新版ATT＆CK：框架邏輯、利用、最常用戰(zhàn)術(shù)，讀這篇就夠了

最近在很多地方都提到了這個(gè)攻擊框架，相關(guān)的介紹文檔雖然各種角度都有，但很難通過一篇文章對(duì)框架有個(gè)整體了解，同時(shí)具體的落地實(shí)戰(zhàn)方向也并不清晰，于是決定根據(jù)官方文檔以及一些個(gè)人經(jīng)驗(yàn)寫篇概述性的文章。

ATT&CK模型由MITRE公司于2013年創(chuàng)建。MITRE公司前身是麻省理工學(xué)院的林肯實(shí)驗(yàn)室，是一家向美國政府提供系統(tǒng)工程、研究開發(fā)和信息技術(shù)支持的非營利性組織，其最引為人知的是它目前維護(hù)了全球最大的漏洞信息庫CVE。而ATT&CK框架正是MITRE公司基于其在CVE漏洞庫管理基礎(chǔ)上，總結(jié)入侵者入侵實(shí)戰(zhàn)和漏洞利用手法，從而形成詳細(xì)的入侵知識(shí)庫框架。

為什么要學(xué)習(xí)使用這一框架

在當(dāng)今復(fù)雜的網(wǎng)絡(luò)環(huán)境中，各種攻擊技術(shù)與防御技術(shù)迭代而生，互相博弈，而這也逐漸顯露出了兩方面的問題。

首先，單一的攻擊手段逐漸已經(jīng)失去了有效性。在實(shí)際的生產(chǎn)應(yīng)用環(huán)境中，基本已經(jīng)很難利用某一基礎(chǔ)通用漏洞對(duì)重要的業(yè)務(wù)資產(chǎn)產(chǎn)生影響，大多數(shù)企業(yè)已經(jīng)初具安全意識(shí)，這當(dāng)然是一個(gè)非常好的發(fā)展趨勢(shì)，但這卻在無形中增加了信息安全人才培養(yǎng)的難度。

信安作為計(jì)算機(jī)中的一個(gè)特殊分支，學(xué)習(xí)的內(nèi)容廣而雜，非常容易迷失方向。而傳統(tǒng)的基于目標(biāo)實(shí)踐的培養(yǎng)方式在過去很好的激發(fā)了一代又一代網(wǎng)安人的成長，他們常常利用所學(xué)到的為數(shù)不多的知識(shí)就能發(fā)動(dòng)一次有效的攻擊（比如曾經(jīng)的SQL漏洞滿天飛，3389跑遠(yuǎn)控，MSF打內(nèi)網(wǎng)），而這對(duì)于現(xiàn)階段的網(wǎng)絡(luò)環(huán)境已經(jīng)變得不切實(shí)際了。

因此非常需要這樣一個(gè)類似于指導(dǎo)方案的框架出現(xiàn)，使學(xué)習(xí)者能夠明白學(xué)習(xí)目標(biāo)是什么，所需的知識(shí)是什么，而ATT&CK框架正是提供了一個(gè)這樣的索引，系統(tǒng)歸納總結(jié)了攻擊路徑中的各個(gè)宏觀結(jié)構(gòu)以及技術(shù)細(xì)節(jié)，具有很強(qiáng)的學(xué)習(xí)意義。

另一方面，現(xiàn)如今大量的APT攻擊層出不窮，數(shù)據(jù)泄露事件頻發(fā)，各類惡意軟件大肆橫行，企業(yè)與機(jī)構(gòu)在這樣的態(tài)勢(shì)下越發(fā)顯得疲于應(yīng)對(duì)。而ATT&CK的出現(xiàn)正有利于這一問題的解決，通過從宏觀到微觀的角度，使用通用語言對(duì)各種攻擊環(huán)節(jié)與行為進(jìn)行具體描述，方便企業(yè)與機(jī)構(gòu)據(jù)此對(duì)自身資產(chǎn)進(jìn)行一個(gè)完整有效的安全評(píng)估，隔絕各種可能的入侵風(fēng)險(xiǎn)，這對(duì)于整個(gè)信息產(chǎn)業(yè)的發(fā)展都起著彌足輕重的作用。

