来源：https://medium.com/@CyberSecurityWarrior/mitre-att-ck-to-kill-chain-models-mapping-9e68bcfee9f

STIX2中攻击模式如何映射到网络攻击链，STIX2没有给出明确的方法，这篇文章旨在探索如何将ATT&CK和CAPEC映射到攻击链的方法。

目前能看到三种MITRE ATT&CK或者capec映射到攻击链的方法，欢迎留言加入其它映射方法。

一、第一种方法

那些听说过和读过《网络攻击链》的人可能不知道各种组织 [Gartner, LockHeed, Varonis, SANS]提到过它的细微变化。当你假设只有一个网络攻击链模型时，你可能会感到困惑。当你学习MITRE ATT&CK的时候，你可能会更加疑惑MITRE ATT&CK是如何适应这些模型的。

对于具有渗透测试背景的新学员来说，它们之所以如此令人困惑，原因之一在于它们或多或少源自一个典型的渗透测试工作流。任何有渗透测试背景的人都可能被他们的新术语(“模型”、“攻击链”、“武器化”)唬住。

为了简单，同时也为了完整，我将所有的Kill Chain模型合并到一个鱼骨图中，并在相关区域添加了MITRE ATT&CK的战术和技术。

二、第二种方法

来源：https://www.researchgate.net/publication/327291535_A_Master_Attack_Methodology_for_an_AI-Based_Automated_Attack_Planner_for_Smart_Cities,A Master Attack Methodology for an AI-Based Automated Attack Planner for Smart Cities

一、可伸缩的、跨区域的攻击树设计

从shrobe后，其它人已经提出了使用网络安全经典规划[4]和[12]的思想和应用领域，但还没有人专注于完善网络规则集，使之能够应用于不同行业。我们提出了一种标准化的方法来开发攻击树，该方法由攻击者用来渗透到广泛系统的通用方法序列指导。有相当数量的工具和框架可供黑客和安全研究人员使用。不幸的是，这些工具或框架都不能解决攻击的整个生命周期。为了实现这一点，我们开发了一种集成的方法，它结合了许多已建立的框架。该方法将生成开发攻击树所需的信息，这些攻击树应该能够跨行业和计算系统扩展。为了做到这一点，我们制定了一个主要的攻击方法，使用各种已建立的框架，脆弱性，威胁和利用分析，代表解剖攻击的“何时”，“在哪里”，“什么”和“如何”。攻击的阶段顺序，或者我们所说的“何时”，利用了洛克希德·马丁公司的网络攻击链[13]。攻击可能发生的表面区域，或者我们称为“where”，引用了开放Web应用程序安全项目(OWASP)的攻击表面区域[24]。成功完成给定阶段的攻击或“什么”所需的操作由MITRE的共同攻击模式枚举和分类(CAPEC)[20]和MITRE的对抗策略、技术和共同知识(ATT&CK)框架[19]表示。最后，用于执行操作或“如何”的工具由Kali Linux工具[14]和MITRE的ATT&CK矩阵[19]表示。每个框架在传统的攻击树格式中占据一个层次，如图3所示。

a .发动攻击的阶段顺序

洛克希德·马丁公司最初开发了网络攻击链，列出了可能的攻击的阶段。网络攻击链最初于2011年发布，旨在帮助安全研究人员绘制出攻击者如何执行高级持久威胁(APTs)的地图，包括由国家实施的复杂网络攻击。“网络攻击链”的设计灵感来自于美国军方传统战争中的攻击链，它包括“瞄准目标并与敌方交战以产生预期效果”所需的步骤。由洛克希德·马丁公司创建后，MITRE将这些步骤重新命名为网络攻击生命周期[21]。网络攻击生命周期见图4，相关描述见表1。网络攻击生命周期和网络攻击链是可以互换的。

虽然这些阶段表明发动攻击的顺序，但这些阶段并不总是按顺序进行的。这在很大程度上取决于攻击者的目标。例如，如果在侦察过程中发现了提供控制的凭证，则可以跳过攻击的武器化、交付和利用阶段。此外，在整个攻击过程中，攻击者可能会重复生命周期的前几个阶段，以继续收集关于目标的信息并改进攻击。

当开发一个攻击树时，每个阶段都属于目标下面的树层次结构的第1级，如图3所示。根据目标的不同，有些阶段是需要的，而有些则不需要。所有阶段都应该包含和门，表明列出的每个阶段都必须发生并涉及到它自己的操作分支。攻击链阶段应该始终直接位于目标之下，并且是所有攻击树的顶级节点。例如，如果树的目标是删除数据(数据会落在树的顶部)，那么在树的下面应该是kill链的各个阶段。

洛克希德·马丁公司的网络攻击链已经被表示为攻击树的一部分在以前的文献[29]。到目前为止，参考杀伤链的攻击树在单个分支内对给定目标进行攻击的各个阶段移动，如图5所示。然而，这并不准确地反映了攻击者为了达到目标可能经过的每个攻击阶段的深度。如果有一个分支，其中层次结构中的每一层都代表一个新的攻击阶段，而后续阶段则是其先例的一个分支，那么每个攻击阶段都可以是一个单独的分支，由攻击层次结构的第二层中的和门连接。这种新的表示形式通过显示完成每个阶段所需的许多子例程，可以更好地说明攻击每个阶段背后的复杂性。此外，这将导致指定攻击树的更一致的方法，使跨系统自动生成攻击树更容易。当作为单个分支内的嵌套叶进行枚举时，无法以一致和可伸缩的方式全面描述攻击的每个阶段背后的细节。

b.进行攻击的表面区域

攻击的每个阶段都必须发生在系统环境的给定表面积上。虽然攻击目标可能需要通过杀伤链的所有阶段才能成功，但是任何攻击目标都不太可能涉及覆盖给定系统所有表面区域的树。有限的表面面积更有可能需要实现一个特定的攻击目标相关的杀死链阶段。例如，“从系统中窃取服务器数据”的攻击目标可能不需要对给定系统的每个表面区域进行侦察。它只需要侦察相关的系统组件。

