推荐语

随着互联网安全形势日益严峻，网络安全已上升为国家战略，其重要性也日益提升。对此，网络安全从业者承担的责任和压力与日俱增，不仅要脚踏实地确保现有网络系统的正常运行，更要关注前沿技术的研究与创新，应对未来可能的网络安全风险。本书是国内首度聚焦ATT&CK框架的读物，希望它能对网络安全从业者进一步了解、认识、使用ATT&CK框架提供帮助。

李新友

国家信息中心首席工程师

《信息安全研究》社长

ATT&CK框架来源于实战，是安全从业者在长期攻防对抗、攻击溯源、攻击手法分析的过程中，提炼总结形成的实用性强、可落地、说得清、道得明的体系框架。ATT&CK提供了一套多个组织机构和企业迫切需要的共识标准、共享情报、同语境沟通、操作性强等安全防御的方法论和实战场景。同时，它的出现也给了安全从业者一把尺子，可以用统一的标准去衡量网络经营主体的防御效果和发现威胁的能力，这种实用性防御方法和体系框架非常值得网络安全业内的专业人士深入研究与实践。本书作为青藤云安全多年的研究成果，由浅入深地对ATT&CK技术和框架进行了介绍，从入门篇到提高篇，从实战篇到生态篇，结合附录的战术及场景实践，内容涉及攻击事件复现、利用ATT&CK框架提升企业安全防护手段等技术，非常值得安全从业者深入研读。特此推荐。

李京春

国家信息技术安全研究中心原总工程师

中国网络安全审查技术与认证中心首席专家

中央网信办党政云审查专家组副组长

全国信息安全标准化技术委员会（TC260）安全评估组组长

ATT&CK框架作为攻击视角下的战术与技术知识库，不仅能有效帮助企业开发、组织和使用基于威胁信息的防御策略，还为企业评估网络防御能力差距提供了一个非常有用的工具。青藤云安全凭借多年的ATT&CK研究与实践，围绕多个维度编制本书，为我国网络安全从业人员更加深入了解、引用ATT&CK框架提供了一把“钥匙”。

顾健

公安部第三研究所研究员/一级警监

国家网络与信息系统安全产品检验检测中心副主任

ATT&CK既是网络安全攻防对抗的战术和技术知识库，也可以是分析一系列攻击行为、组织属性的技术基础，还可以是评估一个组织能力态势的框架基础，是近年来发展最快、热度最高的网络安全对抗技术框架。青藤云安全公司作为网络安全领域技术创新领军企业的代表，很早就开始研究ATT&CK技术，此次出版的《ATT&CK框架实践指南》对于ATT&CK初学者入门，或有一定基础的网络安全工作者进一步做到“知己知彼”、提升网络安全防护能力提供了重要参考资料。

严寒冰

国家互联网应急中心处长

MITRE ATT&CK自2015年发布至今，一方面得到业界广泛的关注和青睐，另一方面迭代更新了十个版本，攻防技战术知识体系内容不断扩展，庞大到难以透彻地学习和掌握。青藤云安全公司在自身研究与实践的基础上编写了这本书，为业界学习和掌握MITRE ATT&CK框架和体系，提供了从入门到进阶、从实践到生态的循序渐进的指引，对组织和个人系统地提升攻防对抗能力也具有十分重要的帮助。

陈钟

北京大学教授

网络与信息安全实验室主任

ATT&CK构建了一套较细粒度的攻击行为模型和更易共享的抽象框架，可用于攻击与防御能力评估、APT情报分析及攻防演练等。本书对ATT&CK框架进行深度解析，给出了实例分析，列举场景实践项目，利于读者研习，可供网络空间安全、信息安全等专业的教学、科研、应用人员参考使用。

罗森林

北京理工大学信息与电子学院教授

随着企业面临的网络空间威胁越来越多、监管合规的要求越来越高，企业在信息安全方面投入越来越多，在基础体系建设初见成效后，更加关注企业实战攻防能力的建设，入侵防御和检测能力则是其中非常重要的一部分。ATT&CK在这一领域是很有借鉴意义的：一方面ATT&CK可以有效地体系化衡量入侵防御和检测能力，进而指引企业在薄弱领域进行提高；另一方面也可以指导蓝军更加全面系统地开展工作，制定研究路线，不断提高攻击能力。本书不仅由浅入深地介绍了ATT&CK框架技术，还从实践和生态的角度展开论述，对于企业网络安全建设而言，有着不错的参考价值。

陈建

平安集团首席安全总监

本书值得甲方朋友研读。本书提供了一个建立完整安全防御体系的全局视角，不仅有精心提炼的方法论，还有具体的战术、知识库、开源工具、生态项目和数据集的构建及分析方法，难能可贵的是以上内容在线上都是免费开源且保持更新的，如已发布容器和K8S的攻防矩阵，而这一切又都是从攻击视角经过实践检验的经验沉淀，可以帮助甲方有效评估自身的安全建设成熟度及查漏补缺。

