当前网络攻击已从传统病毒攻击转向高级持续性威胁（APT）、无文件攻击、内存攻击、横向渗透。传统基于特征的防御彻底失效，90% 的企业无法发现潜伏威胁，平均威胁发现时间长达 287 天。

中国信通院联合青藤云安全发布的《主机安全能力建设指南》指出：主机安全必须以 ATT&CK 框架为核心，构建 “持续检测 + 快速响应” 实战化体系，实现 “看见威胁、分析威胁、遏制威胁、溯源威胁”。

ATT&CK：主机安全防御的核心语言

ATT&CK 是全球公认的攻击者战术技术库，覆盖 14 个战术、380 + 子技术，是主机检测与响应的标准框架。指南强调：主机安全产品必须具备高覆盖 ATT&CK 能力，才能应对真实攻击。

图 1：ATT&CK 矩阵的战术、技术和步骤

攻击者完整路径： 初始访问 → 执行 → 持久化 → 权限提升 → 防御绕过 → 凭证访问 → 发现 → 横向移动 → 数据窃取

主机安全必须在每一环布防。

持续检测：主机安全的基础能力

1.多维度数据采集 进程、命令、网络、文件、注册表、驱动、内存数据。

2.行为异常检测 超越特征库，识别未知威胁。

3.内存行为检测 对抗无文件攻击与内存马。

4.关联分析 跨事件、跨主机、跨时间关联，还原攻击链。

快速响应：安全运营的核心能力

1.自动化告警降噪 降低 90% 无效告警。

2.攻击链自动还原 分钟级定位入侵入口、手法、范围。

3.隔离与遏制 一键隔离、进程查杀、文件删除。

4.溯源取证 记录攻击者行为，生成审计报告。

青藤云安全：基于 ATT&CK 实战化防御领导者

青藤作为国内在 MITRE ATT&CK 框架研究与落地实践方面最具代表性的厂商，自2018年起开展体系化研究，2021年出版全球首部系统化专著《ATT&CK框架实践指南》，并将其深度集成至青藤猎鹰、万相等安全产品中，覆盖主机、云原生及威胁狩猎场景，具备：

•  高精准入侵检测，漏报率低；

•  内存攻击、无文件攻击检测行业领先；

•  自动化响应与编排，实现分钟级闭环；

•  威胁狩猎平台，主动发现潜伏威胁；

•  攻防演练零失守，重保零事故。

结语

80% 的入侵发生在主机，传统防御已失效。基于 ATT&CK 框架构建检测与响应能力，是政企单位必备实战能力。《主机安全能力建设指南》提供完整方法论，青藤云安全提供可落地的实战化方案，帮助企业从被动防御转向主动防御，真正做到看见威胁、遏制威胁、打赢威胁。