我们前面已经讲过,ATT&CK(对手战术、技术及通用知识库)是一个反映各个攻击生命周期的攻击行为的模型和知识库,而威胁情报是对攻击者及其恶意活动的可运营的知识(actionable knowledge)和洞见(insight),其中知识包括上下文、机制、指标、含义和可执行的建议。因此我们可以利用ATT&CK模型来增强威胁情报。
在继续之前,先尝试回答以下问题?
①.我们的对手是谁?(业余黑客?专业黑客组织?还是超强能力网空威胁行为体?)
②.对手的能力如何?
③.对手最常用的技战术是什么?
④.我们跟对手的差距在哪里?
⑤.我们如何防御?