其實在我之前文章里面，也反復提到一些框架和模型，為什么要反復提網(wǎng)絡(luò)安全框架和模型，在我的認知層面里，我覺得做任何事情，都需要遵循一定方法論和規(guī)則，當你不能成為第一個吃螃蟹的人，那就必須站在前人總結(jié)的基礎(chǔ)上去學習、理解并應(yīng)用。任何領(lǐng)域、任何行業(yè)都有相匹配的方法和體系，比如華為的三大流程IPD、LTC及ITR，費曼學習法等，類似這樣的流程、框架呀實在太多了，多學習流程和框架的好處就是，做相關(guān)事情有方法可循，可以快速構(gòu)建你的思維體系來解決問題，同時基于你對框架和流程的理解和深入，可以站在框架和流程之上的角度來思考和解決問題，這樣看問題的角度和深度就不一樣了。從網(wǎng)絡(luò)攻防的角度，必須了解三個攻擊模型，這三個模型只是從不同的角度呈現(xiàn)了黑客攻擊的路徑和方法，黑客并不一定完全按照這些模型的思路，但是至少有一個稍微清楚的路徑了，常言道盡信書不如無書，不能拘泥于這些模型，要活學活用，真正從實戰(zhàn)出發(fā)，從溯源取證角度去分析和總結(jié)，就像古龍寫的武俠小說一樣，沒有明確的武功招式，往往是無招勝有招，這就是一種境界。下面重點介紹一下三種模型，僅做參考。

1.  滲透測試執(zhí)行標準（PTES）

滲透測試執(zhí)行標準由7個部分組成，包括前期交互、情報收集、威脅建模、漏洞分析、滲透利用、后滲透、撰寫報告。在中國，滲透測試必須經(jīng)過授權(quán)，否則就違背了網(wǎng)絡(luò)安全法。前期交互主要指開展?jié)B透測試工作前，與客戶進行溝通和交流，確定測試范圍、目標、限制條件及相關(guān)要求，以及簽訂合同等，主要是前期的準備工作。情報收集主要指通過主動或被動方式收集滲透測試相關(guān)的信息，比如目標網(wǎng)絡(luò)、端口、操作系統(tǒng)、相關(guān)組件、協(xié)議、漏洞等信息。威脅建模指對情報收集階段獲取的情報信息進行威脅建模，找出系統(tǒng)中最薄弱的環(huán)節(jié)，確定高效準確的攻擊方法。漏洞分析發(fā)現(xiàn)系統(tǒng)和應(yīng)用程序中可被攻擊者利用的缺陷的過程。滲透利用是指利用之前發(fā)現(xiàn)的漏洞進行真正的攻擊取得目標系統(tǒng)的訪問控制權(quán)。后滲透指取得訪問控制權(quán)之后進行權(quán)限維持并獲取目標系統(tǒng)的數(shù)據(jù)，達到網(wǎng)絡(luò)攻擊目的。撰寫報告指向被滲透方提交滲透結(jié)果以及修復方案。

傳送門：www.pentest-standard.org

2.  網(wǎng)空殺傷鏈（Cyber Kill Chain）

殺傷鏈也叫七步殺，用于識別和預防網(wǎng)絡(luò)入侵活動，由洛克希德·馬丁公司開發(fā)。該模型確定了對手必須完成什么才能實現(xiàn)。包括偵察、武器研發(fā)、載荷投遞、滲透利用、安裝執(zhí)行、命令控制、任務(wù)執(zhí)行。偵察指收集電子郵件、組織、系統(tǒng)等各種信息，就是針對目標及目標外圍的各種情報信息。武器研發(fā)指開發(fā)各種攻擊所需要的poc、exp等各種程序。載荷投遞指通過電子郵件、網(wǎng)絡(luò)、USB等方式向目標進行投遞。滲透利用指投遞成功之后在目標網(wǎng)絡(luò)或資產(chǎn)上進行滲透利用獲得初步控制權(quán)。安裝執(zhí)行指將木馬在目標資產(chǎn)上正常運行，具備執(zhí)行下一步動作的條件。命令控制指通過各種方式將木馬持久化并與攻擊服務(wù)器保持隱蔽持久的通道。任務(wù)執(zhí)行指達成前期寫下的目標，比如竊取數(shù)據(jù)、破壞系統(tǒng)等各種惡意行為。

傳送門：https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

3.  MITRE ATT&CK 框架

ATT&CK是由MITRE公司在2013年提出的戰(zhàn)略、戰(zhàn)術(shù)及程序的對抗框架，可用用于對抗 模擬、紅隊滲透測試、藍隊防御、威脅情報分析等，有三個版本ATT&CK Matrix for Enterprise、ATT&CK Matrix for Mobile、ATT&CK Matrix for ICS。

傳送門：https://attack.mitre.org/     官網(wǎng)

https://mitre-attack.github.io/attack-navigator/     導航器（可以做攻擊路線圖）

還有CALDERA是MITER官方基于ATT&CK推出的網(wǎng)絡(luò)安全紅藍對抗框架，可用于自動化紅隊行動、手工紅隊行動、自動化應(yīng)急響應(yīng)等攻防實踐。https://github.com/mitre/caldera

總之，了解攻擊模型對網(wǎng)絡(luò)安全人士至關(guān)重要，因為它有助于預測和理解潛在威脅，指導有效的防御策略。攻擊模型提供了對黑客可能采用的技術(shù)和方法的深入了解，使安全專業(yè)人員能夠更全面地評估系統(tǒng)和網(wǎng)絡(luò)的脆弱性。通過研究不同的攻擊模型，安全團隊可以更好地了解威脅面，并采取相應(yīng)的對策，包括加強防護措施、改進監(jiān)控和應(yīng)急響應(yīng)計劃。這種深入了解攻擊模型的方法有助于提高網(wǎng)絡(luò)安全的整體水平，確保組織能夠更加強大地抵御不斷演進的威脅。