剖析MITRE ATT&CK:战术非战术,术语辨析与技术启示

本文深入探讨MITRE ATT&CK框架中“战术”术语的误用,对比军事与民用领域的战术定义,分析其对网络安全共同语言的影响,并思考技术框架设计的术语准确性。

MITRE ATT&CK Tactics Are Not Tactics

何为“战术”?

引言

MITRE ATT&CK是一项卓越的资源,但自数年前首次听闻以来,其中一点一直令我困扰。这虽是小问题,但我想记录下来,以免他人混淆。

MITRE ATT&CK设计与哲学文档(2020年3月版)指出:

在高层次上,ATT&CK是一个行为模型,包含以下核心组件:

  • 战术(Tactics),表示攻击期间对手的短期战术目标;
  • 技术(Techniques),描述对手实现战术目标的手段;
  • 子技术(Sub-techniques),在比技术更低的层次上描述对手实现战术目标的具体手段;
  • 记录对手对技术的使用、其程序及其他元数据。

我的关切在于MITRE将“战术”定义为“攻击期间对手的短期战术目标”,这奇怪地具有递归性。

战术定义中的关键词是目标。根据MITRE,“战术”即“目标”。

ATT&CK战术示例

ATT&CK将以下内容列为“企业战术”:

  1. 侦察(Reconnaissance)
  2. 资源开发(Resource Development)
  3. 初始访问(Initial Access)
  4. 执行(Execution)
  5. 持久化(Persistence)
  6. 权限提升(Privilege Escalation)
  7. 防御规避(Defense Evasion)
  8. 凭证访问(Credential Access)
  9. 发现(Discovery)
  10. 横向移动(Lateral Movement)
  11. 收集(Collection)
  12. 命令与控制(Command and Control)
  13. 渗出(Exfiltration)
  14. 影响(Impact)

查看此列表,前11项确实可视为目标。最后一项“影响”并非目标,而是试图将更多信息塞入ATT&CK结构的产物。但这并非我的主要关切。

军事理论与定义

作为一所军校毕业生,我曾不得不忍受许多关于军事理论的讲座,并参与小单位演习,将战术视为“目标”毫无意义。

我想分享三种对战术有不同视角的资源。尽管三者均属军事领域,但我的论点并不依赖此关联。

  1. **《国防部军事及相关术语词典》**将战术定义为“部队相互关联的运用和有序安排。参见程序;技术。(CJCSM 5120.01)”(强调添加)

  2. B. A. Friedman在其著作《论战术》中定义战术为“使用军事力量在短期内战胜敌方部队”。(强调添加)

  3. 军事战略领域的学者兼作者Martin van Creveld博士为《大英百科全书》撰写了优秀的战术条目。其文章包括:

“战术,在战争中,是在陆地、海上和空中作战的艺术和科学。它涉及接近战斗的方式;部队及其他人员的部署;各种武器、舰船或飞机的使用;以及执行攻击或防御的机动……战术一词源自希腊语taxis,意为秩序、安排或部署——包括武装编队用于进入和战斗的部署方式。由此,希腊历史学家Xenophon衍生出术语tactica,即排列士兵的艺术。同样,《Tactica》,一本据说在10世纪初在拜占庭皇帝利奥六世监督下编写的手册,涉及阵型以及武器及其使用方式。
战术一词在欧洲中世纪期间失传。直到17世纪末才重新出现,当时英国百科全书编纂者John Harris使用‘Tacticks’表示‘将任意数量的人员排列成 proposed form of Battle的艺术……’”

从这三个例子中,清楚可见战术是关于交战期间力量或能力的使用和部署。目标则完全不同。战术是领导者实现目标的方法。

这是如何发生的?

MITRE团队设计ATT&CK时,我并非旁观者。或许MITRE团队在设计ATT&CK时固着于“战术、技术和程序”(TTPs)这一短语,再次源自军事例子?TTPs在2000年代变得热门,因为具有军事经验的事件响应者在开发如妥协指标等概念时借鉴了该语言。这种固着可能导致MITRE在其顶层结构中使用“战术”。

MITRE本可以更合理地说“目标”或“目的”,但“GTP”并未被数字防御界认可。

不止于军事

一些读者可能认为“ATT&CK并非军事工具,因此你的军事例子不适用”。我使用军事参考是为了表明战术一词确实有军事起源,如同“战略”一词源自希腊语Strategos或strategus,复数strategoi,(希腊语:στρατηγός,pl. στρατηγοί;多利安希腊语:στραταγός,stratagos;意为“军队领袖”)。

也就是说,若在其他地方看到战术用作“目标”,我会感到惊讶。例如,以下非军事世界的例子均不涉及战术作为目标:

  • 这篇《哈佛商业评论》文章将战术定义为“管理企业所需的日常和月度决策”。
  • 这份冰球教练指南提到战术如“传切配合、交叉进攻、循环控球、将球 chips 到空间及重叠”。
  • 这份小企业营销指南列出战术如广告、草根努力、贸易展览、网站优化以及电子邮件和社交营销。

在民用世界,战术是领导者实现目标或目的的方式。

结论

在大局上,MITRE使用术语“战术”而实际意指“目标”对ATT&CK内容影响不大。

然而,我撰写本文是因为ATT&CK设计与哲学强调共同语言,例如,ATT&CK“简洁地组织对手战术和技术,并提供跨安全学科使用的共同语言”。

如果我们想共享共同语言,重要的是认识到ATT&CK对术语“战术”的使用是一个异常。也许未来版本会更改术语,但鉴于其目前根深蒂固,我对此表示怀疑。

更新: Matt Brady的这条推文指出了这一点:

“同意——例如,供应链妥协是用于初始访问的一种战术,而软件供应链妥协(ShadowHammer)是一种具体技术。”

threat model
topcan

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次