青藤细述ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

之前，青藤云安全已经对ATT&CK进行了一系列的介绍，相信大家都已了解，Mitre ATT&CK通过详细分析公开可获得的威胁情报报告，形成了一个巨大的ATT&CK技术矩阵。诚然，这对于提高防御者的防御能力、增加攻击者的攻击成本都有巨大作用。但或许是出于猎奇心理，很多威胁情报报告更多地是在报道攻击者使用的比较新颖有趣的技术方法，而却忽视了攻击者反复使用的普通技术。这也是Mitre公司在2019年10月份的ATT&CKcon2.0大会上，推出了ATT&CK Sightings项目，以期借助社区力量收集更多直接观察数据的原因所在。
对此，一些安全公司通过在真实环境中所收集的直接观察数据来检测攻击技术，这种方法直观性更强，也更具说服力。Red Canary是美国一家从事信息安全的网络安全公司，负责对客户环境中的终端数据进行大规模检索，来寻找攻击者。Red Canary分析了过去五年里，其客户环境中发生的一万多起恶意事件，并将恶意事件中使用的技术与ATT&CK框架进行了映射。
本文将通过对比Mitre ATT&CK的Top 20攻击技术及Red Canary基于ATT&CK的Top 20攻击技术，确定了攻击者最常用的七项ATT&CK技术，并对其进行了详细分析。
Mitre公司 VS Red Canary Top 20攻击技术
Mitre ATT&CK 通过整合、分析400多份公开的威胁情报报告，将技术报告中的内容与ATT&CK技术进行了映射，MITRE ATT&CK整理得出的Top 20攻击技术为：

Red Canary通过对过去五年里，其客户环境中发生的一万多起恶意事件进行分析，得出了威胁事件利用每种ATT&CK技术的频率，如下图所示：