同時(shí)，最近威脅情報(bào)這一概念也逐漸進(jìn)入了人們的視野，ATT&CK通過使用定義結(jié)構(gòu)化語言也為動(dòng)態(tài)情報(bào)系統(tǒng)的發(fā)展奠定了基礎(chǔ)，更多的相關(guān)內(nèi)容可以查看文中的應(yīng)用方向章節(jié)

MITRE ATT&CK 框架是2013年在非營利組織 MITRE 公司的米德堡實(shí)驗(yàn)中誕生。研究人員模擬攻防雙方行為，通過遙測(cè)傳感與行為分析改善失陷威脅檢測(cè)，開發(fā)了 ATT&CK 框架（即 Adversarial Tactics, Techniques, and Common Knowledge），作為分析對(duì)手的工具。

今年10 月，ATT&CK更新至第10個(gè)版本。新版本最大變化是在企業(yè)技術(shù)領(lǐng)域ATT&CK中，添加了一組新的數(shù)據(jù)源和數(shù)據(jù)組件對(duì)象，從而補(bǔ)充ATT&CK v9 版本中ATT&CK 數(shù)據(jù)源名稱的更改。本期推薦的這篇文章，涵蓋了MITRE ATT&CK 框架邏輯、如何使用，以及近期攻擊者最常用技戰(zhàn)術(shù)，文章較長，建議收藏閱讀。

01 MITRE ATT&CK框架

MITRE ATT&CK框架作為一個(gè)綜合性知識(shí)庫，通過對(duì)攻擊生命周期各階段的實(shí)際觀察，從而對(duì)攻擊者行為進(jìn)行理解與分類，涵蓋各APT組織實(shí)施的惡意行為。隨著廠商及企業(yè)對(duì)框架的采用，以及框架本身不斷調(diào)整，MITRE ATT&CK已被公認(rèn)為了解攻擊者對(duì)企業(yè)使用的行為模型與技術(shù)權(quán)威。

MITRE ATT&CK框架基礎(chǔ)元素為戰(zhàn)術(shù)、技術(shù)和程序，也就是TTPs（ Tactics, Techniques and Procedures）。戰(zhàn)術(shù)回答了攻擊者想要實(shí)現(xiàn)的目標(biāo)；技術(shù)或子技術(shù)展示了攻擊者實(shí)際的攻擊方式以及目標(biāo)如何實(shí)現(xiàn)；至于程序，框架解決的是威脅行為者與攻擊組織為達(dá)到目標(biāo)所使用技術(shù)的特定應(yīng)用。此外，MITRE ATT&CK框架也涵蓋了威脅檢測(cè)與處置建議，以及攻擊中使用的軟件。具體而言，MITRE給出了3個(gè)單獨(dú)矩陣，來應(yīng)對(duì)不同的攻擊環(huán)境，分別是：

• 企業(yè)技術(shù)領(lǐng)域 ATT&CK

該矩陣適用Windows、macOS、Linux、云（Azure AD、Office 365、谷歌Workspace、SaaS、IaaS)、網(wǎng)絡(luò)和容器環(huán)境。同時(shí)，該矩陣還包括一個(gè)攻擊者準(zhǔn)備階段的技術(shù)的“PRE”子部分。

• 移動(dòng)設(shè)備ATT&CK

涵蓋無移動(dòng)設(shè)備訪問權(quán)限卻訪問移動(dòng)設(shè)備的戰(zhàn)術(shù)與技術(shù)，包括與Android和iOS平臺(tái)相關(guān)的信息。

• 工控系統(tǒng)（ICS）領(lǐng)域ATT&CK

包括了工業(yè)控制系統(tǒng)（ICS）環(huán)境中攻擊者可能采取行動(dòng)的知識(shí)庫。

由于企業(yè)技術(shù)領(lǐng)域涉及更多更廣，這篇文章我們會(huì)重點(diǎn)關(guān)注該領(lǐng)域。

我盡力，內(nèi)容太多了

相看清請(qǐng)去 https://attack./

MITRE ATT&CK企業(yè)技術(shù)領(lǐng)域矩陣

02 MITRE ATT&CK 戰(zhàn)術(shù)與技術(shù)

所謂MITRE ATT&CK的戰(zhàn)術(shù)，是攻擊者希望通過技術(shù)實(shí)現(xiàn)的目標(biāo)，每個(gè)目標(biāo)都包含了攻擊者被實(shí)際觀察使用的特定技術(shù)。這些戰(zhàn)術(shù)都是以線性方式呈現(xiàn)，從情報(bào)收集一直到滲漏及影響，但不必按照該順序使用，因?yàn)镸ITRE也并未提出特定的順序。目前，MITRE已經(jīng)識(shí)別的企業(yè)領(lǐng)域攻擊戰(zhàn)術(shù)有14種：

