Entry № 1255
战术、技术与过程(TTPs)
战术、技术与过程(TTPs) 是什么?
战术、技术与过程(TTPs)对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
TTPs 源自军事情报领域,被网络安全行业沿用以三层方式刻画攻击者行为。战术描述攻击者的高层目标(如初始访问、持久化、数据外泄)。技术解释实现该目标的一般方式(如鱼叉式钓鱼附件、计划任务)。过程则记录在野观察到的具体实现,例如所使用的具体 PowerShell 加载器或注册表路径。在威胁情报中,TTPs 是最持久的一层,要改变它必须重建作战手法。MITRE ATT&CK 框架是 TTPs 事实上的分类标准。
● 示例
- 01
战术:凭据访问。技术:操作系统凭据转储。过程:Mimikatz sekurlsa::logonpasswords。
- 02
战术:持久化。技术:计划任务。过程:schtasks.exe 创建每日运行混淆 VBScript 的任务。
● 常见问题
战术、技术与过程(TTPs) 是什么?
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。 它属于网络安全的 防御与运营 分类。
战术、技术与过程(TTPs) 是什么意思?
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
如何防御 战术、技术与过程(TTPs)?
针对 战术、技术与过程(TTPs) 的防御通常结合技术控制与运营实践,详见上方完整定义。
战术、技术与过程(TTPs) 还有哪些其他名称?
常见的别称包括: TTPs, 作战手法。