ATT和CK与CAPEC有什么区别？

Question

我的问题是网络威胁情报(CTI)。我想知道攻击模式(如米特雷)与战术、技术和过程(如MITRE ATT&CK)之间的区别。它们似乎都描述了对手的行为和作案手法，那么真正的区别是什么呢？

首先，战术、技术和程序之间有什么区别？我听说技术和战术不属于相同的威胁情报类型。但是为什么我们只看到MITRE ATT&CK网页上的“技巧”呢？既然只有技术，为什么叫战术、技术和程序呢？什么是程序？

Answer 1

米特雷实际上保持一页描述两者之间的差异和另一页定义的“战术”、“技术”和“程序”。这个答案的其余部分是第一页的一系列直接引用，因为这似乎是你问题的主要焦点。我避免了将其全部放入块引号中，以使其在格式选项中更具可读性。

CAPEC专注于应用程序安全，并描述了对手所使用的共同属性和技术，以利用网络启用功能中已知的弱点。(例如SQL注入、XSS、会话固定、点击)

• 关注应用程序安全性
• 枚举针对易受攻击系统的攻击。
• 包括社会工程/供应链
• 与常见弱点枚举(CWE)相关

ATT&CK专注于网络防御，描述了对手生命周期、开发前后(如持久性、横向移动、外过滤)的操作阶段，并详细介绍了先进的持久性威胁(APT)在网络中执行目标时所使用的具体策略、技术和程序(TTPs)。

• 关注网络防御
• 基于威胁情报和红队的研究
• 提供恶意行为的上下文理解。
• 支持测试和分析防御选项

他们是怎么联系的.

CAPEC列举的许多攻击模式是通过ATT和CK描述的特定技术被对手所采用的。这使得能够在对手的操作生命周期内对攻击模式进行上下文理解。CAPEC攻击模式和相关的ATT和CK技术在这两种努力之间进行适当的交叉引用。

将CAPEC用于：

• 应用威胁建模
• 开发人员培训和教育
• 渗透试验

将ATT&CK用于：

• 计算机网络防御能力比较
• 防御先进的持续威胁
• 寻找新的威胁
• 增强威胁情报
• 对手仿真演习