網絡空間安全術語和軍事術語的有趣聯系

2. 戰術、技術與過程-TTPs (Tactics, Techniques, and Procedures)

1）戰術Tactics：攻擊者在攻擊過程中希望達成的戰術目標

網絡安全領域：

• Initial Access (初始訪問): 如何進入目標網絡？

• Execution (執行): 如何在目標系統上運行惡意代碼？

• Persistence (持久化): 如何在系統重啟后依然保持控制？

• Privilege Escalation (權限提升): 如何從普通用戶權限提升到管理員權限？

• Lateral Movement (橫向移動): 如何從一臺失陷主機移動到另一臺？

• Exfiltration (數據竊取): 如何將偷來的數據傳輸出去？

軍事上，在一場戰役中，戰術目標可能包括“奪取制空權”、“切斷敵軍補給線”、“占領高地”或“實施斬首行動”等。

2）技術Techniques：攻擊者實現戰術目標的具體方法

網絡安全領域，為了實現 Initial Access (初始訪問) 這個戰術目標，攻擊者可以使用的技術包括：

• Phishing (釣魚郵件)

• Drive-by Compromise (網站掛馬)

• Exploit Public-Facing Application (利用面向公眾應用的漏洞)

軍事上，為了實現“切斷敵軍補給線”這個戰術目標，可以使用的技術包括：“空襲炸毀橋梁”、“派遣特種部隊埋設地雷”等。

3）Procedures (過程，程序): 攻擊者實施技術時的特定步驟、工具等

它是技術的具體實現細節，可以看作是攻擊者的“作案手法”或“簽名”。

在實施 Phishing (釣魚郵件) 這個技術時，某個APT團伙（如APT28）的規程可能是：

• 使用偽裝成“人力資源部”的發件人地址。

• 郵件主題包含“緊急：薪酬調整通知”。

• 附件是一個帶有宏病毒的Excel文檔，文件名為'第三季度薪酬結構.xls'。

• 使用的惡意軟件投遞工具是特定版本的 Cobalt Strike

軍事上， 在執行“空襲炸毀橋梁”這個技術時，某國空軍的特定流程可能是：“派出兩架F-35作為隱形護航，四架F-16攜帶GBU-12激光制導炸彈，在凌晨3點，從西北方向低空突防，由地面特工提供激光引導”。那么根據這些信息，我們就容易判斷出攻擊者屬于哪個組織。

可以看到，TTPs層層遞進，將攻擊者的行為模式進行了的抽象化、規范化。對TTPs的分析是AI智能體輔助安全運營的關鍵要素。

1. 命令與控制 - Command & Control /C2/C&C

軍事上，C2 (Command and Control) 是指揮官用來組織、指導和協調部隊執行任務的一套完整的體系。因此，打擊指揮所、干擾通信、獵殺指揮官是現代戰爭的優先事項。

同樣的，對C2流量的隱蔽和檢測是網絡安全領域長期的對抗主題。