其實(shí)在我之前文章里面，也反復(fù)提到一些框架和模型，為什么要反復(fù)提網(wǎng)絡(luò)安全框架和模型，在我的認(rèn)知層面里，我覺得做任何事情，都需要遵循一定方法論和規(guī)則，當(dāng)你不能成為第一個(gè)吃螃蟹的人，那就必須站在前人總結(jié)的基礎(chǔ)上去學(xué)習(xí)、理解并應(yīng)用。任何領(lǐng)域、任何行業(yè)都有相匹配的方法和體系，比如華為的三大流程IPD、LTC及ITR，費(fèi)曼學(xué)習(xí)法等，類似這樣的流程、框架呀實(shí)在太多了，多學(xué)習(xí)流程和框架的好處就是，做相關(guān)事情有方法可循，可以快速構(gòu)建你的思維體系來解決問題，同時(shí)基于你對(duì)框架和流程的理解和深入，可以站在框架和流程之上的角度來思考和解決問題，這樣看問題的角度和深度就不一樣了。從網(wǎng)絡(luò)攻防的角度，必須了解三個(gè)攻擊模型，這三個(gè)模型只是從不同的角度呈現(xiàn)了黑客攻擊的路徑和方法，黑客并不一定完全按照這些模型的思路，但是至少有一個(gè)稍微清楚的路徑了，常言道盡信書不如無書，不能拘泥于這些模型，要活學(xué)活用，真正從實(shí)戰(zhàn)出發(fā)，從溯源取證角度去分析和總結(jié)，就像古龍寫的武俠小說一樣，沒有明確的武功招式，往往是無招勝有招，這就是一種境界。下面重點(diǎn)介紹一下三種模型，僅做參考。

1. 滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)（PTES）

滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)由7個(gè)部分組成，包括前期交互、情報(bào)收集、威脅建模、漏洞分析、滲透利用、后滲透、撰寫報(bào)告。在中國(guó)，滲透測(cè)試必須經(jīng)過授權(quán)，否則就違背了網(wǎng)絡(luò)安全法。前期交互主要指開展?jié)B透測(cè)試工作前，與客戶進(jìn)行溝通和交流，確定測(cè)試范圍、目標(biāo)、限制條件及相關(guān)要求，以及簽訂合同等，主要是前期的準(zhǔn)備工作。情報(bào)收集主要指通過主動(dòng)或被動(dòng)方式收集滲透測(cè)試相關(guān)的信息，比如目標(biāo)網(wǎng)絡(luò)、端口、操作系統(tǒng)、相關(guān)組件、協(xié)議、漏洞等信息。威脅建模指對(duì)情報(bào)收集階段獲取的情報(bào)信息進(jìn)行威脅建模，找出系統(tǒng)中最薄弱的環(huán)節(jié)，確定高效準(zhǔn)確的攻擊方法。漏洞分析發(fā)現(xiàn)系統(tǒng)和應(yīng)用程序中可被攻擊者利用的缺陷的過程。滲透利用是指利用之前發(fā)現(xiàn)的漏洞進(jìn)行真正的攻擊取得目標(biāo)系統(tǒng)的訪問控制權(quán)。后滲透指取得訪問控制權(quán)之后進(jìn)行權(quán)限維持并獲取目標(biāo)系統(tǒng)的數(shù)據(jù)，達(dá)到網(wǎng)絡(luò)攻擊目的。撰寫報(bào)告指向被滲透方提交滲透結(jié)果以及修復(fù)方案。

傳送門：www.pentest-standard.org

2. 網(wǎng)空殺傷鏈（CyberKillChain）

殺傷鏈也叫七步殺，用于識(shí)別和預(yù)防網(wǎng)絡(luò)入侵活動(dòng)，由洛克希德·馬丁公司開發(fā)。該模型確定了對(duì)手必須完成什么才能實(shí)現(xiàn)。包括偵察、武器研發(fā)、載荷投遞、滲透利用、安裝執(zhí)行、命令控制、任務(wù)執(zhí)行。偵察指收集電子郵件、組織、系統(tǒng)等各種信息，就是針對(duì)目標(biāo)及目標(biāo)外圍的各種情報(bào)信息。武器研發(fā)指開發(fā)各種攻擊所需要的poc、exp等各種程序。載荷投遞指通過電子郵件、網(wǎng)絡(luò)、USB等方式向目標(biāo)進(jìn)行投遞。滲透利用指投遞成功之后在目標(biāo)網(wǎng)絡(luò)或資產(chǎn)上進(jìn)行滲透利用獲得初步控制權(quán)。安裝執(zhí)行指將木馬在目標(biāo)資產(chǎn)上正常運(yùn)行，具備執(zhí)行下一步動(dòng)作的條件。命令控制指通過各種方式將木馬持久化并與攻擊服務(wù)器保持隱蔽持久的通道。任務(wù)執(zhí)行指達(dá)成前期寫下的目標(biāo)，比如竊取數(shù)據(jù)、破壞系統(tǒng)等各種惡意行為。

傳送門：https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

3. MITREATT&CK框架

ATT&CK是由MITRE公司在2013年提出的戰(zhàn)略、戰(zhàn)術(shù)及程序的對(duì)抗框架，可用用于對(duì)抗模擬、紅隊(duì)滲透測(cè)試、藍(lán)隊(duì)防御、威脅情報(bào)分析等，有三個(gè)版本ATT&CK Matrix for Enterprise、ATT&CK Matrix for Mobile、ATT&CK Matrix for ICS。

傳送門：https://attack.mitre.org/官網(wǎng)

https://mitre-attack.github.io/attack-navigator/導(dǎo)航器（可以做攻擊路線圖）

還有CALDERA是MITER官方基于ATT&CK推出的網(wǎng)絡(luò)安全紅藍(lán)對(duì)抗框架，可用于自動(dòng)化紅隊(duì)行動(dòng)、手工紅隊(duì)行動(dòng)、自動(dòng)化應(yīng)急響應(yīng)等攻防實(shí)踐。https://github.com/mitre/caldera

總之，了解攻擊模型對(duì)網(wǎng)絡(luò)安全人士至關(guān)重要，因?yàn)樗兄陬A(yù)測(cè)和理解潛在威脅，指導(dǎo)有效的防御策略。攻擊模型提供了對(duì)黑客可能采用的技術(shù)和方法的深入了解，使安全專業(yè)人員能夠更全面地評(píng)估系統(tǒng)和網(wǎng)絡(luò)的脆弱性。通過研究不同的攻擊模型，安全團(tuán)隊(duì)可以更好地了解威脅面，并采取相應(yīng)的對(duì)策，包括加強(qiáng)防護(hù)措施、改進(jìn)監(jiān)控和應(yīng)急響應(yīng)計(jì)劃。這種深入了解攻擊模型的方法有助于提高網(wǎng)絡(luò)安全的整體水平，確保組織能夠更加強(qiáng)大地抵御不斷演進(jìn)的威脅。