2. 戰(zhàn)術(shù)、技術(shù)與過程-TTPs (Tactics, Techniques, and Procedures)

1）戰(zhàn)術(shù)Tactics：攻擊者在攻擊過程中希望達(dá)成的戰(zhàn)術(shù)目標(biāo)

網(wǎng)絡(luò)安全領(lǐng)域：

• Initial Access (初始訪問): 如何進(jìn)入目標(biāo)網(wǎng)絡(luò)？

• Execution (執(zhí)行): 如何在目標(biāo)系統(tǒng)上運(yùn)行惡意代碼？

• Persistence (持久化): 如何在系統(tǒng)重啟后依然保持控制？

• Privilege Escalation (權(quán)限提升): 如何從普通用戶權(quán)限提升到管理員權(quán)限？

• Lateral Movement (橫向移動(dòng)): 如何從一臺(tái)失陷主機(jī)移動(dòng)到另一臺(tái)？

• Exfiltration (數(shù)據(jù)竊取): 如何將偷來的數(shù)據(jù)傳輸出去？

軍事上，在一場(chǎng)戰(zhàn)役中，戰(zhàn)術(shù)目標(biāo)可能包括“奪取制空權(quán)”、“切斷敵軍補(bǔ)給線”、“占領(lǐng)高地”或“實(shí)施斬首行動(dòng)”等。

2）技術(shù)Techniques：攻擊者實(shí)現(xiàn)戰(zhàn)術(shù)目標(biāo)的具體方法

網(wǎng)絡(luò)安全領(lǐng)域，為了實(shí)現(xiàn) Initial Access (初始訪問) 這個(gè)戰(zhàn)術(shù)目標(biāo)，攻擊者可以使用的技術(shù)包括：

• Phishing (釣魚郵件)

• Drive-by Compromise (網(wǎng)站掛馬)

• Exploit Public-Facing Application (利用面向公眾應(yīng)用的漏洞)

軍事上，為了實(shí)現(xiàn)“切斷敵軍補(bǔ)給線”這個(gè)戰(zhàn)術(shù)目標(biāo)，可以使用的技術(shù)包括：“空襲炸毀橋梁”、“派遣特種部隊(duì)埋設(shè)地雷”等。

3）Procedures (過程，程序): 攻擊者實(shí)施技術(shù)時(shí)的特定步驟、工具等

它是技術(shù)的具體實(shí)現(xiàn)細(xì)節(jié)，可以看作是攻擊者的“作案手法”或“簽名”。

在實(shí)施 Phishing (釣魚郵件) 這個(gè)技術(shù)時(shí)，某個(gè)APT團(tuán)伙（如APT28）的規(guī)程可能是：

• 使用偽裝成“人力資源部”的發(fā)件人地址。

• 郵件主題包含“緊急：薪酬調(diào)整通知”。

• 附件是一個(gè)帶有宏病毒的Excel文檔，文件名為'第三季度薪酬結(jié)構(gòu).xls'。

• 使用的惡意軟件投遞工具是特定版本的 Cobalt Strike

軍事上， 在執(zhí)行“空襲炸毀橋梁”這個(gè)技術(shù)時(shí)，某國(guó)空軍的特定流程可能是：“派出兩架F-35作為隱形護(hù)航，四架F-16攜帶GBU-12激光制導(dǎo)炸彈，在凌晨3點(diǎn)，從西北方向低空突防，由地面特工提供激光引導(dǎo)”。那么根據(jù)這些信息，我們就容易判斷出攻擊者屬于哪個(gè)組織。

可以看到，TTPs層層遞進(jìn)，將攻擊者的行為模式進(jìn)行了的抽象化、規(guī)范化。對(duì)TTPs的分析是AI智能體輔助安全運(yùn)營(yíng)的關(guān)鍵要素。

1. 命令與控制 - Command & Control /C2/C&C

軍事上，C2 (Command and Control) 是指揮官用來組織、指導(dǎo)和協(xié)調(diào)部隊(duì)執(zhí)行任務(wù)的一套完整的體系。因此，打擊指揮所、干擾通信、獵殺指揮官是現(xiàn)代戰(zhàn)爭(zhēng)的優(yōu)先事項(xiàng)。

同樣的，對(duì)C2流量的隱蔽和檢測(cè)是網(wǎng)絡(luò)安全領(lǐng)域長(zhǎng)期的對(duì)抗主題。