ATT&CK框架公開發(fā)布于2015年，從最初的一個內部人員分享的Excel電子表格工具，到如今已經發(fā)展成為威脅活動、技術和模型的全球知識庫，成為在企業(yè)、政府和安全廠商中廣為流行的安全工具。ATT＆CK框架提供了關于在野網絡攻擊活動最全面及時的社區(qū)知識集合，這有助于企業(yè)劃分安全威脅的優(yōu)先級，并用于評估安全方法、產品和服務。

不過研究人員發(fā)現(xiàn)，ATT＆CK框架的應用潛力目前還沒有得到充分挖掘，其應用推廣中面臨的主要挑戰(zhàn)包括：

缺乏安全工具支持，難以實現(xiàn)互操作性

框架部署的成熟度不夠，難以實現(xiàn)自動化

為了幫助使用者應對上述挑戰(zhàn)，本文收集整理了一些有助于MITRE ATT&CK知識庫應用落地的免費工具和資源。

1.Getting Started with ATT&CK

《ATT&CK實踐指南》白皮書

這本免費的電子書將一系列博客文章中的威脅情報、檢測和分析、對手模擬和紅隊、評估和工程等內容整合到一個單一的、方便的工具集中。這樣將有助于安全威脅分析師如何更好地使用ATT&CK。本書收集了大量真實用例的共享內容，并將這些內容分成不同的級別：

級別1適用于剛起步但可能沒有太多資源的分析師；

級別2適用于開始成熟的中級安全團隊；

級別3則適合更先進的網絡安全團隊。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

2.CALDERA

CALDERA是一個由python語言編寫的紅藍對抗工具（攻擊模擬工具）。它是MITRE公司發(fā)起的一個研究項目，該工具的攻擊流程是建立在ATT&CK攻擊行為模型和知識庫之上的，能夠較真實地APT攻擊行為模式。

通過CALDERA工具，安全紅隊可以提前手動模擬并設定好攻擊流程，并以此進行自動化攻擊和事件響應演練。同樣，安全藍隊也可以利用該工具，根據相應的威脅開展模擬應對。

該工具主要由兩個組件組成：

核心系統(tǒng)。由相關存儲庫中可用的內容組成，主要包括一個帶有REST API和web界面的異步命令控制（C2）服務器。

插件。這些插件可以擴展核心系統(tǒng)功能，包括代理、報告、TTP集合等。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

3.Best Practices for MITRE ATT&CK Mapping

《MITRE ATT&CK映射的最佳實踐指南》白皮書

由于ATT&CK框架的應用潛力并沒有得到充分挖掘，美國網絡與基礎設施安全局（CISA）和國土安全系統(tǒng)工程與發(fā)展研究所（HSSEDI）共同制定了一份《MITRE ATT&CK映射的最佳實踐指南》，旨在幫助網絡威脅分析師將攻擊者的TTP（技術、工具和程序）映射到相關的ATT&CK技術，以提高防御者主動檢測對手行為和共享行為情報的能力。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

4.CASCADE

CASCADE也是MITRE公司發(fā)起的一個研究項目，旨在將“安全藍隊”團隊執(zhí)行的大部分調查工作自動化，以確定使用主機數(shù)據的網絡上存在的可疑行為的范圍和惡意程度。

CASCADE原型應用具有處理用戶身份驗證、運行分析和執(zhí)行調查的能力，可以對存儲在Splunk/ElasticSearch中的數(shù)據進行分析，以生成警報。警報會觸發(fā)一個遞歸調查過程，其中幾個后續(xù)查詢會收集相關事件。應用會自動生成這些事件的圖形，顯示它們之間的關系，并用ATT&CK的信息標記該圖形。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf??

5.Metta

Metta是一款對抗性模擬工具，它是由多個內部項目產生的。Metta使用Redis/Celery、python和VirtualBox進行攻擊行為模擬，這樣用戶就可以測試基于主機的安全系統(tǒng)。另外用戶還能測試其他基于網絡的安全檢測和控制，具體過程取決于使用者的設置方式。Metta能夠在Microsoft Windows、MacOS和Linux等多個操作系統(tǒng)終端上運行。

傳送門

??https://github.com/uber-common/metta??

6.Sandbox Scryer

Sandbox Scryer是一款功能強大的開源威脅情報工具，該工具可以根據公開的沙箱輸出信息生成威脅搜索和情報數(shù)據，并允許安全研究人員將海量威脅樣本發(fā)送給沙箱，以構建可以跟MITRE ATT&CK Framework一起使用的技術文檔。Sandbox Scryer提供了大規(guī)模用例解決方案，該工具適用于對利用沙盒輸出威脅情報感興趣的威脅分析人員。

值得一提的是，當前版本的Sandbox Scryer使用了多種惡意軟件分析服務的數(shù)據信息，可以幫助分析人員加快和提升威脅搜索的能力。

傳送門

??https://github.com/PayloadSecurity/Sandbox_Scryer??

7.Finding Cyber Threats with ATT&CK-Based Analytics

《使用基于ATT&CK的分析發(fā)現(xiàn)網絡威脅》白皮書

該白皮書提出了一種使用MITRE ATT&CK框架的新方法——通過基于行為的威脅模型來識別相關的防御傳感器（defensive sensor），并使用攻擊仿真來構建、測試和改進基于行為的分析檢測能力。該方法可以通過防御差距分析、端點安全性評估、針對特定環(huán)境優(yōu)化行為分析，以及使用紅隊模擬等多種手段，增強企業(yè)的網絡安全性。

傳送門

??https://www.mitre.org/sites/default/files/2021-11/16-3713-finding-cyber-threats-with-attack-based-analytics.pdf??

8.Atomic Red Team

Atomic Red Team是一個由Red Canary主導的開源項目，它提供了和ATT&CK一致的紅隊測試內容，可以用來測試現(xiàn)有的威脅分析方法。安全團隊可以使用Atomic Red Team快速、可移植和可重復地測試他們的系統(tǒng)應用環(huán)境。用戶可以直接通過命令行執(zhí)行測試，無需安裝運行軟件。

傳送門

??https://github.com/redcanaryco/atomic-red-team??

9.Red Team Automation（RTA）

Red Team Automation是一組有38個腳本支持的可執(zhí)行文件，可生成與ATT＆CK框架中的技術相對應的安全組件，旨在允許安全藍隊測試他們對惡意間諜技術的檢測能力。截至目前，Red Team Automation提供50多種由ATT＆CK技術支持的組件，這個數(shù)量將來還會進一步增加。Red Team Automation支持Microsoft Windows操作系統(tǒng)，并且使用python進行編碼，另外它還可以執(zhí)行反取證操作，進行惡意傳播、繞過UAC等模擬攻擊。

傳送門

??https://github.com/endgameinc/RTA??

10.Mapping CVEs to MITRE ATT&CK網站

這是一個由Vulcan Cyber的研究團隊創(chuàng)建的網站，用于展示一個正在進行的攻擊研究項目，可以將記錄的CVE映射到MITRE ATT&CK矩陣中的相關戰(zhàn)術和技術。目前，該網站還處于測試階段，將會不斷更新，以納入并記錄更多的新CVE。用戶可以根據特定的技術需要搜索CVE，也可以通過特定的CVE搜索與之匹配的ATT&CK戰(zhàn)術和技術。

傳送門

??https://mitremapper.voyager18.io/??