MITRE ATT&CK 战术并非战术:术语辨析与技术语义探讨

本文探讨MITRE ATT&CK框架中“战术”术语的语义问题,指出其将“战术”定义为“短期目标”与军事和通用术语不符,并分析技术框架中的术语一致性对网络安全实践的影响。

MITRE ATT&CK 战术并非战术

什么是“战术”?

引言

MITRE ATT&CK 是一个优秀的资源,但自几年前首次听说以来,其中一点一直让我感到困扰。这是一个小问题,但我想记录下来,以免混淆他人。

MITRE ATT&CK 设计与哲学文档(2020年3月)指出:

在高层次上,ATT&CK 是一个行为模型,由以下核心组件组成:

  • 战术(Tactics),表示攻击期间对手的短期战术目标;
  • 技术(Techniques),描述对手实现战术目标的手段;
  • 子技术(Sub-techniques),描述对手在比技术更低层次上实现战术目标的具体手段;
  • 记录对手对技术的使用、其程序和其他元数据。

我的担忧在于 MITRE 将“战术”定义为“攻击期间对手的短期战术目标”,这奇怪地具有递归性。

战术定义中的关键词是“目标”。根据 MITRE 的说法,“战术”就是“目标”。

ATT&CK 战术示例

ATT&CK 将以下内容列为“企业战术”:

  • 初始访问(Initial Access)
  • 执行(Execution)
  • 持久化(Persistence)
  • 权限提升(Privilege Escalation)
  • 防御规避(Defense Evasion)
  • 凭证访问(Credential Access)
  • 发现(Discovery)
  • 横向移动(Lateral Movement)
  • 收集(Collection)
  • 命令与控制(Command and Control)
  • 数据渗出(Exfiltration)
  • 影响(Impact)

查看此列表,前11项确实可以视为目标。最后一项“影响”不是目标。该条目是试图将更多信息塞入 ATT&CK 结构的产物。但这并不是我的主要担忧。

军事理论与定义

作为一名必须听取许多军事理论讲座并参与小单位演习的军校毕业生,“战术作为目标”的想法毫无意义。

我想分享三种对战术有不同看法的资源。尽管三者都是军事相关的,但我的论点并不依赖于这种关联。

  • 《国防部军事及相关术语词典》将战术定义为“部队相互之间的运用和有序安排。参见程序;技术。(CJCSM 5120.01)”(强调添加)
  • 在《论战术》一书中,B. A. Friedman 将战术定义为“使用军事力量在短期内战胜敌方部队”。(强调添加)
  • 军事战略领域的学者和作者 Martin van Creveld 博士为《大英百科全书》撰写了优秀的战术条目。他的文章包括以下内容:

“战术,在战争中,是在陆地、海上和空中进行战斗的艺术和科学。它涉及接近战斗的方式;部队和其他人员的部署;各种武器、舰船或飞机的使用;以及执行攻击或防御的机动……战术一词源于希腊语 taxis,意为秩序、安排或部署——包括武装编队用于进入和战斗的部署方式。由此,希腊历史学家 Xenophon 衍生出术语 tactica,即排列士兵的艺术。同样,《Tactica》是一本10世纪初的手册,据说是在拜占庭皇帝利奥六世的监督下编写的,涉及编队以及武器和使用它们的方式。
战术一词在欧洲中世纪期间不再使用。直到17世纪末才重新出现,当时英国百科全书编纂者 John Harris 使用‘Tacticks’来表示‘将任意数量的士兵排列成 proposed form of Battle 的艺术……’”

从这三个例子可以清楚地看出,战术是关于在交战中使用和部署部队或能力的方法。目标则完全不同。战术是领导者实现目标的方法。

这是如何发生的?

当 MITRE 团队设计 ATT&CK 时,我并未在场。也许 MITRE 团队在设计 ATT&CK 时固守了“战术、技术和程序”(TTPs)这一短语,该短语同样源于军事例子?TTPs 在2000年代变得热门,因为具有军事经验的事件响应者在开发诸如妥协指标等概念时借用了这种语言。这种固守可能导致 MITRE 在其顶层结构中使用“战术”。

如果 MITRE 直接说“目标”或“目的”,会更有意义,但“GTP”并不被数字防御界认可。

不仅仅是军事

一些读者可能认为“ATT&CK 不是军事工具,所以你的军事例子不适用”。我使用军事参考是为了表明“战术”一词确实有军事起源,就像“战略”一词源自希腊语 Strategos 或 strategus,复数 strategoi(希腊语:στρατηγός,pl. στρατηγοί;多利安希腊语:στραταγός,stratagos;意为“军队领袖”)。

也就是说,如果看到“战术”一词在其他地方被用作“目标”,我会感到惊讶。例如,以下非军事世界的例子都不涉及战术作为目标:

  • 这篇《哈佛商业评论》文章将战术定义为“管理企业所需的日常和月度决策”。
  • 这份冰球教练指南提到了诸如“传切配合、交叉进攻、循环控球、将球 chips 到空间和重叠”等战术。
  • 这份小企业营销指南列出了诸如广告、草根努力、贸易展览、网站优化以及电子邮件和社交营销等战术。

在民用世界中,战术是领导者实现目标或目的的方式。

结论

在大局上,MITRE 使用“战术”一词而实际意思是“目标”对 ATT&CK 内容影响不大。

然而,我写这篇文章是因为 ATT&CK 设计和哲学强调共同语言,例如,ATT&CK “简洁地组织对手的战术和技术,并提供跨安全学科使用的共同语言”。

如果我们想共享一种共同语言,重要的是要认识到 ATT&CK 对“战术”一词的使用是一个异常。也许未来的版本会更改术语,但鉴于其目前根深蒂固,我对此表示怀疑。

更新: Matt Brady 的这条推文提出了这一点:

“同意——例如,供应链妥协是用于初始访问的一种战术,而软件供应链妥协(ShadowHammer)是一种具体技术。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次