• 偵察：這是攻擊者嘗試通過盡可能多獲取關(guān)于目標(biāo)的信息，從而利用目標(biāo)的初始階段。該戰(zhàn)術(shù)可以讓攻擊者發(fā)現(xiàn)有關(guān)目標(biāo)網(wǎng)絡(luò)的關(guān)鍵細(xì)節(jié)，比如系統(tǒng)漏洞和潛在的攻擊媒介；

• 資源開發(fā)：攻擊者建立資源以開展活動(dòng)的一種攻擊戰(zhàn)術(shù)，例如獲取所需的基礎(chǔ)設(shè)施、開發(fā)能力以及破壞帳戶與基礎(chǔ)設(shè)施；

• 初始訪問：解決攻擊者用來在網(wǎng)絡(luò)中獲得初始據(jù)點(diǎn)的各種入口載體，比如魚叉式網(wǎng)絡(luò)釣魚、公開的應(yīng)用程序漏洞、供應(yīng)鏈?zhǔn)莸龋?/span>

• 執(zhí)行：涵蓋實(shí)現(xiàn)在目標(biāo)系統(tǒng)上運(yùn)行攻擊者控制的惡意代碼或者遠(yuǎn)程訪問工具的技術(shù)，通常與其他戰(zhàn)術(shù)中的技術(shù)結(jié)合，從而在更廣范圍內(nèi)實(shí)現(xiàn)目標(biāo)；

• 維持：該戰(zhàn)術(shù)中包括攻擊者用來保持對(duì)目標(biāo)系統(tǒng)訪問的技術(shù)，因?yàn)楣粽邥?huì)面對(duì)重新啟動(dòng)或者憑據(jù)更改等活動(dòng)切斷訪問的情況；

• 權(quán)限提升：涵蓋攻擊者用來在系統(tǒng)或網(wǎng)絡(luò)上獲得更高級(jí)別權(quán)限和訪問權(quán)限的技術(shù)和活動(dòng)，實(shí)現(xiàn)這一目標(biāo)的技術(shù)包括利用系統(tǒng)錯(cuò)誤配置及漏洞；

• 防御規(guī)避：這是攻擊者通過使用最獨(dú)特的技術(shù)，來避免在整個(gè)入侵過程中被檢測(cè)到的一個(gè)目標(biāo)，它包括的技術(shù)有禁用安全控制和混淆數(shù)據(jù)；

• 憑證訪問：由于合法憑證可以讓攻擊者訪問更多系統(tǒng)并使他們更難被發(fā)現(xiàn)，所以這個(gè)戰(zhàn)術(shù)的目標(biāo)是使用暴力攻擊、鍵盤記錄和憑證傾銷等技術(shù)來竊取憑證；

• 發(fā)現(xiàn)：該戰(zhàn)術(shù)描述了攻擊者用來獲取有關(guān)內(nèi)部網(wǎng)絡(luò)的知識(shí)的技術(shù)，以便觀察環(huán)境并決定下一步入侵；

• 橫向移動(dòng)：包括從網(wǎng)絡(luò)上某個(gè)受感染系統(tǒng)移動(dòng)到另一個(gè)系統(tǒng)的過程，作為獲取更多信息，擴(kuò)大占領(lǐng)網(wǎng)絡(luò)區(qū)域的一種手段；

• 收集：該戰(zhàn)術(shù)涵蓋了攻擊者用來收集與實(shí)現(xiàn)其目標(biāo)相關(guān)的信息及信息來源的技術(shù)，常見的信息源包括瀏覽器、音頻、視頻以及電子郵件，實(shí)現(xiàn)該戰(zhàn)術(shù)的常用技術(shù)是中間人攻擊；

• 命令與控制：這屬于攻擊者嘗試與目標(biāo)網(wǎng)絡(luò)上受其控制的系統(tǒng)進(jìn)行通信的階段，采用的技術(shù)包括數(shù)據(jù)混淆、協(xié)議隧道和流量信號(hào)；

