其實在我之前文章里面，也反復提到一些框架和模型，為什么要反復提網絡安全框架和模型，在我的認知層面里，我覺得做任何事情，都需要遵循一定方法論和規則，當你不能成為第一個吃螃蟹的人，那就必須站在前人總結的基礎上去學習、理解并應用。任何領域、任何行業都有相匹配的方法和體系，比如華為的三大流程IPD、LTC及ITR，費曼學習法等，類似這樣的流程、框架呀實在太多了，多學習流程和框架的好處就是，做相關事情有方法可循，可以快速構建你的思維體系來解決問題，同時基于你對框架和流程的理解和深入，可以站在框架和流程之上的角度來思考和解決問題，這樣看問題的角度和深度就不一樣了。從網絡攻防的角度，必須了解三個攻擊模型，這三個模型只是從不同的角度呈現了黑客攻擊的路徑和方法，黑客并不一定完全按照這些模型的思路，但是至少有一個稍微清楚的路徑了，常言道盡信書不如無書，不能拘泥于這些模型，要活學活用，真正從實戰出發，從溯源取證角度去分析和總結，就像古龍寫的武俠小說一樣，沒有明確的武功招式，往往是無招勝有招，這就是一種境界。下面重點介紹一下三種模型，僅做參考。

1.  滲透測試執行標準（PTES）

滲透測試執行標準由7個部分組成，包括前期交互、情報收集、威脅建模、漏洞分析、滲透利用、后滲透、撰寫報告。在中國，滲透測試必須經過授權，否則就違背了網絡安全法。前期交互主要指開展滲透測試工作前，與客戶進行溝通和交流，確定測試范圍、目標、限制條件及相關要求，以及簽訂合同等，主要是前期的準備工作。情報收集主要指通過主動或被動方式收集滲透測試相關的信息，比如目標網絡、端口、操作系統、相關組件、協議、漏洞等信息。威脅建模指對情報收集階段獲取的情報信息進行威脅建模，找出系統中最薄弱的環節，確定高效準確的攻擊方法。漏洞分析發現系統和應用程序中可被攻擊者利用的缺陷的過程。滲透利用是指利用之前發現的漏洞進行真正的攻擊取得目標系統的訪問控制權。后滲透指取得訪問控制權之后進行權限維持并獲取目標系統的數據，達到網絡攻擊目的。撰寫報告指向被滲透方提交滲透結果以及修復方案。

傳送門：www.pentest-standard.org

2.  網空殺傷鏈（Cyber Kill Chain）

殺傷鏈也叫七步殺，用于識別和預防網絡入侵活動，由洛克希德·馬丁公司開發。該模型確定了對手必須完成什么才能實現。包括偵察、武器研發、載荷投遞、滲透利用、安裝執行、命令控制、任務執行。偵察指收集電子郵件、組織、系統等各種信息，就是針對目標及目標外圍的各種情報信息。武器研發指開發各種攻擊所需要的poc、exp等各種程序。載荷投遞指通過電子郵件、網絡、USB等方式向目標進行投遞。滲透利用指投遞成功之后在目標網絡或資產上進行滲透利用獲得初步控制權。安裝執行指將木馬在目標資產上正常運行，具備執行下一步動作的條件。命令控制指通過各種方式將木馬持久化并與攻擊服務器保持隱蔽持久的通道。任務執行指達成前期寫下的目標，比如竊取數據、破壞系統等各種惡意行為。

傳送門：https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

3.  MITRE ATT&CK 框架

ATT&CK是由MITRE公司在2013年提出的戰略、戰術及程序的對抗框架，可用用于對抗 模擬、紅隊滲透測試、藍隊防御、威脅情報分析等，有三個版本ATT&CK Matrix for Enterprise、ATT&CK Matrix for Mobile、ATT&CK Matrix for ICS。

傳送門：https://attack.mitre.org/     官網

https://mitre-attack.github.io/attack-navigator/     導航器（可以做攻擊路線圖）

還有CALDERA是MITER官方基于ATT&CK推出的網絡安全紅藍對抗框架，可用于自動化紅隊行動、手工紅隊行動、自動化應急響應等攻防實踐。https://github.com/mitre/caldera

總之，了解攻擊模型對網絡安全人士至關重要，因為它有助于預測和理解潛在威脅，指導有效的防御策略。攻擊模型提供了對黑客可能采用的技術和方法的深入了解，使安全專業人員能夠更全面地評估系統和網絡的脆弱性。通過研究不同的攻擊模型，安全團隊可以更好地了解威脅面，并采取相應的對策，包括加強防護措施、改進監控和應急響應計劃。這種深入了解攻擊模型的方法有助于提高網絡安全的整體水平，確保組織能夠更加強大地抵御不斷演進的威脅。