ATT&CK的发展历史

MITRE公司

MITRE是美国NIST标准化组织选择的专注于网络安全的组织，由美国联邦政府资助。很多安全标准都MITRE制定的，比如有名的漏洞CVE编号规则以及威胁情报格式STIX。所以ATT&CK非常有影响力，而且未来能成为一个公认的标准。（https://zhuanlan.zhihu.com/p/162799295）

在维基百科上，MITRE被定义为一家“非营利组织”，但事实上2019年MITRE的收入为18亿美元（下图），听上去没有什么大不了，但MITRE对美国本土和全球网络空间安全的影响力，远超任何一家科技公司。Mitre Corp集团，实际上是美国政府背后比DARPA还要可怕和神秘的“黑科技”组织。，Mitre前工程师Matt Edman曾与联邦调查局（FBI）合作，利用其黑客技巧帮助FBI摧毁了臭名昭著的“丝绸之路”暗网毒品市场

以下站点将会经常用到，上面有大量的基础知识可供我们学习：

• https://cve.mitre.org/
• https://stixproject.github.io/
• https://cwe.mitre.org/
• https://capec.mitre.org/
• http://attack.mitre.org/

ATT&CK发展历史

根据 ATT&CK 官网FAQ（https://attack.mitre.org/resources/faq/），最早在2013年，MITRE开始制定ATT&CK框架，但此时还只是MITRE内部完善和使用

2015年，ATT&CK模型首次对外公开分享，包含9种战术，96种攻击技术

2018年全年发布了3个对外版本。1月，ATT&CK正式发布了v1版本; 同年4月份，又发布了v2版本； 同年10月份，又发布了v3版本（https://attack.mitre.org/resources/versions/）

在2018年度，ATT&CK在业界获得了爆发式关注，众多安全厂商基于ATT&CK正式版本，在产品中增加了对该模型的支持

2019年3月的RSA大会中，有超过10个议题讨论将ATT&CK用于攻击行为建模、改进网络防御、威胁狩猎、红蓝对抗复盘、攻击检测方面的研究和分析

截止当前，最新发布的是2022年10月v12版本，共包含14个战术，193个技术，401个子技术，135个APT组织和718个攻击软件

ATT&CK属于开源框架，任何人都可以进行贡献，所以其版本发展非常快。这也是ATT&CK为什么能获取这么多的技术、战术和攻击组织的根本性原因

例如APT28组织所使用的技术在ATT&CK模型中的映射关系

借助开源后整个安全界的力量，从2018年开始，基本上以每年3个版本的方式进行更新