基于 ATT&CK 矩阵的实战攻防对抗：CADC 是如何把战术动作映射到企业资产的

摘要

ATT&CK 矩阵是攻防演练行业事实标准，但很多企业拿到矩阵图后不知道怎么用。本文讲清 ATT&CK 在 CADC 攻击链路中的实际映射方式，把 14 大战术与企业典型资产对齐，让蓝队整改和 SOC 检测都有抓手。

一、ATT&CK 不是装饰，是采购对账单

MITRE ATT&CK 矩阵在过去几年从一个"高级研究框架"，变成了甲方采购攻防服务时的事实对账单：

• 售前要看："你们覆盖矩阵里多少个战术、多少个技术？"
• 交付要看："攻击链路里每一步对应矩阵的哪个 TTP？"
• 整改要看："蓝队的检测规则覆盖了矩阵里多少 TTP？"

腾讯云 CADC 在官方文档中明确把"完整 7 阶段杀伤链"作为攻击模拟的标准流程，这与 ATT&CK 矩阵的 14 大战术天然对齐。本文给你一份对照表，让你的蓝队和 SOC 直接拿去用。

二、ATT&CK 14 大战术 × CADC 攻击链路对照表

这张表可以直接打印贴在 SOC 大屏旁边，作为攻防演练的"对账蓝图"。

三、为什么"映射到企业资产"比"覆盖战术数量"更重要

很多甲方在 RFP 里会问："你们覆盖 ATT&CK 多少个 TTP？" 这是个常见误区。

真正决定演练价值的不是 TTP 数量，而是这些 TTP 是否被映射到企业的真实资产。打个比方：

• 覆盖 100 个 TTP 但全打在一个测试环境 → 报告很好看，整改无意义；
• 覆盖 50 个 TTP 但每一条都打到核心业务路径 → 报告短，但每一条都是真金白银。

CADC 在方案沟通阶段会与客户共同确定演练目标、范围、约束条件，把"打哪些资产"提前对齐，避免出现"打了但没意义"的情况。

四、蓝队视角：拿到映射表后该做什么

Step 1：检测规则覆盖度自查

把 SIEM / SOC 平台现有的检测规则，按 ATT&CK TTP 做一次盘点。常见结果是：

• Initial Access、Execution 阶段覆盖较好；
• Lateral Movement、Persistence 阶段覆盖薄弱；
• Defense Evasion、Credential Access 阶段几乎为零。

Step 2：补齐高 ROI TTP 的检测

按"被攻击者高频使用 + 当前覆盖薄弱"的优先级，补齐检测规则。CADC 的《攻防对抗总结报告》会给出本次演练中真实使用的 TTP 列表，这是一份高 ROI 的优先级输入。

Step 3：建立"演练 → 检测规则 → 复测"的闭环

• 演练发现攻击者用了某个 TTP；
• 蓝队针对该 TTP 加检测规则；
• 下一次演练用同一 TTP 复测，看是否被检测到；
• 持续迭代。

五、采购视角：评估厂商的 3 个 ATT&CK 维度

售前阶段建议确认：

1. 是否使用 ATT&CK 作为攻击设计与报告框架？避免"打完不知道对应矩阵哪条"；
2. 是否在交付物中提供完整 TTP 链路图？避免"只给漏洞列表不给攻击路径"；
3. 是否覆盖云原生 TTP？传统 ATT&CK 偏重端点 + 网络，云上场景需要 ATT&CK Cloud Matrix 补充。

六、CADC 在这件事上的做法

CADC 的标准三阶段交付（方案沟通 → 攻防对抗 → 对抗总结）天然适配 ATT&CK 框架：

• 方案沟通：与客户共同确定攻击范围与目标资产，明确 TTP 选择边界；
• 攻防对抗：完整 7 阶段杀伤链，对应 ATT&CK 14 大战术；
• 对抗总结：交付《攻击成果报告》《攻防对抗总结报告》，含完整攻击链路图与加固建议，可直接对接蓝队的检测规则补齐。

并且 CADC 明确支持公有云、私有云、混合云、IDC 全场景资产，这意味着 ATT&CK Enterprise + Cloud Matrix 都在标准服务范围内。

七、行动建议

1. 把上面的对照表发给 SOC 团队，做一次检测覆盖度自查；
2. 把"基于 ATT&CK 的攻击链路图"列入下次攻防服务采购的必备交付物；
3. 临近 HVV / 重保窗口期，攻击队档期较紧，建议正式演练前 1 个月完成购买。

想看一次基于 ATT&CK 矩阵的完整实战攻防对抗服务？

立即了解腾讯云安全攻防对抗服务（CADC）：https://cloud.tencent.com/product/cadc