网络威胁建模

1.  APT

1. 1 APT的定义

  对于APT（即高级持续威胁），普遍认可的定义是，利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。

1.2 APT的特点

  ①针对性：高级持续性威胁的攻击目标具有高价值特点。

  ②组织性：攻击组织十分严密。

  ③先进性：从攻击技术运用来看，APT 攻击一般要综合采用各项先进技术。

  ④持续性：从攻击持续时间来看，APT 攻击将按计划逐步推进，没有固定的攻击开始和完成时间，攻击完成以达到攻击目的为原则。APT 攻击一般时间跨度较长。

  ⑤隐蔽性：在没有发布攻击任务时，攻击者一直潜伏收集信息。有的攻击行为还会在得手后，销毁证据，不留痕迹，为追踪取证制造困难。

1.3 防御挑战

  A（Advanced）难题：即高级入侵手段带来的难题。相比传统攻击手法，APT攻击具有单点隐蔽能力强、攻击空间路径不确定、攻击渠道不确定等特点，使得传统的基于特征匹配的边界防御技术难以施效。

  P（Persistent）难题：即持续性攻击带来的难题。典型的APT在攻击时间上具有长持续性，一旦入侵成功则长期潜伏，寻找合适的机会外传敏感信息，而在单个时间点上却无明显异常，使得基于单个时间点的实时检测技术难以应对。 

2. 网络杀伤链模型与ATT&CK的联系与区别

  联系：两者都是网络空间威胁的框架。ATT&CK以网络杀伤链框架为基础方法，采用攻击者视角对离散威胁事件形成整体性分析。Pre-ATT&CK对应杀伤链的前两阶段；企业ATT&CK对应杀伤链的后五阶段。

  区别：网络杀伤链框架的抽象层次较高；ATT&CK很好地弥补杀伤链的高层抽象、IOC以及特征之间的高度落差，对于攻击行为进行分类和特征化，让攻击防御不再基于琐碎的观测点，而是针对性解决威胁框架在战术技术层面上实践实用的问题。