• 滲漏：該戰(zhàn)術(shù)處于攻擊周期的收尾階段，包括攻擊者用來從目標(biāo)網(wǎng)絡(luò)竊取數(shù)據(jù)，同時(shí)通過壓縮和加密避免檢測(cè)的技術(shù)。從網(wǎng)絡(luò)中竊取數(shù)據(jù)的常用技術(shù)，是通過命令和控制通道傳輸數(shù)據(jù)；

• 影響：攻擊者為實(shí)現(xiàn)最終目標(biāo)而使用的技術(shù)，例如破壞可用性或損害敏感數(shù)據(jù)和目標(biāo)操作的完整性。

MITRE ATT&CK企業(yè)技術(shù)領(lǐng)域矩陣中的14種戰(zhàn)術(shù)，每一種都包含了廣泛的技術(shù)，并且都是根據(jù)攻擊者在破壞企業(yè)或政府部門網(wǎng)絡(luò)時(shí)使用過而觀察到的。雖然戰(zhàn)術(shù)只有14種，但技術(shù)達(dá)200多種，每種技術(shù)在MITRE ATT&CK中又以子技術(shù)形式進(jìn)一步分析與解釋，數(shù)量達(dá)到近500種。

具體而言，MITRE ATT&CK框架對(duì)每項(xiàng)技術(shù)都提供了特定的信息，這里也做一個(gè)簡單的介紹：

技術(shù)ID：以“Txxx”格式呈現(xiàn)的標(biāo)識(shí)符：例如，網(wǎng)絡(luò)釣魚為T1566，沙箱規(guī)避為T1497；

子技術(shù)：是更具體的技術(shù)，或攻擊者執(zhí)行技術(shù)的不同方式；

戰(zhàn)術(shù)：即該技術(shù)的目標(biāo)；

平臺(tái)：是該技術(shù)適用的不同平臺(tái)，例如Windows、Linux、macOS、云等等；

數(shù)據(jù)源：可以識(shí)別技術(shù)的信息來源，通常由日志系統(tǒng)收集；

程序：威脅組織使用該技術(shù)達(dá)到其目標(biāo)的具體方式。

緩解：該技術(shù)的處置和防御策略；

檢測(cè)：檢測(cè)網(wǎng)絡(luò)中攻擊者和失陷指標(biāo) (IoC) 的方法。

攻擊者通常會(huì)使用多種技術(shù)，來實(shí)現(xiàn)其總體目標(biāo)，而一種技術(shù)也可用于實(shí)現(xiàn)多個(gè)目標(biāo)。例如，中間人攻擊就能用于收集信息和憑證訪問，沙箱規(guī)避能夠用于規(guī)避，也可用于發(fā)現(xiàn)目標(biāo)。

03 MITRE ATT&CK框架的利用

對(duì)于企業(yè)而言，MITRE ATT&CK支持攻擊者模擬，改進(jìn)威脅搜尋，能夠豐富SOC的網(wǎng)絡(luò)威脅情報(bào)源，為網(wǎng)絡(luò)安全策略提供數(shù)據(jù)驅(qū)動(dòng)的決策依據(jù)，并且通常與端點(diǎn)檢測(cè)與響應(yīng)（EDR）以及安全信息和事件管理（SIEM）等工具集成，例如微步在線主機(jī)威脅檢測(cè)與響應(yīng)平臺(tái)OneEDR針對(duì)Linux環(huán)境，具備80%的ATT&CK覆蓋率及自研規(guī)則，能夠全面準(zhǔn)確檢測(cè)入侵行為。對(duì)于MITRE ATT&CK框架，企業(yè)可在以下方面加以應(yīng)用：

網(wǎng)絡(luò)威脅情報(bào)

網(wǎng)絡(luò)威脅情報(bào)的價(jià)值在于讓企業(yè)了解網(wǎng)絡(luò)之外正在發(fā)生的情況，提高對(duì)網(wǎng)絡(luò)威脅的可見性，從而有效檢測(cè)和應(yīng)對(duì)威脅。而在系統(tǒng)破壞進(jìn)一步發(fā)生前，企業(yè)可以利用不同來源的IoCs來映射攻擊者TTP，并預(yù)測(cè)其在攻擊期間的行為。通過MITRE ATT&CK框架能夠保證企業(yè)安全團(tuán)隊(duì)獲得需要檢測(cè)潛在攻擊所需的信息，從而主動(dòng)采取行動(dòng)。

