2025 年 7 月 16 日，MITRE 宣布將於今年 10 月發布 ATT&CK v18，這是一項重大更新，旨在提升工業網絡安全環境中的檢測能力。該版本通過重新設計檢測指導，更加貼近真實世界敵對行為的模式，特別針對工業控制系統（ICS）和操作技術（OT）環境的需求。
這一升級不僅反映了當前威脅格局的複雜性，還強調了防禦策略需適應多平台、多數據源及行為鏈的挑戰。本報告基於最新信息，詳細分析 ATT&CK v18 的核心改進、背景意義以及對工業網絡安全實踐的影響。背景與發展脈絡MITRE ATT&CK 框架自 2013 年推出以來，已成為全球網絡安全防禦的基石，基於真實觀察記錄敵對戰術、技術和常見知識（TTPs）。隨著網絡威脅的演變，特別是針對關鍵基礎設施的攻擊增加，傳統的檢測方法已不足以應對。
ATT&CK v18 的更新正值 2025 年網絡安全威脅加劇之際，包括勒索軟體、國家支持攻擊和針對 OT 資產的精確打擊。MITRE 表示，v18 將轉變為以檢測策略為導向的系統，引入模塊化、行為優先的藍圖，旨在提高防禦者在多樣化平台上的可擴展性與效率。
 

v18 檢測升級的核心內容

1. 檢測策略的革新
   v18 引入了三種新的 STIX 對象：檢測策略（Detection Strategies）、分析（Analytics）和日誌來源（Log Sources）。檢測策略將 ATT&CK 技術映射到因果行為鏈，幫助防禦者理解敵對行為的具體模式及其在日誌中的表現。分析內容將針對特定平台和遙測數據進行優化，消除模糊的描述（如「使用 Sysmon」），代之以可重複利用的日誌來源定義。Lex Crumpton，MITRE 首席網絡安全工程師，在 Medium 文章中指出，早期版本的檢測建議因結構化不足而難以實踐，v18 通過清晰定義行為、數據位置和調優元素，解決了這一問題。
2. 行為鏈與平台多樣性
   傳統檢測往往依賴單一事件的捕捉（如進程創建或網絡連接），而敵對行為通常涉及複雜的行為鏈。v18 強調跨事件關聯，模擬真實入侵場景。例如，攻擊者可能通過社會工程學獲取初始訪問，隨後橫向移動並竊取數據。這種方法適用於 ICS/OT 環境，例如能源或製造業系統，這些系統因其物理影響而成為目標。更新後的藍圖將幫助防禦者識別行為模式，而非僅依賴孤立警報。
3. 數據源與遙測優化
   v18 正式化日誌來源，確保數據收集指導與平台特徵匹配。對於 ICS 環境，這意味著更精確的資產定義（如電力系統或水處理設施），以及針對特定技術的檢測建議。這種變化有助於縮小防禦盲區，特別是在傳統上數據報告稀缺的 Linux 或雲端環境。

威脅格局與動機分析2025 年的網絡威脅格局顯示，敵對行為者越來越依賴 AI 工具和跨域攻擊。勒索軟體團體針對醫療和工業目標（如 UnitedHealth 子公司 Episource 的 540 萬患者數據洩露），國家支持的行為者則利用 VPN 設備進行持久滲透（例如 ArcaneDoor 攻擊）。MITRE 認為，v18 的行為優先方法能更好地應對這些威脅，因為它關注攻擊者的意圖而非僅工具使用。這種趨勢要求防禦者不僅監控 IT 系統，還需保護 OT 資產免受物理破壞。
 

對工業網絡安全的影響

1. 提升檢測能力
   v18 的模塊化設計允許組織根據自身環境定制檢測策略。例如，製造業企業可聚焦於 OT 特定的「抑制響應功能」技術，而能源公司可優先處理「控制操縱」行為。這種靈活性有助於優化資源分配，減少警報噪音。
2. 挑戰與限制
   儘管 v18 提供了先進工具，但其成功依賴於防禦團隊的技能和數據可用性。在資源有限的中小型企業中，實施複雜行為鏈檢測可能面臨困難。此外，Linux 和 ICS 環境的數據稀缺可能限制部分功能的全面應用。
3. 長期趨勢
   v18 的發布標誌著網絡安全從被動防禦轉向主動威脅狩獵。隨著 AI 威脅的增加（如數據毒化和模型繞過），未來的 ATT&CK 版本可能進一步整合 AI 安全框架，與 MITRE 的 AI 監管計劃相呼應。

MITRE ATT&CK v18 的檢測升級代表了網絡安全領域的一次飛躍，通過模擬真實敵對行為，增強了 ICS 和 OT 環境的防禦能力。儘管實施挑戰存在，但其行為優先的設計為防禦者提供了強大的工具，以應對 2025 年日益複雜的威脅格局。隨著 10 月的發布，工業企業應開始準備，充分利用這一更新提升網絡韌性。