最近，ATTCK团队推出了一个新的抽象概念——子技术，并更新了整个ATTCK框架。 传统上，ATTCK框架存在抽象程度因技术而异的问题，例如特定技术非常具体、非常概括或只有特定类型的技术。 目前，随着子技术的出现，正在彻底解决技术抽象层面的问题。

新版本的ATTCK框架

新的attck(forenterprise )包括156项技术(原本为266项技术)和272个子技术。 对于旧版本的ATTCK技术，部分技术保留，部分降级为子技术，但部分与其他技术和子技术集成，并部分废除。

什么是子技术

比起技术，子技术是更具体的技术。 这就像比生物学的分类方法、“纲目科属种”、“种”更细致的分类方法是“亚种”。 如虎共有8个亚种，包括东北虎、华南虎、孟加拉虎等。 这种分类方式可以更细致地对种类之间的关系进行模型化。

以T1574技术(劫持执行流)为例，攻击者可以通过劫持操作系统执行程序来执行恶意负载，实现持久化、防御旁路和权限委派。 但是，攻击者可以通过各种方式劫持执行流。 在新的ATTCK框架中，T1574技术将具有11个子技术的几种具体技术集合在一起。

T1574技术包括11个子技术

子技术编号的采用模式将ATTCK技术ID扩展到T[technique].[子技术]。 例如，流程注入仍然为T1055，而子技术流程注入：动态链接库注入为T1055.001。

子技术编号模式

子技术的特征

打开子技术和技术的具体页面，包含攻击技术的说明、检查、环节、数据源等几乎相同的信息。 根本的区别是他们的关系，每个子技术都有唯一的父技术。 但是，子技术和技术之间不存在一对多的关系。 然而，对于跨越多种战术的子技术需要特殊说明，子技术无需考虑父技术属于哪个战术。 例如，流程注入( T1055 )是“防御旁路”和“提议”两种战术下的技术，没有相应的子技术流程( T1055.012 )是唯一的。

另外，并不是所有的技术都有子技术。 通常，每个子技术都旨在提供更多关于父技术具体使用的信息，但可能还有一些技术尚未突破到子技术，或者不需要归纳为更高级的技术。 例如，双因素认证拦截就是一个示例。

子技术继承父技术的信息，包括缓解措施和数据源信息。 但是，攻击组织和恶意软件相关实例在子技术和技术之间没有继承关系。 例如，审查相关的威胁信息，如果提供的信息详细到与子技术相关联的话，就可映射到子技术。 如果信息模糊且无法识别子技术，则该信息将映射到该技术。 为了减少冗馀，不应该将同一攻击实例映射到两者。

最后写

ATTCK子技术的概念几乎重构了整个框架，需要调整基于ATTCK框架设计的流程、工具等，需要熟悉的过程，包括人们的使用习惯。 目前，ATTCK官方网站仍支持用户选择和使用旧版本。

但从长远看，子技术利远大于弊。 子技术的出现，使ATTCK框架更加完善，主要有以下几点。

使整个知识库的技术抽象水平处于同一水平

将技术含量控制在可管理水平，避免爆炸性增长

通过轻松添加子技术更新，减少技术本身的变化

通过使用重复技术，可以更容易地向ATTCK添加技术域。 例如，添加cloud、ICS等

更详细地描述在不同平台上检测攻击技术所涉及的数据源和描述。

（）

！

奖励

二维码

共享

共享

奖励

详情请访问云服务器、域名注册、虚拟主机的问题，请访问西部数码代理商官方网站： www.chenqinet.cn