威脅狩獵

利用MITRE ATT&CK框架的另一個(gè)領(lǐng)域是威脅狩獵。ATT&CK分類法能夠基于攻擊者TTP知識(shí)庫，收集和過濾信息，有效檢測(cè)惡意活動(dòng)。使用ATT&CK，安全人員可以利用經(jīng)驗(yàn)驅(qū)動(dòng)的用例來檢測(cè)網(wǎng)絡(luò)活動(dòng)或其余攻擊活動(dòng)，促進(jìn)搜尋過程。

風(fēng)險(xiǎn)管理

通過由MITRE ATT&CK產(chǎn)生的知識(shí)和數(shù)據(jù)，企業(yè)可借此衡量自身現(xiàn)有能力，并根據(jù)檢測(cè)到的防御覆蓋差距，證明日常的安全培訓(xùn)與投資的合理性。

合規(guī)管控測(cè)試

可以利用MITRE ATT&CK，幫助企業(yè)對(duì)其安全控制和措施進(jìn)行測(cè)試，將其映射到攻擊中使用的特征與技術(shù)，從而評(píng)估企業(yè)當(dāng)前安全是否符合法規(guī)要求。

商業(yè)安全解決方案評(píng)估

MITRE從2018年以來，就一直使用ATT&CK框架來評(píng)估各種安全產(chǎn)品的性能，并且對(duì)不同廠商在ATT&CK知識(shí)庫中檢測(cè)和響應(yīng)當(dāng)年真實(shí)威脅行為者和攻擊組織的能力，會(huì)發(fā)布年度性MITRE ATT&CK評(píng)估。所以，MITRE ATT&CK可以作為企業(yè)評(píng)估安全產(chǎn)品的一個(gè)重要維度。

攻擊者模擬與紅隊(duì)行動(dòng)組織

ATT&CK屬于攻擊過程的攻擊視角，所以最常見的用例是攻擊者模擬，或者紅隊(duì)行動(dòng)組織。利用ATT&CK紅隊(duì)TTPs提供的情報(bào)，可以創(chuàng)建相關(guān)的攻擊對(duì)手仿真，從而測(cè)試和驗(yàn)證企業(yè)的防御，也可以展示網(wǎng)絡(luò)攻擊和各種攻擊者技術(shù)的影響。

明確防御差距

出現(xiàn)重大威脅狀況變化時(shí)，ATT&CK框架會(huì)進(jìn)行更新，通常是每季度一次。所以，企業(yè)可以通過ATT&CK框架來評(píng)估自身的防御能力、安全工具及安全可見性。通過評(píng)估一個(gè)組織的網(wǎng)絡(luò)安全態(tài)勢(shì)的所有這些要素，ATT&CK提供了識(shí)別差距的能力，從而采用適當(dāng)?shù)拇胧┖桶踩ぞ摺?/span>

這里，整體以一個(gè)勒索軟件攻擊為例。如果企業(yè)極易受到勒索軟件的影響，那就可以查看勒索軟件及其在Mitre ATT&CK框架中的部署方式，以及勒索軟件是如何在整個(gè)網(wǎng)絡(luò)中移動(dòng)，然后采取行動(dòng)集中防御和監(jiān)控，從而在該類攻擊進(jìn)入時(shí)快速檢測(cè)或進(jìn)行阻止。也就是說，Mitre ATT&CK能夠幫助企業(yè)提供風(fēng)險(xiǎn)路線圖之間的差距，告訴企業(yè)需要保護(hù)哪些地方。

04 常用的MITRE ATT&CK技戰(zhàn)術(shù)

根據(jù)安全機(jī)構(gòu)vFeed編制的一份2020十大最常用MITRE ATT&CK技戰(zhàn)術(shù)列表發(fā)現(xiàn)，攻擊者使用最多的戰(zhàn)術(shù)為防御繞過。如果將該最常用的技戰(zhàn)術(shù)與2020年被利用最多的10個(gè)漏洞進(jìn)行映射，發(fā)現(xiàn)70%的常見漏洞與ATT&CK MITRE常用技戰(zhàn)術(shù)存在直接關(guān)聯(lián)。并且根據(jù)該ATT&CK技戰(zhàn)術(shù)列表，文件系統(tǒng)訪問控制與系統(tǒng)訪問控制是被繞過最多的防御控制。這就意味著，對(duì)基礎(chǔ)網(wǎng)絡(luò)設(shè)施的加固與修復(fù)應(yīng)該成為企業(yè)的一個(gè)重點(diǎn)。

