ATT&CK v18：您期待已久的检测体系升级

在社区帮助下，我们历时六个月专注于提升ATT&CK对防御者的实用性和可操作性，现在成果正式发布！

检测体系革新

我们引入两种新型ATT&CK对象——检测策略（Detection Strategies） 和分析组件（Analytics），将单句注释的指导转换为结构化、行为聚焦的策略。Workbench现已支持检测策略，请升级实例以充分利用防御更新。

核心改进：

• 技术现与检测策略对象关联，指向平台专属分析组件
• 分析组件链接至日志源与数据组件
• 日志源直接内置于数据组件，不再作为独立对象

示例：

• 分析组件：AN0351
• 检测策略：DET0119

这种模块化方法将检测分解为：

• 检测策略描述目标行为
• 分析组件提供可调校的平台专属指导
• 日志源采用清晰命名（如wineventlog:security）

企业领域扩展

新增技术覆盖现代基础设施威胁：

• T1059.013：通过Docker CLI、Kubernetes API执行命令、拉取镜像
• T1680：攻击前映射驱动器、存储卷和云平台存储
• T1213.006：突袭MySQL、PostgreSQL、Azure SQL等数据库
• T1677：通过修改配置文件污染CI/CD流水线
• T1546.018：利用Python启动机制维持持久化

防御规避战术拆分（测试版）

将防御规避拆分为两个新战术：

• 隐匿（Stealth）：操纵防御工具可见性（如隐藏文件、冒充身份）
• 削弱防御（Impair Defenses）：主动破坏安全控制（如修改条件访问策略）

移动安全更新

• 重新引入T1453：滥用无障碍功能
• 新增T1676：通过Signal/WhatsApp链接设备进行跨域攻击
• 新增T1636.005：从受损设备收集账户数据

工业控制系统（ICS）

新增资产对象：

• A0017：分布式控制系统控制器
• A0016：防火墙
• A0015：交换机

通过“关联资产”字段统一行业术语，提升设备识别一致性。

未来规划

• 成立ATT&CK咨询委员会，正式化社区输入机制
• 启动v19开发，将检测策略模型扩展至移动和ICS领域
• 持续跟踪AI滥用、社会工程等新兴威胁

访问GitHub获取STIX样本文件、模式定义和兼容性资源，立即升级Workbench实例体验全新检测能力。