TTP(Tactics, techniques, and procedures)战术、技术、程序 概念与优势

随着网络攻击的不断演变和复杂化，传统的安全防御方法已经无法满足当前的威胁环境。仅仅依靠防火墙、杀毒软件等自动化安全解决方案已经难以抵御真正的攻击者。因此，2014年，国外提出了使用TTP战术、技术、程序的方法检测威胁。

1. TTP概念(Tactics, techniques, and procedures)

TTP英文是Tactics, techniques, and procedures，即战术、技术、程序。

战术	战术是攻击者的行为和策略的高级描述。它包括一系列行为和行动，攻击者通过这些行动来实现特定的目标。
技术	技术是指实现战术行动的非具体指导方针和中间方法。它描述了如何利用各种手段来实现攻击目标。
程序	程序是指使用特定技术来执行攻击战术的一系列操作。它涉及详细描述攻击者为成功达到目标而执行的活动。

2. 为什么传统方法难以检测APT

传统检测手段，如IPS、反病毒等，通常检测一种攻击工具的攻击特征，随着对抗升级，攻击者普遍会通过对抗手段，变化特征，绕过检测。
即传统检测手段主要在检测：TTP中的”P“程序，没有抽象到TT(战术、技术)层。

3. TTP技术方法的优势

深入了解攻击者：TTP技术要求企业深入了解攻击者的战术、技术和程序。通过对攻击者行为模式的研究和分析，可以获得对攻击者的深入了解，包括他们的目标、策略、攻击手段等。这种深入了解使企业能够更好地预测和预防潜在的攻击行为，并在攻击发生前主动采取相应的安全措施。

主动威胁识别：通过深入了解攻击者的战术、技术和程序，企业可以更早地发现和评估安全威胁，采取主动的防御措施。相比传统的被动式防御方法，TTP技术使企业能够主动应对威胁，提高安全防御的效果。

精准威胁预测：TTP技术将攻击程序特征抽象为攻击意图、攻击现象，可以用于检测潜在的网络攻击。通过分析这些线索，企业可以预测攻击者的下一步行动，并采取相应的安全措施，及时应对威胁事件。

4. TTP技术的应用

建立安全监控和事件响应系统：通过应用TTP技术，企业可以建立实时的安全监控和事件响应系统，及时检测和应对潜在的网络威胁。通过分析攻击者的行为模式和特征，企业能够更早地发现入侵企图，并采取相应的安全措施进行阻止。

共享TTP知识库：企业可以收集和共享TTP知识库，从开放和社区基础的网络安全计划中获取宝贵的经验和洞察力。通过共享和学习攻击者的TTP，企业可以改进安全防御策略，提升整体的安全性。