2.1 网络杀伤链、ATT&CK及NTCTF

若给出防御措施时只能简单地以已知的攻击为依据，这对防御者而言简直是梦魇。为了有效进行入侵对抗，可以通过构建有效的入侵模型和网络威胁框架，把入侵防御从完全被动的防御转变为主动防御和积极防御。网络杀伤链、ATT&CK和NTCTF（NSA/CSS网络威胁框架）是过去网络攻防的重要经验成果，为积极防御提供了指南。

网络杀伤链是由著名的Lockheed Martin公司在2011年提出的，它把入侵过程分为7个阶段：侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成。网络杀伤链第一次明确地把攻击过程模型化，使防御者可以做到分阶段防御。只要在达成攻击之前检测并进行干预，就可以把伤害降到最低。网络杀伤链流程如图2-1所示。

ATT&CK是MITRE公司在2015年发布的战术知识库，可以很好地弥补网络杀伤链的高层抽象、未知威胁（IOC）以及特征之间的落差，对攻击行为进行分类和特征化，让攻击防御不局限于琐碎的观测点。而描述攻击者的行为通常需要采用一套特定的策略、技术和程序，即TTP。IOC强调的是一个威胁点，TTP则强调一类威胁行为，并且IOC实现了对威胁行为的阶段性划分。网络威胁归因始终是安全最重要的事宜之一，通过ATT&CK，用户第一次可以看懂网络威胁。ATT&CK战术库进行了一定程度的分类和抽象，具备了一定的防御IOC的能力。ATT&CK框架如图2-2所示。

图2-1 网络杀伤链流程图（来源于https://www.lockheedmartin.com）

NTCTF最新版本由美国国家安全局/美国中央安全局（NSA/CSS）在2018年11月发布，可以认为是由美国国家情报主任办公室（ODNI）发布的CTF升级而来的。NTCTF是一个基于ATT&CK重新构造的网络威胁入侵过程模型，包括阶段、目标、行为、关键短语4个层次。NTCTF把入侵过程分为6个阶段：行动管理、准备活动、接触目标与进攻突防、持久化驻留潜伏、效果、持续支撑作业。每个阶段都由目标、行为和关键短语来提供支撑。其中行为的核心支撑点就是ATT&CK战术知识库。NTCTF框架如图2-3所示。

图2-2 ATT&CK框架图（来源于https://attack.mitre.org/）

图2-3 NTCTF框架图（来源于https://media.defense.gov）

无论是网络杀伤链、ATT&CK还是NTCTF，覆盖的内容体系都非常庞大，本文无法完全展开说明。如需进一步了解，可以通过图源链接查看相应的白皮书和报告。