从理念到落地：ATT&CK框架在安全运营中的应用

ATT&CK框架用于威胁情报的实践

根据David J. Bianco在《The Pyramid of Pain》一文中提出的威胁情报相关指标的金字塔模型，可以根据数据本身将威胁情报分为HASH值、IP地址、域名、网络或主机特征、TTPs（Tactics、Techniques & Procedures）。左侧是能够利用的情报，右侧是这些情报的价值和掌握后给入侵者造成的痛苦程度。

威胁情报中价值最低的是Hash值、IP地址和域名（也就是常说的特征库），其次是网络/主机特征、入侵工具特征，对入侵者影响最大的是TTPs（战术、技术和行为模式）类型的威胁情报。

最形成入侵链条如下，注意ATT&CK框架中的战术是非线性的

由上例可见，按照ATT&CK框架模型进行威胁建模，极大的方便了构建安全运营中高阶威胁情报知识库，完整的梳理出威胁行为的TTP、检测数据源以及防御措施，简化了溯源的流程和威胁情报的创建过程，为安全运营中构建主动防御系统提供了有力的支撑。

ATT&CK用于安全运营能力成熟评估实践