攻防思潮的統一，很大程度上對安全運營資料夢魘的出現起到了推波助瀾的作用。

本質上，大規模安全運營資料分析的困難來自於攻守的不平衡性。常態化安全運營的目標是在合理的投入產出比下，持續的監控並降低企業和組織的系統化安全風險。能夠在態勢大屏上展現出來的威脅趨勢，很難適用於高隱匿性、低頻的高階威脅的狩獵任務。在攻守失衡的條件約束下，ATT&CK似乎給出一劑良藥的配方，那麼按照配方收集好每一味藥材，熬一熬就能預防病害嗎？網路安全威脅的破壞性，要求防禦方不能求諸玄學。以下，將從資料接入、線索發現、事件重建三個角度，總結在探索ATT&CK科學化應用中的關鍵性挑戰。

01資料接入：系統瓶頸與資料風險 

圖3  溯源資料分析系統的一般技術框架[3]

如前所述，一方面高階威脅低頻且具有隱匿性，另一方面企業和組織需要持續進行風險管控。因此，從ATT&CK矩陣覆蓋率的角度考慮，所需採集的資料種類多、資料規模異常龐大。上圖展示了一個典型終端威脅檢測處理系統的架構，涉及從資料採集、管理、檢測等多個環節。如果沒有有效的預處理環節，單臺使用者主機的日常流量、終端行為日誌量至少每天可達數百兆位元組，更不用說提供服務資源等功能性節點。不止是資料吞吐量大，為了滿足合規需求，支援事件溯源、關聯等威脅分析任務，所採集的資料往往需要長達數百天的持久化留存。這些資料的採集、傳輸、儲存等給算力、網路、資料庫等各個系統環節帶來巨大的壓力。其衍生後果就是，許多采集能力被禁用，大量資料在預設的價值判斷策略下被提前丟棄，這可能導致威脅線索和證據鏈的時效。資料爆炸所產生的這些現實問題成為XDR等技術方案落地的關鍵阻礙。

此外，儘管有策略配置的限制，終端、網路資料的細粒度採集，難免會將涉及使用者隱私，或者企業核心服務相關敏感行為等資料上傳到雲端等中心化資料中心中。這種安全資料採集引入的伴生資料風險，將對其安全能力的落地引入新的擔憂。

02線索發現：召回模型與高誤報率 

ATT&CK矩陣中的大部分攻擊技術抽象都是召回策略驅動的。如下圖所示，是MITRE所跟蹤觀測的93個APT組織利用次數最多的十種技術（該技術劃分命名基於改版之前的MITRE矩陣，尚未包含子技術的概念）。其中能夠直接對應到攻擊行為的技術描述，只有Spearphishing Attachment，Credential Dumping和Obfuscated Files這三類，其他七類技術劃分單獨來看，都是正常網路行為與操作。ATT&CK的關鍵目標在於覆蓋和召回，而從安全運營的視角來看，在事件規模膨脹的現狀下，誤報率是一個非常關鍵的有效性衡量指標。一項針對賽門鐵克終端告警的分析表明，由34臺機器觸發的58096條告警中，與檢測目標APT29行為相關真實告警只有1104條，告警的精度只有1.9%。大規模誤報告警帶來的誤報疲勞，會持續降低整個安全運營團隊的運轉效率。當然，除了攻擊技術分類之外，ATT&CK針對每一種技術，都提供了有指導意義的預防和檢測策略。不過，這些防禦策略的落實仍需在實際的資料分析中試錯。

圖4  MITRE APT關聯的常見技術統計[4]

03事件重建：一詞多義與依賴爆炸

ATT&CK透過階段劃分，給具體技術的歸類賦予了一定的語義關聯，給安全團隊講故事提供了線索串聯的範本。然而，從資料探勘和關聯的角度，有兩個重要的問題需要考慮。第一個問題是一詞多義，是指一個技術可能橫跨多個戰術實現，並以不同的粒度出現在一定的威脅上下文中。例如T1053定時任務（ScheduledTask/Job），包含在執行（Execution）、持久化（Persistence）和提權（PrivilegeEscalation）三個戰術目標中。ATT&CK將T1053技術劃定為一種統一的技術，並未針對具體戰術進行細粒度的描述。這本質上是由ATT&CK的技術抽象層次決定的，然而這給資料分析任務帶來新的挑戰——需要解決充分理解技術觸發的上下文，並賦予該技術明確的戰術語義。

圖5  APT 29攻擊事件溯源資料圖[4]

第二個問題是依賴爆炸。這包含兩個層次，第一個層次是ATT&CK的戰術模型不是因果模型，也不具有統計意義。我們可以從MITRE提供的APT例項中看到具體的技戰術執行資料流。然而，在實際檢測、溯源分析中，技戰術的跳轉是矩陣中的多戰術之間、單戰術之內的多種技術方案的排列組合問題，在任何特定場景和實際環境中的高階威脅行為序列是獨特的，規律性難以捕獲。第二個層次是在細粒度的溯源資料層面（Provenance），現階段的資料採集在一定的資源限制下，難以精細刻畫資訊傳遞流。像檔案操作、網路輸入、程式建立等，存在一對多、多對多的路徑依賴問題。由於該層次資料的細粒度特性，依賴爆炸直接加劇了資料儲存、檢測、溯源等各個環節的技術難度。

三、總結

從安全運營的實戰來看，MITRE ATT&CK從資料規範性、能力抽象、語義增強等多個方面給威脅建模與分析領域帶來新機遇。然而，ATT&CK也逃不過安全運營大規模資料分析挖掘的實用性命題。本文總結了多個層次中，與ATT&CK相關的資料探勘挑戰，以期與各位讀者分享資料與智慧驅動安全運營的未來發展方向。

參考資料

[1]  MITREATT&CK Roadmap

[2]https://sgros-students.blogspot.com/2019/01/mitre-att-and-unified-kill-chain.html、

[3]Threat Detection and Investigationwith System-level Provenance Graphs: A Survey

[4]Tactical ProvenanceAnalysis for Endpoint Detection and Response Systems》