雖然網(wǎng)絡(luò)安全框架經(jīng)常被認(rèn)為只是一種理論模型，但MITRE ATT&CK相比之下更實(shí)際，它是網(wǎng)絡(luò)入侵與攻擊者行為的真實(shí)展現(xiàn)，非常詳盡地展示了攻擊者如何攻擊。這也是利用MITRE ATT&CK框架的最大好處，能夠真正了解攻擊者及其運(yùn)作方式，如何進(jìn)入企業(yè)網(wǎng)絡(luò)，如何執(zhí)行各種目標(biāo)經(jīng)歷的各個(gè)步驟。

與其他攻擊框架的比較

Cyber Kill Chain

Cyber Kill Chain是由Lockheed Martin洛克希德·馬丁以開發(fā)、制造軍用飛機(jī)聞名世界（飛機(jī)和武器需要標(biāo)準(zhǔn)化所以總是能出很多標(biāo)準(zhǔn)和概念吧）開發(fā)的攻擊鏈框架，確定了攻擊者必須完成什么才能實(shí)現(xiàn)他們的目標(biāo)，其展示的七個(gè)步驟增強(qiáng)了對(duì)于攻擊的可見性，并豐富了分析師對(duì)攻擊者TTPs（Tactics, Techniques and Procedures,戰(zhàn)術(shù)、技術(shù)和程序）的了解，它同時(shí)也是 Intelligence Driven Defense模型的一部分。因?yàn)榭偣灿善邆€(gè)步驟組成，所以也被稱為七步殺鏈

很明顯的看出，KillChain主要是從宏觀角度對(duì)實(shí)際攻擊場(chǎng)景中的各步驟進(jìn)行定義，缺乏技術(shù)細(xì)節(jié)。

洛克希德·馬丁生產(chǎn)F35戰(zhàn)斗機(jī)和航天器不錯(cuò)，很擅長提出理念與標(biāo)準(zhǔn)但是對(duì)于信息安全理解還是需要再精細(xì)化。

PTES（Penetration Testing Execution Standard ,滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)）

PTES是一種滲透測(cè)試標(biāo)準(zhǔn)，旨在提供一種通用語言描述的滲透測(cè)試執(zhí)行范圍和標(biāo)準(zhǔn)，始于2009年初，由一些創(chuàng)始成員圍繞滲透測(cè)試行業(yè)討論所得，參與者可以查看此列表。

其內(nèi)容由7個(gè)主要部分組成，但該標(biāo)準(zhǔn)實(shí)際上并沒有提供關(guān)于執(zhí)行實(shí)際滲透測(cè)試的技術(shù)要求，但有一份相關(guān)的實(shí)踐技術(shù)指南：
http://www./index.php/PTES_Technical_Guidelines

PTES本身只是一種標(biāo)準(zhǔn)規(guī)范，其所對(duì)應(yīng)的技術(shù)指南雖然包含了大量具體的細(xì)節(jié)，但隨著信息技術(shù)的發(fā)展也逐漸顯得匱乏與落后。相較于ATT&CK來說，這一標(biāo)準(zhǔn)的不足還是比較明顯的，無論是宏觀還是微觀角度都有一定的差距，且缺乏通用的符號(hào)語言用于定義攻擊鏈中的環(huán)節(jié)，但作為一份早期的滲透測(cè)試標(biāo)準(zhǔn)還是有非常高的參考意義的

NTCTF（NSA/CSS Technical Cyber Threat Framework）

該框架是ODNI Cyber Threat Framework的擴(kuò)展，并參考了ATT&CK，用于幫助NSA使用通用技術(shù)詞典標(biāo)準(zhǔn)化攻擊行為分類及描繪，相較于ATT&

不知攻，焉知防。盡可能學(xué)會(huì)利用這些框架，提前掌握攻擊者的弱點(diǎn)，發(fā)現(xiàn)對(duì)方并最終阻止攻擊成功，也是企業(yè)安全團(tuán)隊(duì)的必備功課之一。也只有更了解攻擊者，才能更好地發(fā)現(xiàn)自身弱點(diǎn)，保護(hù)企業(yè)網(wǎng)絡(luò)安全。