伏明明

中通快递信息安全负责人

在整个安全行业，鲜有集实战应用与理论指导于一身的ATT&CK框架相关图书，本书的出现很好地填补了这一空白：该书由浅入深地向读者介绍了ATT&CK框架体系及其在战略战术上的指导意义，其第二部分第6、第7章关于红队视角及蓝队视角的内容尤为精彩，攻防切换，视角互转，能够真切地感受到红蓝对抗及“军备”升级的过程中散发出的无声的硝烟。除此之外，还有关于APT组织常用的恶意软件分析及高频攻击手法分析，基于安全运营场景如何有效应用ATT&CK框架，基于SOC进行蓝军视角的实战堪称经典。本书对于安全从业者来讲，可谓一场饕餮盛宴，对于初入行业和有志于从事安全行业的读者，在构建及完善自我知识框架体系方面会给予极大帮助。

袁明坤

杭州安恒信息技术股份有限公司高级副总裁

ATT&CK自面世伊始就引起了业界的关注，目前仍在不断演进和完善中。本书深入浅出，介绍了ATT&CK的背景与框架，从实战入手，给出了基于ATT&CK技术的主流攻击组织、恶意软件的攻击手段和相应检测机制。如果希望了解如何利用ATT&CK技术评估第三方厂商方案的安全能力或提升安全运营和威胁狩猎中的检测防护效率，本书将是一个很好的选择。

刘文懋

绿盟科技首席安全专家

近年来，网络空间安全重大事件持续爆发，斯诺登事件、乌克兰电网攻击事件、美国大选干预事件等表明，网络安全威胁已全面泛化，覆盖了从物理基础设施、网络信息系统到社交媒体信息，对虚拟世界、物理世界的诸多方面造成了巨大影响。“没有网络安全就没有国家安全”“安全是发展的前提”“加快构建关键信息基础设施安全保障体系”这些重要论述为我国做好网络空间安全提供了根本遵循依据。关键信息基础设施是国家安全、国计民生和公共利益的核心支撑，国务院745号令《关键信息基础设施安全保护条例》的发布，对加快构建网络空间保障体系具有里程碑的战略意义。此文件明确要求运营者在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。然而，面对不断出现的各种网络安全事件，到底该如何做才能让网络安全问题不再时刻困扰人们呢？其实这一切都是由网络安全的动态属性所决定的。网络安全是动态的而不是静止的，网络安全的形态是不断变化的，一个安全问题解决了，另一个安全问题又会冒出来，而在网络安全的动态属性中，新技术安全是导致网络安全具有动态特征的主要因素之一，这是因为新技术必然会带来新的安全问题，而各种新技术、新系统源源不断出现，自然会引发各种新的安全问题与安全事件。确保网络安全，特别是其中的关键信息基础设施安全，不仅对网络安全管理部门、运营部门、安全服务机构，还对网络安全从业者都提出了新的能力要求。而且，随着网络安全攻防技术的演进，对运营部门和安全服务机构来说，要有不断演进的对抗技术和知识库，能够全面评估防御能力和监测能力，确保动态属性的网络安全和关键信息基础设施维持在安全可控的状态。ATT&CK框架的产生，为这一问题的解决提供了一种解决方案。网络安全的本质是一种高技术对抗。网络安全技术主要解决各类信息系统和信息的安全保护问题，而信息技术自身的快速发展，也必然带来网络安全技术的快速发展。同时，安全的对抗性特点决定了其需要根据对手的最新能力、最新特点采取有针对性的防御策略，网络安全也是一项具有很强实践性要求的学科。因此，网络安全人才的培养不仅需要重视理论与技术体系的传授，还需要重视实践能力的锻炼。“网络空间的竞争，归根结底是人才竞争”“网络安全的本质在对抗，对抗的本质在攻防两端能力较量”，这说明人是网络安全的核心，而提高人的能力要靠实践锻炼。

ATT&CK是一种供防守方使用的对抗战术和技术知识库框架，防守方可使用ATT&CK作为一把统一的尺子去衡量其防御和检测能力。ATT&CK适用于基于云技术架构的信息系统、移动通信，以及工业控制系统等领域。可使用ATT&CK架构描述网络攻击中各环节的战术、技术和步骤，从而帮助运营者或安全服务者更好地进行风险评估，防范安全隐患。ATT&CK框架来源于网络安全实战中的经验总结，是安全从业者在长期攻防对抗、攻击溯源、对攻击手法分析的过程中，提炼总结而形成的技术体系框架。

张福、胡俊、程度三位年轻作者，来自国内网络安全新锐——青藤云安全，有多年网络安全一线服务和实战经验，对ATT&CK有着丰富经验、案例和实践感悟，并愿意把自己使用ATT&CK的经验整理成书，分享给更多网络安全爱好者，这种分享精神值得学习。本书从ATT&CK框架入手，对核心架构、应用场景、技术复现、对抗实践、指标评估等多个层面做了深度解析，通过阅读本书能够帮助安全运营者、网络安全服务者，以及安全从业者深入、系统、全面地了解、认识和使用ATT&CK框架网络安全实战模型，不断提升网络安全防护体系及安全运营能力。ATT&CK框架是一种不断持续更新改进的对抗战术和技术知识库，涵盖了几十种攻击战术和上百种攻击技术，这些技术也特别适合高校网络安全相关专业的高年级学生学习和实践，对网络安全人才培养将大有益处。

封化民

教育部高等学校网络安全专业教指委秘书长