评估改进这个场景建立在上述三个场景的基础上，主要为安全工程师和架构师提供有用数据，以证明基于威胁的安全改进是有效的。评估改进主要包括图1所示的三个方面：

— 评估防御技术是否能有效应对ATT&CK中的攻击技术和攻击者。

— 确定当前优先级最高的需要弥补的防御缺口。

— 修改或者新增一个技术去弥补当前的缺口。

图1  评估改进流程

评估改进是一个逐步深入的过程，对于拥有优秀网络安全团队的组织机构，也需要从最初级开始，逐步深化评估过程。

处于Level 1阶段的组织机构，千万别设想一开始就能够做一个全面评估。相反应该从小处着手，选择一个具体的技术，确定该技术的覆盖范围，然后进行检测。如不确定选择哪个技术点，可以参考“威胁情报”场景内容。举个简单的例子，假设我们正在查看远程桌面协议（T1021.001），会产生以下规则：

（1）所有通过端口22的网络流量。

（2）所有由AcroRd32.exe产生的进程。

（3）所有名为tscon.exe的进程。

（4）所有通过端口3389的内部网络流量。

在MITRE ATT&CK网站查看一下ATT&CK中“远程服务：远程桌面协议”详情页面，很快发现规则（3）与“检测（Detection）”标题下的内容匹配，如图2所示。

图2  确定“远程桌面协议”的检测方式

如果企业机构能够检测出上述技术，则表明目前收集的数据信息已经覆盖T1021.001这项子技术，可以开始新的测试。如果不能，可以查看该技术的数据源，确认数据收集是否正确，如果没有相关数据，那就重新收集数据。如果数据不正确，可以看一下ATT&CK中针对该技术所列出数据清单，评估收集每一类数据的难易程度和有效性，然后进行重新收集。

当完成一个技术的评估之后，就可以进行下一个技术的评估，持续将完成的检测技术映射到ATT&CK框架中，形成热力图，这也是进入Level 2评估的开始阶段。当试图评估组织机构的检测覆盖率时，不用特别担心准确性。评估目标是了解是否具有一般的技术检测能力。为了使评估更精确，组织机构可以进行模拟攻击练习。

处于Level 2阶段的组织机构，都会希望尽可能覆盖ATT&CK矩阵中所有技术。正如上文所说，即便全部覆盖，检测也不可能做到100%精确，因此建议处于这个阶段的组织机构根据自身检测攻击的能力情况，对检测技术进行分组，比如，分为低置信度（白色）、中等置信度（浅蓝）、高置信度（深蓝）等。图3是某企业根据自身情况利用Navigator对可以检测的技术进行分组的示例。

图3  根据置信情况对检测技术进行分组

随着安全评估覆盖范围越来越广，分析也会变得越来越复杂，因为一个具体事件会涉及许多技术，而且每个技术分析都要考虑覆盖置信度。毕竟处于Level 2阶段的组织机构，不能仅仅满足于对某个技术进行基于单一方式的分析（可能有多种方式能实现该技术）。

对于每个分析，建议找到它所输入的内容，并查看它是如何映射到ATT&CK中的。例如，有一个针对特定Windows事件的分析，要确定此分析的覆盖率，可以在Windows ATT&CK日志备忘单或类似的存储库中查找事件ID，也可以使用ATT&CK网站来分析。图4显示了在MITRE ATT&CK网站搜索端口22时出现的相关页面，搜索结果显示攻击组织APT19和软件Linux Rabbit会利用端口22。

图4  通过关键词搜索相关组织和软件

对于评估这个场景而言，需要重点关注ATT&CK中所列的攻击组织和软件。图5为MITRE ATT&CK网站关于攻击组织的相关页面。感兴趣的读者可以在MITRE ATT&CK导航栏选择“攻击组织（Groups）”，查看攻击组织的完整列表及详细信息。软件部分的详细信息也可在MITRE ATT&CK网站上查看。

图5  ATT&CK中所列的攻击组织示例

对于那些拥有高级安全团队、处于Level 3级别的组织机构，评估改进时还需要考虑缓解措施。这有助于将评估从仅仅关注工具、分析及所检测到的内容，转移到关注整体安全状况。

评估缓解措施一个比较好的方法是，仔细审阅组织机构的SOC策略、防御工具、安全控制，并且将它们映射到ATT&CK具体技术上。组织机构能够覆盖的技术可以添加到自身的安全防御热力图中。

此外，评估工作还需要对SOC人员进行访谈，这能够帮助安全人员更好地理解安全工具是如何被使用的，也能帮助安全人员了解那些自己未考虑到但却是高优先级的待弥补安全缺口。

针对攻击技术，MITRE还推出了相应的缓解技术，目前共有42项缓解措施。图6为MITRE ATT&CK网站关于缓解措施的相关页面。感兴趣的读者可以在MITRE ATT&CK导航栏选择“缓解措施（Mitigations）”，查看缓解措施的完整列表及详细信息。

图6  MITRE ATT&CK中的缓解措施