OWASP为物联网系统[24]开发了一个包含17个表面区域的清单。在撰写本文的过程中，OWASP将它的表面积列表添加到了其中。随着参与开放Web应用程序安全项目的安全研究人员发现并记录更多的威胁，这个列表将会随着时间的推移而不断发展。为了尝试从进一步的编辑中对建议的表面区域进行未来验证，我们将它们归纳为四个类别:软件/硬件、体系结构、网络和组织。软件/硬件与系统的物理或数字特性和功能有关，体系结构是指设计决策和系统配置，网络包括任何涉及通信的内容，组织是指如何管理系统和任何有效的安全策略。表2列出了这些表面积及其组成部分。

标记为“漏洞示例”的列描述了可能与某个表面区域类别相关联的漏洞类型。此外，为一个表面区域列出的漏洞示例描述了沿着给定的表面区域可能被利用的漏洞类型。(这里列出的漏洞并不是我们攻击树的一部分;相反，它们仅用于描述目的。)

每个攻击表面类别将在攻击树中构成一个不同的嵌套分支。对于侦察、武器化、交付和开发的杀伤链阶段，任何表面积都可能是相关的。然而，当树在阶段控制、执行和维护下被填充到kill链的后半部分时，攻击者试图对其进行操作的表面区域将是前一阶段的子集。例如，如果侦察只在网络和软件/硬件的表面区域进行，那么维护将不包括体系结构或组织的表面区域。

c .发动攻击所需的行动

攻击树的第3级必须表示在给定表面区域的每个攻击阶段需要执行的“什么”操作。对于由侦察、武器化、交付和利用组成的攻击前阶段，我们主要使用MITRE的公共攻击模式枚举和分类(CAPECs)来填充树层次结构的“what”级别。具体来说，CAPECs用于侦察和利用阶段的攻击。CAPEC攻击机制与攻击阶段的映射如表3所示。

武器化和交付阶段的攻击不符合任何给定的CAPEC。相反，我们使用洛克希德·马丁公司(Lockheed Martin)的“攻击链”(kill chain)建议来记录这个层级的“武器化”和“交付”。洛克希德马丁攻击链被用来代替MITRE最近发布的Pre-ATT&CK矩阵，因为在MITRE的Pre-ATT&CK矩阵的第一次发布中，没有关于“什么”被武器化或交付的细节。

为了控制、执行和维护，MITRE开发了ATT&CK矩阵，该矩阵描述了这些阶段下面的分支级别的详细信息。我们已经将ATT&CK矩阵类别映射到攻击链的特定阶段，如表3所示。我们使用这些类别来填充第3级。请注意，表3只表示映射的顶级域，并不表示每个域中包含的深度(稍后将对此进行描述)。

d .发动攻击所需的工具

攻击树的最后一层，第4级，表示“如何”执行攻击。在这里，系统的弱点或弱点，表示为一个共同的弱点枚举(CWE)3或共同的弱点和暴露(CVE)，可以列出与每个攻击组件相关联的工具和恶意软件。CWE或CVE可能并不总是可用的，但是如果包含在系统模型中，则应该将它们标记为叶子(因为从理论上讲，每个工具或恶意软件都利用了给定的CWE或CVE)。为了确定工具和恶意软件，在攻击前的侦查和利用阶段，我们给每个CAPEC分配了一个来自Kali Linux的工具，这是一个全面的渗透测试工具包，包含黑客用来入侵系统的大多数流行技术工具。我们应用了一个半自动化的过程来将Kali工具与给定的CAPEC匹配起来，该过程使用带有手动修正的文档距离算法。此映射用于填充树层次结构的第4级，描述如何最终执行侦察和利用。由于该阶段的性质，交付和利用的其他攻击前阶段没有第4级组件。对于攻击阶段的控制、执行和维护，树的4级节点由各种恶意软件组成，这些恶意软件在各自的ATT&CK矩阵类别中进行了描述。

e .设计总结

为了开发一个能够跨多个关键基础设施领域扩展并同样有效的攻击树生成器，一个全面的攻击者方法学框架必须包含主攻击规则集。利用包括MITRE、Lockheed Martin和进攻性安全(Kali Linux创造者)在内的受人尊敬的网络安全权威的框架，我们已经编译了一个主本体数据库，该数据库涵盖了所有系统类型的几乎所有已知攻击向量。这个框架的抽象和完整版本可以在图6中找到，其中有一个示例目标(exfiltrate data)，它描述了组成主攻击方法的每个组成框架可能的各种排列。如图6所示，窃取数据的攻击目标只是与此方法相关的目标的一个示例。

三、第三种方法

https://pdfs.semanticscholar.org/e6ee/8ba1dfb70e309e77f750319e569b6e0a4e7b.pdf?_ga=2.91683231.487294794.1589680549-1555156325.1584870704

https://vizsec.org/files/2019/vizsec19b-sub1008-cam-i7.pdf

https://www.dni.gov/files/ODNI/documents/features/A_Common_Cyber_Threat_Framework_Overview.pdf

Cyber Kill Chain based Threat Taxonomy and its Application on Cyber Common Operational Picture

正文：

https://www.researchgate.net/publication/329314532_Cyber_Kill_Chain_based_Threat_Taxonomy_and_its_Application_on_Cyber_Common_Operational_Picture

PPT：

https://www.c-mric.com/wp-content/uploads/2018/06/Sungyoung_CyberSA2018.pdf