ATT&CK V11 版本发布，新增结构化检测内容

近日，ATT&CK 发布了 V11 版本！按照其发展路线图，ATT&CK 会在 2022 年会更新两个版本：在 4 月份更新 V11 版本，并在 10 月份更新 V12 版本。本次更新的 V11 版本，最大的变化是对“检测”内容进行重组，将“检测”与 ATT&CK for Enterprise 中的数据源和数据组件对象关联起来，ATT&CK for Mobile 增加子技术测试版、ATT&CK for ICS 添加到了 MITRE ATT&CK 的官网（attack.mitre.org）上。V12 版本预计会增加行动内容（Campaigns）元素。

多年来，青藤不断增强对 ATT&CK 研究，形成了系统化的研究内容。5 月 19 日 19:30，青藤安全运营专家/高级咨询顾问黄亮将围绕 ATT&CK，与大家线上探讨如何利用 ATT&CK 帮助企业落地实战化、自动化的安全运营能力。

扫码预约直播

增强结构化检测

过去几年里，MITRE ATT&CK 反复研究如何各种可操作的 ATT&CK 字段转化为可管理的对象。在 V5 版本中，ATT&CK 将缓解措施（Mitigations）转换为对象，以提高缓解措施的价值和可用性。将缓解措施转化为对象之后，用户可以根据缓解措施找到预防相关攻击技术的不同措施。在 V10 版本中，ATT&CK 把数据源转换为对象，实现了类似的透视和分析功能。

最新发布的 V11 版本采用了类似的方法处理 ATT&CK for Enterprise 中的“检测”内容。以前，“检测”是在“技术”页面上用文本进行描述的，V11 版本对此进行了改进，将“检测”合并到与数据源有关的描述中。这样，针对每项攻击技术的检测，用户就可以明确地知道需要收集哪些信息作为输入信息（数据源），以及通过如何分析这些数据来识别特定的攻击技术（检测）。

在“T1197 BITS 作业”页面的检测信息

在“数据源”页面上，也有检测信息，并与“数据组件”下列出的每项技术进行了关联，这样用户就能够清晰地知道这些数据源可以用于检测哪些攻击技术。

数据源“容器”页面的检测信息

Mobile 子技术测试版上线

2020 年，ATT&CK for Enterprise 中增加了多项子技术，这些子技术广受好评，解决了 Enterprise 矩阵不断变大过程中遇到的一些问题。在 V11 版本中，ATT&CK for Mobile 也增加了子技术（测试版），预计今年夏天会正式发布 ATT&CK for Mobile 及其子技术。

ICS 矩阵在官网上线

此前，ATT&CK for ICS 是在 MediaWiki 网站上推出的，呈现方式与其官网类似，现已在官网正式上线。该版本的不同之处在于，合并了攻击组织和软件，将 ICS 技术添加到攻击组织和软件页面中，并在描述中做出相应的更新；此外，还整合了 ATT&CK for ICS 的数据源和数据组件。由于 ATT&CK for ICS 和 ATT&CK for Enterprise 二者之间存在一定的重叠，因此，增加了一个过滤器，可以看到只针对 ATT&CK for ICS 的数据源和数据组件，只针对 ATT&CK for Enterprise 的数据源和数据组件，以及二者通用的数据源和数据组件。

写在最后

最近几年，ATT&CK 框架发展日趋完善，而且备受欢迎，得到了安全行业的广泛采用。青藤通过多年对 ATT&CK 的研究探索，积累了大量较为成熟和系统化的研究材料。未来，青藤将持续关注 ATT&CK 的发展，为大家介绍 ATT&CK 发展的最新动态与最佳实践。5 月 19 日 19:30，青藤安全运营专家/高级咨询顾问黄亮与您共话 ATT&CK。