MITRE ATT&CK（MITRE Adversarial Tactics, Techniques, and Common Knowledge）于2015年发布，是网络攻击者战术和技术的综合框架或知识库。该框架由MITRE组织开发，可供CISO、安全团队、红队人员和威胁猎手用来评估他们的攻击面并构建更好的安全模型，以便他们采取相关的安全措施。

而且，在近年的攻防演练中，该攻击模型也逐渐被应用。今天，我们为大家简析如何使用零信任安全模型保护自己免受MITRE攻击和攻击，完成“以攻促防、以防止攻”的整个过程。

MITRE攻击战术和技术

我们先了解一下MITRE ATT&CK框架，才能更针对性的明晰零信任模型如何解决攻击问题。MITRE ATT&CK框架目前涵盖了14种后续战术:

图 MITRE ATT&CK框架图

• 侦察-为网络攻击收集信息
• 资源开发-获取和建立资产以准备攻击
• 初始访问-在网络中获得初步立足点
• 执行-尝试运行恶意代码
• 持久性-保持访问不受中断和重启的影响，例如通过劫持代码
• 权限提升-获得更高级别的权限
• 防御规避-避免检测，例如通过禁用安全软件
• 凭证获取-窃取帐户名和密码
• 探索发现-获得有关系统的知识以规划后续步骤
• 横向运动-探索网络、进入和控制系统
• 收集信息-收集有价值的数据，通常用于窃取 
• 命令和控制-与受感染的系统通信以控制它们
• 渗透-从网络中窃取数据
• 影响-操纵、中断和破坏系统和数据的技术

这些战术中的每一种目前都包括6-37种攻击技术，其中一些技术还包括子技术。例如，网络钓鱼是“初始访问”策略中的一种技术。它包括三个子技术：鱼叉式网络钓鱼附件、鱼叉式网络钓鱼链接和通过服务进行的鱼叉式网络钓鱼。

MITRE攻击和零信任

零信任是一种专注于用户、资产和设备而不是边界的安全模型。ZT原则假定没有隐含的信任。因此，零信任架构将基于用户和设备的身份验证和授权，而不是基于其物理或网络位置来授予对资产和网络的访问权限。

零信任是MITRE推荐的安全方法，因为它创建了阻止攻击的访问限制。通过将安全资源尽可能靠近最终用户，零信任可以在侦察阶段阻止大多数对手。这意味着在零信任的情况下，攻击者永远不会进入网络。 

侦察是MITRE ATT&CK框架的第一阶段。零信任通过隐藏网络和阻止攻击者的可见性来防止主动扫描和收集主机信息。防止网络攻击者进入下一阶段可显着减少任何实施零信任的组织的攻击面。

此外，对于已经在网络内部的黑客，零信任可以帮助防止其余13种策略中的许多攻击技术。

• 初始访问-许多攻击者通过VPN进入企业网络。通过替换VPN，零信任最大限度地减少了攻击面。此外。零信任通过添加MFA和实时监控来阻止使用被盗凭据的能力。
• 执行、持久性和权限提升-零信任过滤和限制API访问和主机命令，以防止恶意代码运行。
• 防御规避-零信任通过会话记录、转录和请求日志提供完全可见性。通过添加日志，存在能够检测用户操作的信息。
• 凭证获取-零信任使用MFA保护用户帐户并提供端到端加密以防止MITM。
• 横向移动-零信任通过阻止网络访问和提供服务分段来减轻横向移动，因此用户只能获得对特定应用程序的代理访问。
• 收集信息-零信任提供了缓解控制，例如禁止文件下载或文件传输。

MITRE ATT&CK框架制定了恶意攻击者用来发起攻击的对抗性策略、技术和程序 (TTP)，而零信任针对攻击进程可以解决相应的问题，也可以更好的作用于攻防演练中。